yazero Posted July 13, 2016 (edited) · Report post добрый день. accel-ppp <-->ospf<-->cisco L3 <---> bgp конфиг на cisco inter loopback 0 ip addr 91.197.76.129/25 inter loopback 1 ip addr 91.197.78.129/25 inter loopback 2 ip addr 91.197.79.129/25 inter vlan 100 ip unnumbered loopback0 inter vlan 101 ip unnumbered loopback0 inter vlan 102 ip unnumbered loopback0 inter vlan 2004 ip ospf auth 10.1.1.253 router ospf network 10.1.1.0 0.0.0.255 area 0 redestribuded connected redestribuded static ip route 91.197.76.130 255.255.255.255 vlan 100 ip route 91.197.76.131 255.255.255.255 vlan 101 ip route 91.197.76.132 255.255.255.255 vlan 102 ip route 91.197.76.0/22 Null0 254 в одной подсети /25 могут быть как абоненты со статикой так и абоненты pppoe Теперь хочу плавно переехать(по одному абоненту) на S300+ospf с его supervlan (arp proxy all есть на интерфейсе). создаю vlan интерфейс и не могу указать маску /32 создаю vlan 91.197.76.129/25 , но не анонсирую в ospf (только static) добавляем маршрут ip route 91.197.76.130 255.255.255.255 91.197.76.130 добавляем маршрут ip route 0.0.0.0 0.0.0.0 10.1.1.253 (cisco) //это все настроено внутри vrf В итоге в таблице маршрутизации ospf есть только один адрес, что и надо было.. инет есть. но не видит 91.197.76.129 ,хотя на машине arp верный. проходит nnn-е время канал пропадает, пока не запущу ping c SNR до хоста. Также абонент не видит сеть 91.197.76.129/25 . Если убрать анонс сетей connected из ospf на cisco. Что бы она не анонсировала 91.197.76.129(и все остальные connected . у каждого bras есть default маршрут на cisco) кто то уже пробовал делать переезд cisco--snr с подобной конфигурацией ? (мысль конечно есть сделать отдельный bras для ipoe ) Edited July 13, 2016 by yazero Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
yazero Posted July 13, 2016 (edited) · Report post заработало при прописывании в ospf redestr conected , со статикой никак. на cisco пока ничего не менял. со статикой хотел видеть что то вроде O E2 91.197.76.138/32 [110/30] via 10.1.1.248(SNR), 01:13:38, Vlan2004 sw_core# sh ip route | inc 10.1.1.248 (SNR) O E2 91.197.76.128/25 [110/30] via 10.1.1.248, 00:13:08, Vlan2004 O E2 91.197.76.212/32 [110/20] via 10.1.1.250, 01:13:38, Vlan2004 S 91.197.76.213/32 is directly connected, Vlan125 S 91.197.76.217/32 is directly connected, Vlan108 S 91.197.76.222/32 is directly connected, Vlan125 snr # sh arp 91.197.76.138 88-ae-1d-7a-80-f1 Vlan4000 Ethernet1/0/28 Dynamic 925 4001 Edited July 13, 2016 by yazero Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mikhail Burnin Posted July 14, 2016 · Report post Добрый день, на S300 нельзя прописать маршрут на vlan, только на nexthop . анонсируйте с SNR сеть 91.197.76.128/25, а с Cisco /32 маршруты клиентов, которые на ней работают, и 91.197.76.128/25 зафильтруйте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
yazero Posted July 14, 2016 (edited) · Report post спасибо Михаил. Частично так и сделал. На cisco connected маршруты с большим приоритетом (metric 0), то что она получает по ospf metric 20 . Также больший приоритет имеет более точная маска /32 И еще можно поиграться на SNR redistribute connected metric 30 redistribute static metric 30 redistribute ospf metric 30 Но проблема была не только в этом. (отписался на support). В чем был глюк, то работает то нет. я собрал стенд и своего пк и ноута и пробовал их добавлять в vlan(sublan) на разные supervlan повторяя конфиг loopback cisco . пока вообще не перестало работать. решил не ребутить так как перевел около 1000 устройств радиодоступа , около 400 голосовых шлюзов и офис на snr (внутри vrf + маршрут до nat ) И там тоже есть supervlan+sublan который работает. ну вот подробнее вот пинг до шлюза From 91.197.76.142 icmp_seq=51 Destination Host Unreachable From 91.197.76.142 icmp_seq=52 Destination Host Unreachable From 91.197.76.142 icmp_seq=53 Destination Host Unreachable From 91.197.76.142 icmp_seq=54 Destination Host Unreachable From 91.197.76.142 icmp_seq=55 Destination Host Unreachable From 91.197.76.142 icmp_seq=56 Destination Host Unreachable вот пинг до шлюза после создание интерфейса заново 64 bytes from 91.197.76.129: icmp_seq=60 ttl=64 time=1012 ms 64 bytes from 91.197.76.129: icmp_seq=61 ttl=64 time=5.01 ms 64 bytes from 91.197.76.129: icmp_seq=62 ttl=64 time=0.701 ms добавляю в существующей supervlan sublan 4002 vlan 4000 supervlan sublan 4001-4002 inter vlan 4000 ip vrf forwarding inet arp-proxy subvlan all ip addres 91.197.76.129 255.255.255.128 Вроде все супер arp есть. 91.197.76.138 88-ae-1d-7a-80-f1 Vlan4000 Ethernet1/0/28 Dynamic 1199 4001 91.197.76.142 c0-3f-d5-e3-5f-f6 Vlan4000 Ethernet1/0/28 Dynamic 999 4002 а пинга нет. хм только вчера настраивал работало... как так, проверяю маршруты, все ок. решил положить inter vlan 4000 и поднять заново , работает только тот sub который был создан ранее.уже не плохо. а если удалить inter vlan 4000 и создать заново, то работает и второй subvlan. вообще отлично. но явно это косяк. Edited July 14, 2016 by yazero Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
yazero Posted July 15, 2016 · Report post у кого есть snr-s4550 посмотрите такая проблема с supervlan воспроизводится ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
QWE Posted July 15, 2016 (edited) · Report post у кого есть snr-s4550 посмотрите такая проблема с supervlan воспроизводится ? Раз уж вы занимаетесь плотно тестами super-vlan попробуйте эксперимент со сканированием несуществующих хостов в поднятой для super-vlan сети. вот здесь описывал суть проблемы http://forum.nag.ru/forum/index.php?showtopic=97006&view=findpost&p=1298741 Софт у SNR скорее всего одинаков и "особенности работы" очень вероятно и на S300 вылезут. Можно попробовать в Linux nmap-ом нагенерить пакетов на одну или несколько сетей которые будут подняты для super-vlan на s300. У меня на сервере nmap -sP 192.168.1.0/24 генерит 60 пакетов в сек. в скрипте можно несколько nmap почти параллельно запустить #!/bin/sh nmap -sP 192.168.1.0/24 --packet-trace >> `pwd`/log1.log & nmap -sP 192.168.1.0/24 --packet-trace >> `pwd`/log2.log & nmap -sP 192.168.1.0/24 --packet-trace >> `pwd`/log3.log & nmap -sP 192.168.1.0/24 --packet-trace >> `pwd`/log4.log & Может еще какие утилиты для сканирования есть. да, упустил момент - в super-vlan е нужно создать 512 sub-vlan. Иначе в какие vlan софт свича будет рассылать arp запросы на несуществующие IP в сети. т.е. этот скрипт по идее должен привести к генерации 60*4=240 пакетов на несуществующие IP. Для каждого пакета софтом коммутатора будет сгенерено 512 arp запросов. В итоге 240*512=122880 arp запросов в сек. Что то жестко получилось ))). PS. НАГ не стал коментировать мой вопрос. Железки 4550 у меня нет, сам бы потестил. Edited July 16, 2016 by QWE Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted July 16, 2016 · Report post поидее потока удп трафика в один unknown ip покажет все ) в момент, когда он летит надо посмотреть, что происходит с арпами в разных сабвланах. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
QWE Posted July 16, 2016 (edited) · Report post поидее потока удп трафика в один unknown ip покажет все ) в момент, когда он летит надо посмотреть, что происходит с арпами в разных сабвланах. что должно происходить с arp ами? а как посмотреть? подключить второй комп в транковый порт S300 с назначенными sub-vlan в super-vlan и запустить на нем wireshark ? или на консоли S300 запустить debug arp какой нибудь? Edited July 16, 2016 by QWE Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted July 16, 2016 · Report post Да, можно 2 ноута в разные сабвланы с вайршарком. Ипы не назначать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
yazero Posted July 19, 2016 · Report post 2qwe тоесть в таблице arp будет много записей ? я пробовал сделать пинг на не существующий ip из supervlan , пинги ходят. но я это делал с proxy-arp all sublan на inter vlan Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
QWE Posted July 19, 2016 (edited) · Report post 2qwe тоесть в таблице arp будет много записей ? я пробовал сделать пинг на не существующий ip из supervlan , пинги ходят. но я это делал с proxy-arp all sublan на inter vlan Пинги из вне (не с этого коммутатора) ходят на несуществующий IP ? Оригинально... а что в таблице arp для несуществующего (несуществующих) IP? По условиям тестирования в сети, которая поднята для super-vlan не должно быть ни одного хоста. Отсутствие хостов - это делается специально. И по моему представлению в таблице arp не должно быть ни одной записи - т.к. хостов нет. Во время пинга или лучше скана нужно смотреть за cpu. Нужно в super-vlan поднять как можно больше sub-vlan и сеть /24. Если встать в порт который в sub-vlan из super-vlan компом и запустить на нем wireshark то Вы должны увидеть как свич рассылает arp запросы в то время как с тестирующего компа вы запустите пинги или сканирование. ps Можно порт на свиче, который будет смотреть в wireshark, настроить в транк сетевуха должна порддерживать vlan-ы. в таком случае вы должны увидеть как свич рассылает arp запросы с тегами sub-vlan ов. на один отправленный icmp пакет на несуществующий хост свич должен (ожидается) сгенерить arp запросов = числу sub-vlan. Edited July 20, 2016 by QWE Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zander Posted September 3, 2016 · Report post Огласите весь конфиг S300, относящийся к ip unnumbered Спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...