shadowxxx Posted January 25, 2016 Добрый день форумчане! Нужна помощь. Ткните пальцем или подскажите куда копать по екстриму, чтобы устранить баг. Что имеем: Extreme Networks 670X версия 15.4.1.3 - он выступает для клиентов в роли L3 - Терминирование вланов и отправлять интернет запроссы на роутер, который стоит за ним. вланом не более 40 шт. роут 1. Решил проверить производительность роутера. Включился в сетку как простой клиент и запустил с помощью микротика 6 версии Трафик генератор. В итоге когда выставил величину пакета 60 и скорость 80 мегабит = получил лаги по всей сети (как будто весь екстрим захлебуется) , пинги перестают ходить и попасть даже на екстрим нет возможности . И что самое отвратительно в логах екстрима ничего нет. Эта проблема только с L3. Если трафик сгенерировать сквазняком, L2, то никаких проблем нет PPS бегает от 14мильйона и выше. Что настраивал на екстриме: enable dos-protect enable ip-security anomaly-protection icmp configure ip-arp fast-convergence on enable iparp gratuitous protect vlan configure sys-recovery-level switch none disable ipforvarding ipv6 vr VR-Sat1 VR-Sat1 - это виртуальный роутинг в котором крутятся все вланы на уровне L3 форвардинг на вланах включен enable ipforwarding вот немного конфига (убрал кучу вланов и немного изменли айпишки пример на одном) - прошу помогите , не знаю куда копать. # # Module devmgr configuration. # configure snmp sysName "core-x670" configure snmp sysLocation "RU" configure snmp sysContact "Admin" configure timezone name MST 145 noautodst configure sys-recovery-level switch none # # Module vlan configuration. # configure vlan default delete ports all configure vr VR-Default delete ports 1-48 configure vr VR-Default add ports 3-4, 11-48 create vr "VR-Sat1" configure vlan default delete ports 1-48 enable jumbo-frame ports all enable iparp gratuitous protect vlan Default create vlan "lpbk" enable loopback-mode vlan lpbk create vlan "v100_core_local" vr VR-Sat1 configure vlan v100_core_local tag 100 enable iparp gratuitous protect vlan v100_core_local create vlan "v10_core" configure vlan v10_core description "CORE_EXTERNAL" configure vlan v10_core tag 10 enable iparp gratuitous protect vlan v10_core create vlan "v11_core_2" configure vlan v11_core_2 tag 11 enable iparp gratuitous protect vlan v11_core_2 create vlan "v12_billing" configure vlan v12_billing tag 12 enable iparp gratuitous protect vlan v12_billing create vlan "v131" vr VR-Sat1 configure vlan v131 description "users_vlan131" configure vlan v131 tag 131 create vlan "v3500" configure vlan v3500 description "multicast_1_old" configure vlan v3500 tag 3500 create vlan "v400_managment" vr VR-Sat1 configure vlan v400_managment description "managment vlan" configure vlan v400_managment tag 400 enable iparp gratuitous protect vlan v400_managment create vlan "v602" configure vlan v602 description "iptv_rus" configure vlan v602 tag 602 disable dot1p examination port all disable flow-control rx-pause port all configure ports all display-string UPLINK_MAIN configure ports all auto off speed 10000 duplex full config port all rate-limit flood broadcast 500 configure vlan v100_core_local add ports 5 untagged configure vlan v10_core add ports 3-4 untagged configure vlan v11_core_2 add ports 3 tagged configure vlan v11_core_2 add ports 8 untagged configure vlan v12_billing add ports 3, 6 tagged configure vlan v131 add ports 6-7 tagged configure vlan v3500 add ports 1, 6 tagged configure vlan v400_managment add ports 6-7, 9-10 tagged configure vlan Mgmt ipaddress 212.212.212.130 255.255.255.248 configure vlan v100_core_local ipaddress 91.91.16.2 255.255.255.252 enable ipforwarding vlan v100_core_local configure vlan v131 ipaddress 91.91.16.1 255.255.255.192 enable ipforwarding vlan v131 configure vlan v131 add secondary-ipaddress 172.31.131.1 255.255.255.0 configure vlan v400_managment ipaddress 10.0.0.254 255.255.255.0 enable ipforwarding vlan v400_managment configure vlan v400_managment add secondary-ipaddress 91.91.16.33 255.255.255.240 configure vlan v400_managment add secondary-ipaddress 91.91.16.49 255.255.255.240 # # Module fdb configuration. # configure iparp vr VR-Default fast-convergence on configure iparp vr VR-Sat1 fast-convergence on configure iparp add 172.31.129.2 vr VR-Sat1 3c:97:0e:8d:00:88 configure iparp add proxy 91.91.16.0 255.255.255.192 vr VR-Sat1 00:04:96:8f:aa:46 # # Module rtmgr configuration. # configure iproute priority static 100 vr VR-Sat1 configure iproute add default 212.212.212.129 vr VR-Mgmt configure iproute add 91.91.16.184 255.255.255.248 91.91.16.47 vr VR-Sat1 configure iproute add default 91.91.16.1 vr VR-Sat1 enable iproute ipv4 compression vr VR-Sat1 # # Module mcmgr configuration. # configure forwarding ipmc lookup-key mixed-mode # # Module acl configuration. # configure access-list zone SYSTEM application NetLogin application-priority 4 configure access-list zone SYSTEM application HealthCheckLAG application-priority 5 configure access-list zone SYSTEM application IdentityManager application-priority 6 configure access-list zone SYSTEM application VMTracking application-priority 7 configure access-list zone SYSTEM application Snmp application-priority 10 configure access-list zone SYSTEM application Telnet application-priority 11 configure access-list zone SYSTEM application Http application-priority 12 configure access-list zone SYSTEM application Ssh2 application-priority 13 # # Module dosprotect configuration. # enable dos-protect # # Module edp configuration. # disable edp ports all # # Module ems configuration. # configure log filter DefaultFilter add exclude events SNMP.Master.DropReqAccessDeny configure log filter DefaultFilter add exclude events DM.Notice match string "hwclock" # # Module idMgr configuration. # create ldap domain "Unknown" default configure ldap domain "Unknown" base-dn none # # Module ipSecurity configuration. # enable ip-security dhcp-snooping vlan v100_core_local port 5 violation-action drop-packet enable ip-security dhcp-snooping vlan v131 port 6 violation-action drop-packet configure trusted-ports 5 trust-for dhcp-server configure trusted-servers vlan v100_core_local add server 91.91.16.1 trust-for dhcp-server enable ip-security arp learning learn-from-dhcp vlan v131 ports 6 enable ip-security arp gratuitous-protection vlan Default enable ip-security arp gratuitous-protection vlan v100_core_local enable ip-security arp gratuitous-protection vlan v10_core enable ip-security arp gratuitous-protection vlan v11_core_2 enable ip-security arp gratuitous-protection vlan v12_billing enable ip-security arp gratuitous-protection vlan v131 enable ip-security anomaly-protection icmp configure dns-client add name-server 91.91.16.27 vr VR-Mgmt configure dns-client add name-server 91.91.16.27 vr VR-Default configure dns-client add name-server 91.91.16.27 vr VR-Sat1 configure sntp-client primary 0.ru.pool.ntp.org vr VR-Sat1 configure sntp-client secondary ntp1.stratum1.ru vr VR-Sat1 configure sntp-client update-interval 3600 enable sntp-client configure bootprelay add 91.91.16.1 vr VR-Sat1 configure bootprelay dhcp-agent information option vr VR-Sat1 configure bootprelay dhcp-agent information policy replace vr VR-Sat1 enable bootprelay ipv4 vlan v100_core_local enable bootprelay ipv4 vlan v131 # # Module pim configuration. # configure pim register-checksum-to include-data # # Module stp configuration. # configure mstp region 0004968faa46 configure stpd s0 delete vlan default ports all disable stpd s0 auto-bind vlan default Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tros10 Posted January 25, 2016 Софт обновите сначала до рекомендуемого 15.6. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 25, 2016 Если это поможет - было бы хорошо. Правда закончилась у меня сервисная, может кто поделится ссылкой на софт? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Garra-67 Posted January 25, 2016 summitX-15.6.3.1-patch1-6.xos такой есть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted January 25, 2016 При таком конфиге можно и 16.1 вкатать. Неделю в продакшне катаю 16.1.2.14, нареканий пока нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s2n Posted January 25, 2016 Дайте ченьжлог 16.1 плз Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 25, 2016 summitX-15.6.3.1-patch1-6.xos такой есть. поделишься? можно и на мыло shadow.iura собака gmail.com заранее спасибо! да конкфиг у меня не серьйозный. просто L3 терминирование вланов и все. вот только запара , что любой юзверей с микротиком сможет сгенерировать трафик 70 мегабит и ляжет весь екстрим. это хорошо что я увидил баг, а железка уже стоит два года.... обидно и не могу понять что дальше делать. Дай бог чтоб помогла новая прошивка - но сомнения есть что не в ней дело. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted January 25, 2016 Дайте ченьжлог 16.1 плз https://yadi.sk/d/PC05UMyWm8AU6 К слову о проблеме ТСа, попробуйте перед тестом отключить всевозможные ip-security применительно к влану, из которого тестируете ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 25, 2016 При таком конфиге можно и 16.1 вкатать. Неделю в продакшне катаю 16.1.2.14, нареканий пока нет. Если есть прошивка - поделись. shadow.iura сАбака gmail.com готов тоже поставить. так как вариантов проблемы решения не имею. Дайте ченьжлог 16.1 плз https://yadi.sk/d/PC05UMyWm8AU6 К слову о проблеме ТСа, попробуйте перед тестом отключить всевозможные ip-security применительно к влану, из которого тестируете ;) попробую. но все равно не понимаю чем это поможет. так как я поставил на прямую другой микротик в отдельный порт екстрима , и как на зло отключил dos-protect на екстриме, - в итоге после того как я запустил генератор трафика - у меня рухнула вся сеть и стал не доступный микротик при этом. точнее я на него по удаленке заходил - вот пришлось бегать в серверную , чтобы вырубить генератор. И не имело значения какой порт, влан - рухнуло все Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 25, 2016 вообщем нашел ExtremeXOS 15.7.2 - если что поделюсь кто попросит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 25, 2016 Ну неужели нет гуру по екстримам. перепрошился я на 15.7.2 - изменений нет. валится вся сеть (екстрим) при генерации пакета 60 и 80 мегабит Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted January 26, 2016 попробую. но все равно не понимаю чем это поможет. так как я поставил на прямую другой микротик в отдельный порт екстрима , и как на зло отключил dos-protect на екстриме, - в итоге после того как я запустил генератор трафика - у меня рухнула вся сеть и стал не доступный микротик при этом. точнее я на него по удаленке заходил - вот пришлось бегать в серверную , чтобы вырубить генератор. И не имело значения какой порт, влан - рухнуло все Функционал ip-security лезет в каждый пролетающий пакет для его изучения, что приводит к повышенной нагрузке на cpu, это все равно что весь трафик на процессор залить - ни одна железка этого не любит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 26, 2016 Спасибо за совет. попробую на время тестирования вырубить данную причуду. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 26, 2016 все я сдался. отключил все на тестируемом влане disable ip-security anomaly-protection icmp disable ip-security arp gratuitous-protection vlan v135 disable ip-security dhcp-snooping vlan v135 port all disable ip-security arp learning learn-from-dhcp vlan v135 ports all configure iparp fast-convergence off disable dos-protect отключал последовательно и проверял. все равно екстрим ложится! Прошу првоерьте кто то у себя если есть возможность. запустите любую мыльницу микротика и откройте tools - traffic generator - настраиватеся легко. проверьте у вас такая же проблема будет или я ежик? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 26, 2016 или поделитесь рабочим конфигом - я попробую сам разобрать где я накосячил. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted January 26, 2016 сделайте дамп трафика, что создает mikrotik и покажите с десяток пакетов с L2 заголовками. У нас сеть 20 x460 и 12 x670. трафика несколько десятков гигабит. терминация на x460. никаких затыков нет. софт v1531b4-patch1-40. Есть MPLS/VPLS/L3VPN/multicast/PBR/proxy arp/dhcp relay. Security фишки не используем. Только ACL, где надо что-то прикрыть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 27, 2016 Огромное спасибо darkagent - помог , точнее решил мою задачу. Тему можно закрывать. Мой костыль в незнании екстрима. И спасибо всем за участие. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stalker86 Posted January 30, 2016 Написали бы в чём дело - вдруг кому ещё пригодится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted January 31, 2016 Поди весь айписекьюрити снёс и все Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdntw Posted January 31, 2016 Функционал ip-security лезет в каждый пролетающий пакет для его изучения, что приводит к повышенной нагрузке на cpu, это все равно что весь трафик на процессор залить - ни одна железка этого не любит. четка Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted February 1, 2016 Написали бы в чём дело - вдруг кому ещё пригодится. rate-limit flood multicast Поди весь айписекьюрити снёс и все как ни странно, оно оказалось не причем Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
