shadowxxx Posted January 25, 2016 · Report post Добрый день форумчане! Нужна помощь. Ткните пальцем или подскажите куда копать по екстриму, чтобы устранить баг. Что имеем: Extreme Networks 670X версия 15.4.1.3 - он выступает для клиентов в роли L3 - Терминирование вланов и отправлять интернет запроссы на роутер, который стоит за ним. вланом не более 40 шт. роут 1. Решил проверить производительность роутера. Включился в сетку как простой клиент и запустил с помощью микротика 6 версии Трафик генератор. В итоге когда выставил величину пакета 60 и скорость 80 мегабит = получил лаги по всей сети (как будто весь екстрим захлебуется) , пинги перестают ходить и попасть даже на екстрим нет возможности . И что самое отвратительно в логах екстрима ничего нет. Эта проблема только с L3. Если трафик сгенерировать сквазняком, L2, то никаких проблем нет PPS бегает от 14мильйона и выше. Что настраивал на екстриме: enable dos-protect enable ip-security anomaly-protection icmp configure ip-arp fast-convergence on enable iparp gratuitous protect vlan configure sys-recovery-level switch none disable ipforvarding ipv6 vr VR-Sat1 VR-Sat1 - это виртуальный роутинг в котором крутятся все вланы на уровне L3 форвардинг на вланах включен enable ipforwarding вот немного конфига (убрал кучу вланов и немного изменли айпишки пример на одном) - прошу помогите , не знаю куда копать. # # Module devmgr configuration. # configure snmp sysName "core-x670" configure snmp sysLocation "RU" configure snmp sysContact "Admin" configure timezone name MST 145 noautodst configure sys-recovery-level switch none # # Module vlan configuration. # configure vlan default delete ports all configure vr VR-Default delete ports 1-48 configure vr VR-Default add ports 3-4, 11-48 create vr "VR-Sat1" configure vlan default delete ports 1-48 enable jumbo-frame ports all enable iparp gratuitous protect vlan Default create vlan "lpbk" enable loopback-mode vlan lpbk create vlan "v100_core_local" vr VR-Sat1 configure vlan v100_core_local tag 100 enable iparp gratuitous protect vlan v100_core_local create vlan "v10_core" configure vlan v10_core description "CORE_EXTERNAL" configure vlan v10_core tag 10 enable iparp gratuitous protect vlan v10_core create vlan "v11_core_2" configure vlan v11_core_2 tag 11 enable iparp gratuitous protect vlan v11_core_2 create vlan "v12_billing" configure vlan v12_billing tag 12 enable iparp gratuitous protect vlan v12_billing create vlan "v131" vr VR-Sat1 configure vlan v131 description "users_vlan131" configure vlan v131 tag 131 create vlan "v3500" configure vlan v3500 description "multicast_1_old" configure vlan v3500 tag 3500 create vlan "v400_managment" vr VR-Sat1 configure vlan v400_managment description "managment vlan" configure vlan v400_managment tag 400 enable iparp gratuitous protect vlan v400_managment create vlan "v602" configure vlan v602 description "iptv_rus" configure vlan v602 tag 602 disable dot1p examination port all disable flow-control rx-pause port all configure ports all display-string UPLINK_MAIN configure ports all auto off speed 10000 duplex full config port all rate-limit flood broadcast 500 configure vlan v100_core_local add ports 5 untagged configure vlan v10_core add ports 3-4 untagged configure vlan v11_core_2 add ports 3 tagged configure vlan v11_core_2 add ports 8 untagged configure vlan v12_billing add ports 3, 6 tagged configure vlan v131 add ports 6-7 tagged configure vlan v3500 add ports 1, 6 tagged configure vlan v400_managment add ports 6-7, 9-10 tagged configure vlan Mgmt ipaddress 212.212.212.130 255.255.255.248 configure vlan v100_core_local ipaddress 91.91.16.2 255.255.255.252 enable ipforwarding vlan v100_core_local configure vlan v131 ipaddress 91.91.16.1 255.255.255.192 enable ipforwarding vlan v131 configure vlan v131 add secondary-ipaddress 172.31.131.1 255.255.255.0 configure vlan v400_managment ipaddress 10.0.0.254 255.255.255.0 enable ipforwarding vlan v400_managment configure vlan v400_managment add secondary-ipaddress 91.91.16.33 255.255.255.240 configure vlan v400_managment add secondary-ipaddress 91.91.16.49 255.255.255.240 # # Module fdb configuration. # configure iparp vr VR-Default fast-convergence on configure iparp vr VR-Sat1 fast-convergence on configure iparp add 172.31.129.2 vr VR-Sat1 3c:97:0e:8d:00:88 configure iparp add proxy 91.91.16.0 255.255.255.192 vr VR-Sat1 00:04:96:8f:aa:46 # # Module rtmgr configuration. # configure iproute priority static 100 vr VR-Sat1 configure iproute add default 212.212.212.129 vr VR-Mgmt configure iproute add 91.91.16.184 255.255.255.248 91.91.16.47 vr VR-Sat1 configure iproute add default 91.91.16.1 vr VR-Sat1 enable iproute ipv4 compression vr VR-Sat1 # # Module mcmgr configuration. # configure forwarding ipmc lookup-key mixed-mode # # Module acl configuration. # configure access-list zone SYSTEM application NetLogin application-priority 4 configure access-list zone SYSTEM application HealthCheckLAG application-priority 5 configure access-list zone SYSTEM application IdentityManager application-priority 6 configure access-list zone SYSTEM application VMTracking application-priority 7 configure access-list zone SYSTEM application Snmp application-priority 10 configure access-list zone SYSTEM application Telnet application-priority 11 configure access-list zone SYSTEM application Http application-priority 12 configure access-list zone SYSTEM application Ssh2 application-priority 13 # # Module dosprotect configuration. # enable dos-protect # # Module edp configuration. # disable edp ports all # # Module ems configuration. # configure log filter DefaultFilter add exclude events SNMP.Master.DropReqAccessDeny configure log filter DefaultFilter add exclude events DM.Notice match string "hwclock" # # Module idMgr configuration. # create ldap domain "Unknown" default configure ldap domain "Unknown" base-dn none # # Module ipSecurity configuration. # enable ip-security dhcp-snooping vlan v100_core_local port 5 violation-action drop-packet enable ip-security dhcp-snooping vlan v131 port 6 violation-action drop-packet configure trusted-ports 5 trust-for dhcp-server configure trusted-servers vlan v100_core_local add server 91.91.16.1 trust-for dhcp-server enable ip-security arp learning learn-from-dhcp vlan v131 ports 6 enable ip-security arp gratuitous-protection vlan Default enable ip-security arp gratuitous-protection vlan v100_core_local enable ip-security arp gratuitous-protection vlan v10_core enable ip-security arp gratuitous-protection vlan v11_core_2 enable ip-security arp gratuitous-protection vlan v12_billing enable ip-security arp gratuitous-protection vlan v131 enable ip-security anomaly-protection icmp configure dns-client add name-server 91.91.16.27 vr VR-Mgmt configure dns-client add name-server 91.91.16.27 vr VR-Default configure dns-client add name-server 91.91.16.27 vr VR-Sat1 configure sntp-client primary 0.ru.pool.ntp.org vr VR-Sat1 configure sntp-client secondary ntp1.stratum1.ru vr VR-Sat1 configure sntp-client update-interval 3600 enable sntp-client configure bootprelay add 91.91.16.1 vr VR-Sat1 configure bootprelay dhcp-agent information option vr VR-Sat1 configure bootprelay dhcp-agent information policy replace vr VR-Sat1 enable bootprelay ipv4 vlan v100_core_local enable bootprelay ipv4 vlan v131 # # Module pim configuration. # configure pim register-checksum-to include-data # # Module stp configuration. # configure mstp region 0004968faa46 configure stpd s0 delete vlan default ports all disable stpd s0 auto-bind vlan default Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tros10 Posted January 25, 2016 · Report post Софт обновите сначала до рекомендуемого 15.6. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 25, 2016 · Report post Если это поможет - было бы хорошо. Правда закончилась у меня сервисная, может кто поделится ссылкой на софт? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Garra-67 Posted January 25, 2016 · Report post summitX-15.6.3.1-patch1-6.xos такой есть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted January 25, 2016 · Report post При таком конфиге можно и 16.1 вкатать. Неделю в продакшне катаю 16.1.2.14, нареканий пока нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s2n Posted January 25, 2016 · Report post Дайте ченьжлог 16.1 плз Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 25, 2016 · Report post summitX-15.6.3.1-patch1-6.xos такой есть. поделишься? можно и на мыло shadow.iura собака gmail.com заранее спасибо! да конкфиг у меня не серьйозный. просто L3 терминирование вланов и все. вот только запара , что любой юзверей с микротиком сможет сгенерировать трафик 70 мегабит и ляжет весь екстрим. это хорошо что я увидил баг, а железка уже стоит два года.... обидно и не могу понять что дальше делать. Дай бог чтоб помогла новая прошивка - но сомнения есть что не в ней дело. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted January 25, 2016 · Report post Дайте ченьжлог 16.1 плз https://yadi.sk/d/PC05UMyWm8AU6 К слову о проблеме ТСа, попробуйте перед тестом отключить всевозможные ip-security применительно к влану, из которого тестируете ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 25, 2016 · Report post При таком конфиге можно и 16.1 вкатать. Неделю в продакшне катаю 16.1.2.14, нареканий пока нет. Если есть прошивка - поделись. shadow.iura сАбака gmail.com готов тоже поставить. так как вариантов проблемы решения не имею. Дайте ченьжлог 16.1 плз https://yadi.sk/d/PC05UMyWm8AU6 К слову о проблеме ТСа, попробуйте перед тестом отключить всевозможные ip-security применительно к влану, из которого тестируете ;) попробую. но все равно не понимаю чем это поможет. так как я поставил на прямую другой микротик в отдельный порт екстрима , и как на зло отключил dos-protect на екстриме, - в итоге после того как я запустил генератор трафика - у меня рухнула вся сеть и стал не доступный микротик при этом. точнее я на него по удаленке заходил - вот пришлось бегать в серверную , чтобы вырубить генератор. И не имело значения какой порт, влан - рухнуло все Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 25, 2016 · Report post вообщем нашел ExtremeXOS 15.7.2 - если что поделюсь кто попросит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 25, 2016 · Report post Ну неужели нет гуру по екстримам. перепрошился я на 15.7.2 - изменений нет. валится вся сеть (екстрим) при генерации пакета 60 и 80 мегабит Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted January 26, 2016 · Report post попробую. но все равно не понимаю чем это поможет. так как я поставил на прямую другой микротик в отдельный порт екстрима , и как на зло отключил dos-protect на екстриме, - в итоге после того как я запустил генератор трафика - у меня рухнула вся сеть и стал не доступный микротик при этом. точнее я на него по удаленке заходил - вот пришлось бегать в серверную , чтобы вырубить генератор. И не имело значения какой порт, влан - рухнуло все Функционал ip-security лезет в каждый пролетающий пакет для его изучения, что приводит к повышенной нагрузке на cpu, это все равно что весь трафик на процессор залить - ни одна железка этого не любит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 26, 2016 · Report post Спасибо за совет. попробую на время тестирования вырубить данную причуду. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 26, 2016 · Report post все я сдался. отключил все на тестируемом влане disable ip-security anomaly-protection icmp disable ip-security arp gratuitous-protection vlan v135 disable ip-security dhcp-snooping vlan v135 port all disable ip-security arp learning learn-from-dhcp vlan v135 ports all configure iparp fast-convergence off disable dos-protect отключал последовательно и проверял. все равно екстрим ложится! Прошу првоерьте кто то у себя если есть возможность. запустите любую мыльницу микротика и откройте tools - traffic generator - настраиватеся легко. проверьте у вас такая же проблема будет или я ежик? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 26, 2016 · Report post или поделитесь рабочим конфигом - я попробую сам разобрать где я накосячил. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted January 26, 2016 · Report post сделайте дамп трафика, что создает mikrotik и покажите с десяток пакетов с L2 заголовками. У нас сеть 20 x460 и 12 x670. трафика несколько десятков гигабит. терминация на x460. никаких затыков нет. софт v1531b4-patch1-40. Есть MPLS/VPLS/L3VPN/multicast/PBR/proxy arp/dhcp relay. Security фишки не используем. Только ACL, где надо что-то прикрыть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shadowxxx Posted January 27, 2016 · Report post Огромное спасибо darkagent - помог , точнее решил мою задачу. Тему можно закрывать. Мой костыль в незнании екстрима. И спасибо всем за участие. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stalker86 Posted January 30, 2016 · Report post Написали бы в чём дело - вдруг кому ещё пригодится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted January 31, 2016 · Report post Поди весь айписекьюрити снёс и все Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdntw Posted January 31, 2016 · Report post Функционал ip-security лезет в каждый пролетающий пакет для его изучения, что приводит к повышенной нагрузке на cpu, это все равно что весь трафик на процессор залить - ни одна железка этого не любит. четка Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted February 1, 2016 · Report post Написали бы в чём дело - вдруг кому ещё пригодится. rate-limit flood multicast Поди весь айписекьюрити снёс и все как ни странно, оно оказалось не причем Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...