Jump to content
Калькуляторы

Extreme Networks 670X становится недоступным Проблема ядра сети

Добрый день форумчане! Нужна помощь. Ткните пальцем или подскажите куда копать по екстриму, чтобы устранить баг.

Что имеем:

Extreme Networks 670X версия 15.4.1.3 - он выступает для клиентов в роли L3 - Терминирование вланов и отправлять интернет запроссы на роутер, который стоит за ним.

вланом не более 40 шт.

роут 1.

 

Решил проверить производительность роутера. Включился в сетку как простой клиент и запустил с помощью микротика 6 версии Трафик генератор. В итоге когда выставил величину пакета 60 и скорость 80 мегабит = получил лаги по всей сети (как будто весь екстрим захлебуется) , пинги перестают ходить и попасть даже на екстрим нет возможности . И что самое отвратительно в логах екстрима ничего нет. Эта проблема только с L3. Если трафик сгенерировать сквазняком, L2, то никаких проблем нет PPS бегает от 14мильйона и выше.

 

Что настраивал на екстриме:

enable dos-protect

enable ip-security anomaly-protection icmp

configure ip-arp fast-convergence on

enable iparp gratuitous protect vlan

configure sys-recovery-level switch none

 

disable ipforvarding ipv6 vr VR-Sat1

 

VR-Sat1 - это виртуальный роутинг в котором крутятся все вланы на уровне L3

 

форвардинг на вланах включен

enable ipforwarding

 

 

вот немного конфига (убрал кучу вланов и немного изменли айпишки пример на одном) - прошу помогите , не знаю куда копать.

 

#

# Module devmgr configuration.

#

configure snmp sysName "core-x670"

configure snmp sysLocation "RU"

configure snmp sysContact "Admin"

configure timezone name MST 145 noautodst

configure sys-recovery-level switch none

 

#

# Module vlan configuration.

#

configure vlan default delete ports all

configure vr VR-Default delete ports 1-48

configure vr VR-Default add ports 3-4, 11-48

create vr "VR-Sat1"

configure vlan default delete ports 1-48

enable jumbo-frame ports all

enable iparp gratuitous protect vlan Default

create vlan "lpbk"

enable loopback-mode vlan lpbk

create vlan "v100_core_local" vr VR-Sat1

configure vlan v100_core_local tag 100

enable iparp gratuitous protect vlan v100_core_local

create vlan "v10_core"

configure vlan v10_core description "CORE_EXTERNAL"

configure vlan v10_core tag 10

enable iparp gratuitous protect vlan v10_core

create vlan "v11_core_2"

configure vlan v11_core_2 tag 11

enable iparp gratuitous protect vlan v11_core_2

create vlan "v12_billing"

configure vlan v12_billing tag 12

enable iparp gratuitous protect vlan v12_billing

create vlan "v131" vr VR-Sat1

configure vlan v131 description "users_vlan131"

configure vlan v131 tag 131

 

 

create vlan "v3500"

configure vlan v3500 description "multicast_1_old"

configure vlan v3500 tag 3500

 

create vlan "v400_managment" vr VR-Sat1

configure vlan v400_managment description "managment vlan"

configure vlan v400_managment tag 400

enable iparp gratuitous protect vlan v400_managment

create vlan "v602"

configure vlan v602 description "iptv_rus"

configure vlan v602 tag 602

disable dot1p examination port all

disable flow-control rx-pause port all

configure ports all display-string UPLINK_MAIN

configure ports all auto off speed 10000 duplex full

config port all rate-limit flood broadcast 500

 

configure vlan v100_core_local add ports 5 untagged

configure vlan v10_core add ports 3-4 untagged

configure vlan v11_core_2 add ports 3 tagged

configure vlan v11_core_2 add ports 8 untagged

configure vlan v12_billing add ports 3, 6 tagged

configure vlan v131 add ports 6-7 tagged

configure vlan v3500 add ports 1, 6 tagged

configure vlan v400_managment add ports 6-7, 9-10 tagged

configure vlan Mgmt ipaddress 212.212.212.130 255.255.255.248

configure vlan v100_core_local ipaddress 91.91.16.2 255.255.255.252

enable ipforwarding vlan v100_core_local

configure vlan v131 ipaddress 91.91.16.1 255.255.255.192

enable ipforwarding vlan v131

configure vlan v131 add secondary-ipaddress 172.31.131.1 255.255.255.0

configure vlan v400_managment ipaddress 10.0.0.254 255.255.255.0

enable ipforwarding vlan v400_managment

configure vlan v400_managment add secondary-ipaddress 91.91.16.33 255.255.255.240

configure vlan v400_managment add secondary-ipaddress 91.91.16.49 255.255.255.240

 

#

# Module fdb configuration.

#

configure iparp vr VR-Default fast-convergence on

configure iparp vr VR-Sat1 fast-convergence on

configure iparp add 172.31.129.2 vr VR-Sat1 3c:97:0e:8d:00:88

 

configure iparp add proxy 91.91.16.0 255.255.255.192 vr VR-Sat1 00:04:96:8f:aa:46

 

#

# Module rtmgr configuration.

#

configure iproute priority static 100 vr VR-Sat1

configure iproute add default 212.212.212.129 vr VR-Mgmt

configure iproute add 91.91.16.184 255.255.255.248 91.91.16.47 vr VR-Sat1

configure iproute add default 91.91.16.1 vr VR-Sat1

enable iproute ipv4 compression vr VR-Sat1

 

#

# Module mcmgr configuration.

#

configure forwarding ipmc lookup-key mixed-mode

 

#

# Module acl configuration.

#

 

configure access-list zone SYSTEM application NetLogin application-priority 4

configure access-list zone SYSTEM application HealthCheckLAG application-priority 5

configure access-list zone SYSTEM application IdentityManager application-priority 6

configure access-list zone SYSTEM application VMTracking application-priority 7

configure access-list zone SYSTEM application Snmp application-priority 10

configure access-list zone SYSTEM application Telnet application-priority 11

configure access-list zone SYSTEM application Http application-priority 12

configure access-list zone SYSTEM application Ssh2 application-priority 13

 

#

# Module dosprotect configuration.

#

enable dos-protect

 

#

# Module edp configuration.

#

disable edp ports all

 

#

# Module ems configuration.

#

configure log filter DefaultFilter add exclude events SNMP.Master.DropReqAccessDeny

configure log filter DefaultFilter add exclude events DM.Notice match string "hwclock"

 

#

# Module idMgr configuration.

#

create ldap domain "Unknown" default

configure ldap domain "Unknown" base-dn none

 

#

# Module ipSecurity configuration.

#

enable ip-security dhcp-snooping vlan v100_core_local port 5 violation-action drop-packet

enable ip-security dhcp-snooping vlan v131 port 6 violation-action drop-packet

 

configure trusted-ports 5 trust-for dhcp-server

configure trusted-servers vlan v100_core_local add server 91.91.16.1 trust-for dhcp-server

enable ip-security arp learning learn-from-dhcp vlan v131 ports 6

 

enable ip-security arp gratuitous-protection vlan Default

enable ip-security arp gratuitous-protection vlan v100_core_local

enable ip-security arp gratuitous-protection vlan v10_core

enable ip-security arp gratuitous-protection vlan v11_core_2

enable ip-security arp gratuitous-protection vlan v12_billing

enable ip-security arp gratuitous-protection vlan v131

enable ip-security anomaly-protection icmp

 

 

configure dns-client add name-server 91.91.16.27 vr VR-Mgmt

configure dns-client add name-server 91.91.16.27 vr VR-Default

configure dns-client add name-server 91.91.16.27 vr VR-Sat1

configure sntp-client primary 0.ru.pool.ntp.org vr VR-Sat1

configure sntp-client secondary ntp1.stratum1.ru vr VR-Sat1

configure sntp-client update-interval 3600

enable sntp-client

configure bootprelay add 91.91.16.1 vr VR-Sat1

configure bootprelay dhcp-agent information option vr VR-Sat1

configure bootprelay dhcp-agent information policy replace vr VR-Sat1

enable bootprelay ipv4 vlan v100_core_local

enable bootprelay ipv4 vlan v131

 

#

# Module pim configuration.

#

configure pim register-checksum-to include-data

 

#

# Module stp configuration.

#

configure mstp region 0004968faa46

configure stpd s0 delete vlan default ports all

disable stpd s0 auto-bind vlan default

Share this post


Link to post
Share on other sites

Если это поможет - было бы хорошо.

Правда закончилась у меня сервисная, может кто поделится ссылкой на софт?

Share this post


Link to post
Share on other sites

summitX-15.6.3.1-patch1-6.xos такой есть.

поделишься? можно и на мыло shadow.iura собака gmail.com

заранее спасибо!

 

да конкфиг у меня не серьйозный. просто L3 терминирование вланов и все. вот только запара , что любой юзверей с микротиком сможет сгенерировать трафик 70 мегабит и ляжет весь екстрим. это хорошо что я увидил баг, а железка уже стоит два года.... обидно и не могу понять что дальше делать. Дай бог чтоб помогла новая прошивка - но сомнения есть что не в ней дело.

Share this post


Link to post
Share on other sites

Дайте ченьжлог 16.1 плз

https://yadi.sk/d/PC05UMyWm8AU6

 

К слову о проблеме ТСа, попробуйте перед тестом отключить всевозможные ip-security применительно к влану, из которого тестируете ;)

Share this post


Link to post
Share on other sites

При таком конфиге можно и 16.1 вкатать. Неделю в продакшне катаю 16.1.2.14, нареканий пока нет.

Если есть прошивка - поделись. shadow.iura сАбака gmail.com

 

готов тоже поставить. так как вариантов проблемы решения не имею.

 

Дайте ченьжлог 16.1 плз

https://yadi.sk/d/PC05UMyWm8AU6

 

К слову о проблеме ТСа, попробуйте перед тестом отключить всевозможные ip-security применительно к влану, из которого тестируете ;)

 

 

попробую. но все равно не понимаю чем это поможет.

так как я поставил на прямую другой микротик в отдельный порт екстрима , и как на зло отключил dos-protect на екстриме, - в итоге после того как я запустил генератор трафика - у меня рухнула вся сеть и стал не доступный микротик при этом. точнее я на него по удаленке заходил - вот пришлось бегать в серверную , чтобы вырубить генератор. И не имело значения какой порт, влан - рухнуло все

Share this post


Link to post
Share on other sites

Ну неужели нет гуру по екстримам. перепрошился я на 15.7.2 - изменений нет. валится вся сеть (екстрим) при генерации пакета 60 и 80 мегабит

Share this post


Link to post
Share on other sites

попробую. но все равно не понимаю чем это поможет.

так как я поставил на прямую другой микротик в отдельный порт екстрима , и как на зло отключил dos-protect на екстриме, - в итоге после того как я запустил генератор трафика - у меня рухнула вся сеть и стал не доступный микротик при этом. точнее я на него по удаленке заходил - вот пришлось бегать в серверную , чтобы вырубить генератор. И не имело значения какой порт, влан - рухнуло все

Функционал ip-security лезет в каждый пролетающий пакет для его изучения, что приводит к повышенной нагрузке на cpu, это все равно что весь трафик на процессор залить - ни одна железка этого не любит.

Share this post


Link to post
Share on other sites

все я сдался.

отключил все на тестируемом влане

disable ip-security anomaly-protection icmp

disable ip-security arp gratuitous-protection vlan v135

disable ip-security dhcp-snooping vlan v135 port all

disable ip-security arp learning learn-from-dhcp vlan v135 ports all

configure iparp fast-convergence off

disable dos-protect

 

отключал последовательно и проверял. все равно екстрим ложится!

 

Прошу првоерьте кто то у себя если есть возможность. запустите любую мыльницу микротика и откройте tools - traffic generator - настраиватеся легко. проверьте у вас такая же проблема будет или я ежик?

Share this post


Link to post
Share on other sites

сделайте дамп трафика, что создает mikrotik и покажите с десяток пакетов с L2 заголовками. У нас сеть 20 x460 и 12 x670. трафика несколько десятков гигабит. терминация на x460. никаких затыков нет. софт v1531b4-patch1-40. Есть MPLS/VPLS/L3VPN/multicast/PBR/proxy arp/dhcp relay. Security фишки не используем. Только ACL, где надо что-то прикрыть.

Share this post


Link to post
Share on other sites

Огромное спасибо darkagent - помог , точнее решил мою задачу. Тему можно закрывать.

Мой костыль в незнании екстрима.

И спасибо всем за участие.

Share this post


Link to post
Share on other sites

Функционал ip-security лезет в каждый пролетающий пакет для его изучения, что приводит к повышенной нагрузке на cpu, это все равно что весь трафик на процессор залить - ни одна железка этого не любит.

четка

Share this post


Link to post
Share on other sites

Написали бы в чём дело - вдруг кому ещё пригодится.

rate-limit flood multicast

Поди весь айписекьюрити снёс и все

как ни странно, оно оказалось не причем

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.