Jump to content
Калькуляторы

Замена DGS-3420 L3

Reply to this topic

roma33rus   

roma33rus
Posted (edited)

Всем привет. Собственно ситуация такая получается. На днях попытались перенести VLANы на dgs-3420, ничего хорошего из этого не вышло. Получалось 53 VLANа и 53 маршрута. При том, что работы проводились ночью, CPU ушел в загрузку 86-100%, соответственно решили больше не озоровать и вернуть все обратно. Теперь прошу совета, кто-что ставит на это дело (конкретные модельки)? Желательно не слишком дорогого ценового диапазона и минимум 4 порта 10g и 24 SFP.

Edited by roma33rus

Share this post

Link to post
Share on other sites

andryas   

andryas
Posted

Есть неписанное правило: D-Link - это L2.

Я дважды наступал на грабли, пытаясь запустить что-то серьёзное на L3 Длинк. После этого зарёкся использовать китайский L3 в продакшине. И горя не знаю.

Есть широчайший выбор других вендоров, у которых с L3 всё работает как надо, без сюрпризов и особенностей.

 

Я лично на L3 юзаю классику, Cisco. Но есть решения получше и подешевле.

Share this post

Link to post
Share on other sites

roma33rus   

roma33rus
Posted

Есть неписанное правило: D-Link - это L2.

Я дважды наступал на грабли, пытаясь запустить что-то серьёзное на L3 Длинк. После этого зарёкся использовать китайский L3 в продакшине. И горя не знаю.

Есть широчайший выбор других вендоров, у которых с L3 всё работает как надо, без сюрпризов и особенностей.

 

Теперь я тоже это понял, что DLink только L2. И все-таки хотелось бы услышать рекомендации по выбору нормального железа :-)

Share this post

Link to post
Share on other sites

andryas   

andryas
Posted

Теперь я тоже это понял, что DLink только L2. И все-таки хотелось бы услышать рекомендации по выбору нормального железа :-)

 

В ценовом диапазоне Длинков из нормального - только б.у.

Вендоры Cisco, Brocade, Juniper, Extreme

Share this post

Link to post
Share on other sites

Butch3r   

Butch3r
Posted

Есть неписанное правило: D-Link - это L2.

Я дважды наступал на грабли, пытаясь запустить что-то серьёзное на L3 Длинк. После этого зарёкся использовать китайский L3 в продакшине. И горя не знаю.

Есть широчайший выбор других вендоров, у которых с L3 всё работает как надо, без сюрпризов и особенностей.

 

Я лично на L3 юзаю классику, Cisco. Но есть решения получше и подешевле.

хрень всё это, работает L3 на длинках. у меня L3 на 3612/3627/3120/3620 - всё работает.

Вы пробовали снифать трафик, написали ACL для защиты процессора от левого паразитного трафика? В проходящих L2 вланах с мультикатом включили снупинг?

Share this post

Link to post
Share on other sites

roma33rus   

roma33rus
Posted

Есть неписанное правило: D-Link - это L2.

Я дважды наступал на грабли, пытаясь запустить что-то серьёзное на L3 Длинк. После этого зарёкся использовать китайский L3 в продакшине. И горя не знаю.

Есть широчайший выбор других вендоров, у которых с L3 всё работает как надо, без сюрпризов и особенностей.

 

Я лично на L3 юзаю классику, Cisco. Но есть решения получше и подешевле.

хрень всё это, работает L3 на длинках. у меня L3 на 3612/3627/3120/3620 - всё работает.

Вы пробовали снифать трафик, написали ACL для защиты процессора от левого паразитного трафика? В проходящих L2 вланах с мультикатом включили снупинг?

ACL не писал для коммутатора. Думаете сильно поможет? У нас на тот момент в сети трафика в мегабит 200 было от силы :-(. Да снупинг включен и настроен ism vlan.

Share this post

Link to post
Share on other sites

andryas   

andryas
Posted

Вы пробовали снифать трафик, написали ACL для защиты процессора от левого паразитного трафика? В проходящих L2 вланах с мультикатом включили снупинг?

 

Да. Последняя попытка была совершена года 4 назад. Честно говоря экспериментов больше не хочется. Тем более, что есть железо, нарабатывающее без лишних вопросов многие годы аптаймов. Мне лично - ехать.

У меня работает множество Д-Линков на самых различных участках сети. Но только на L2. Доволен.

 

З.Ы. В дискуссию вступать не намерен, но на рабочие шаблоны взглянул бы.

Share this post

Link to post
Share on other sites

Butch3r   

Butch3r
Posted

Есть неписанное правило: D-Link - это L2.

Я дважды наступал на грабли, пытаясь запустить что-то серьёзное на L3 Длинк. После этого зарёкся использовать китайский L3 в продакшине. И горя не знаю.

Есть широчайший выбор других вендоров, у которых с L3 всё работает как надо, без сюрпризов и особенностей.

 

Я лично на L3 юзаю классику, Cisco. Но есть решения получше и подешевле.

хрень всё это, работает L3 на длинках. у меня L3 на 3612/3627/3120/3620 - всё работает.

Вы пробовали снифать трафик, написали ACL для защиты процессора от левого паразитного трафика? В проходящих L2 вланах с мультикатом включили снупинг?

ACL не писал для коммутатора. Думаете сильно поможет? У нас на тот момент в сети трафика в мегабит 200 было от силы :-(. Да снупинг включен и настроен ism vlan.

попробуйте cpu acl. Нужно понять какой трафик и почему попадает на cpu

Share this post

Link to post
Share on other sites

AlKov   

AlKov
Posted

Извиняюсь за вопрос в чужой теме..

Я дважды наступал на грабли, пытаясь запустить что-то серьёзное на L3 Длинк.

А что именно "серъёзное" и на каких конкретно железках?

 

P.S. А почему бы не предположить, что проблема у ТС создана банальной ошибкой, либо в дизайне сети, либо в конфигурации 3420?

Дело в том, что год тому назад (вот тут) я тоже выслушал вагон критики в адрес DGS-3420, но.. Работает, однако, и не кашляет. ;) Трафика 2Г в пиках.

Допускаю, что у ТС совсем не тот случАй, но всё-таки.. А вдруг?

Share this post

Link to post
Share on other sites

roma33rus   

roma33rus
Posted

Есть неписанное правило: D-Link - это L2.

Я дважды наступал на грабли, пытаясь запустить что-то серьёзное на L3 Длинк. После этого зарёкся использовать китайский L3 в продакшине. И горя не знаю.

Есть широчайший выбор других вендоров, у которых с L3 всё работает как надо, без сюрпризов и особенностей.

 

Я лично на L3 юзаю классику, Cisco. Но есть решения получше и подешевле.

хрень всё это, работает L3 на длинках. у меня L3 на 3612/3627/3120/3620 - всё работает.

Вы пробовали снифать трафик, написали ACL для защиты процессора от левого паразитного трафика? В проходящих L2 вланах с мультикатом включили снупинг?

ACL не писал для коммутатора. Думаете сильно поможет? У нас на тот момент в сети трафика в мегабит 200 было от силы :-(. Да снупинг включен и настроен ism vlan.

попробуйте cpu acl. Нужно понять какой трафик и почему попадает на cpu

Вчера начал потихоньку ACL создавать.

 

Извиняюсь за вопрос в чужой теме..

Я дважды наступал на грабли, пытаясь запустить что-то серьёзное на L3 Длинк.

А что именно "серъёзное" и на каких конкретно железках?

 

P.S. А почему бы не предположить, что проблема у ТС создана банальной ошибкой, либо в дизайне сети, либо в конфигурации 3420?

Дело в том, что год тому назад (вот тут) я тоже выслушал вагон критики в адрес DGS-3420, но.. Работает, однако, и не кашляет. ;) Трафика 2Г в пиках.

Допускаю, что у ТС совсем не тот случАй, но всё-таки.. А вдруг?

А загрузкой CPU можете поделиться? Вот думал над Вашими словами про мои ошибки и возможно вы правы. Те адреса которые я перенес на 3420, на них было обращение к службе dns, dhcp, web и icmp. Исходя из этого думаю набросать ACL - блокировать всех и разрешить только нужное.

Share this post

Link to post
Share on other sites

andryas   

andryas
Posted

А что именно "серъёзное" и на каких конкретно железках?

 

Роутинг, dhcp релей. Мусор резался другими д-линками на доступе. Железки старые были, несколько штук, давно это было. Прошивок поменял целую телегу. На некоторых работало неделю, на некоторых - сразу висяк. Всеразличные танцы с бубнами по рекомендациях D-Link'а давали околонулевой эффект. На L2 они же работали стабильно, если не считать средка случавшихся подвисаний управления.

Проблемы - по разному. Потери arp таблиц, дропы, глюки релея. Особо досаждали висяки. Психанул тогда, поставил в конце концов б.у. циски 3550 - забыл о проблемах навсегда. Дизайн сети при этом не менял.

 

Железки вроде DES-3828 или что-то вроде того, уже не помню.

Сейчас, на более новых (3120, 3420) иногда роутится управляющий vlan, ну или какая-то служебная мелочь. Особых проблем на таких задачах нет. Запускать их в дикую сеть почему-то не хочется.

Share this post

Link to post
Share on other sites

Butch3r   

Butch3r
Posted

Ну 3828, 3612/3627 старые железки. С 38 вообще не знаком, 3612/27 имеет ограничение - не больше 1500 арпов абонентов на свич.

Share this post

Link to post
Share on other sites

AlKov   

AlKov
Posted

А загрузкой CPU можете поделиться? Вот думал над Вашими словами про мои ошибки и возможно вы правы. Те адреса которые я перенес на 3420, на них было обращение к службе dns, dhcp, web и icmp. Исходя из этого думаю набросать ACL - блокировать всех и разрешить только нужное.

Загрузка CPU - 14-17%. ACL (cpu acl) только запрещают доступ к "публичным" интерфейсам. Других нет совсем. Ну ещё есть trusted host.

На свитче 5 интерфейсов (включая System), 36 стат. роутов, 21 ARP запись.

Я не зря писал, что у меня скорее всего "другой случАй", нежели у Вас.

И ещё - Вы вроде упоминали multicast в своей сети? Может дело в нём? Вернее - в специфичных для multicast-а настройках.

У меня мультикаста нет совсем, только "нормальный IP". :)

 

P.S. Похожую на вашу конфигурацию юзаю на DGS-3120 (RI), но скорее всего, тоже только похожую.

На DGS-3120 (узлы) приземляю абонентские vlan, получается не более 16 интерфейсов на свитч (более 3120 не позволяет).

Узлы также выступают в роли dhcp relay.

Далее уже L3 - роутинг в ядро (на агрегацию) на те же 3120.

Но снова это "не тот случАй", т.к. это - "локалка", которая практически не нагружена: DNS, ЛК, локальный сайт и роутинг PPTP, которого практически не осталось (90% PPPoE).

А вот в ближайшей перспективе планирую запускать уже "полноценный L3", где DGS-3420 будет роутить клиентский трафик + также dhcp relay.

Около сотни vlan максимально (вот здесь недавно обсуждал "скользкий момент").

Но это пока перспектива, как слипнется в реале, сам пока не знаю. Надеюсь, что не ошибся..

Share this post

Link to post
Share on other sites

roma33rus   

roma33rus
Posted

А загрузкой CPU можете поделиться? Вот думал над Вашими словами про мои ошибки и возможно вы правы. Те адреса которые я перенес на 3420, на них было обращение к службе dns, dhcp, web и icmp. Исходя из этого думаю набросать ACL - блокировать всех и разрешить только нужное.

Загрузка CPU - 14-17%. ACL (cpu acl) только запрещают доступ к "публичным" интерфейсам. Других нет совсем. Ну ещё есть trusted host.

На свитче 5 интерфейсов (включая System), 36 стат. роутов, 21 ARP запись.

Я не зря писал, что у меня скорее всего "другой случАй", нежели у Вас.

И ещё - Вы вроде упоминали multicast в своей сети? Может дело в нём? Вернее - в специфичных для multicast-а настройках.

У меня мультикаста нет совсем, только "нормальный IP". :)

 

P.S. Похожую на вашу конфигурацию юзаю на DGS-3120 (RI), но скорее всего, тоже только похожую.

На DGS-3120 (узлы) приземляю абонентские vlan, получается не более 16 интерфейсов на свитч (более 3120 не позволяет).

Узлы также выступают в роли dhcp relay.

Далее уже L3 - роутинг в ядро (на агрегацию) на те же 3120.

Но снова это "не тот случАй", т.к. это - "локалка", которая практически не нагружена: DNS, ЛК, локальный сайт и роутинг PPTP, которого практически не осталось (90% PPPoE).

А вот в ближайшей перспективе планирую запускать уже "полноценный L3", где DGS-3420 будет роутить клиентский трафик + также dhcp relay.

Около сотни vlan максимально (вот здесь недавно обсуждал "скользкий момент").

Но это пока перспектива, как слипнется в реале, сам пока не знаю. Надеюсь, что не ошибся..

Хм. Хорошая загрузка :-) Да, у вас схема другая. У меня нет возможности к сожалению еще поставить. Все сливается только на 3420. Да, мультикаст есть, настроен ISM VLAN. Общий выходной поток в сеть у меня примерно 300 мегабит. Вот у меня получается скорей всего примерно то, что вы хотите сделать. Клиентский трафик роутится на 3420 (локалка), а дальше все на тазик. Пока что ACL набросал:

 

create cpu access_profile profile_id 1 ip source_ip_mask 255.255.255.255 icmp
config cpu access_profile profile_id 1 add access_id 1 ip source_ip 1.1.1.1 icmp port 1-28 permit
config cpu access_profile profile_id 1 add access_id auto_assign ip source_ip 1.1.1.2 icmp port 1-28 permit
config cpu access_profile profile_id 1 add access_id 3 ip source_ip 1.1.1.3 icmp port 1-28 permit
config cpu access_profile profile_id 1 add access_id 100 ip icmp port 1-28 deny
create cpu access_profile profile_id 2 ip source_ip_mask 255.255.255.255 udp
config cpu access_profile profile_id 2 add access_id 1 ip source_ip 1.1.1.4 udp port 1-28 permit
config cpu access_profile profile_id 2 add access_id 2 ip source_ip 1.1.1.3 udp port 1-28 permit
config cpu access_profile profile_id 2 add access_id 100 ip udp port 1-28 deny
create cpu access_profile profile_id 3 ip source_ip_mask 255.255.255.255 tcp
config cpu access_profile profile_id 3 add access_id 1 ip source_ip 1.1.1.1 tcp port 1-28 permit
config cpu access_profile profile_id 3 add access_id 2 ip source_ip 1.1.1.2 tcp port 1-28 permit
config cpu access_profile profile_id 3 add access_id 3 ip source_ip 1.1.1.3 tcp port 1-28 permit
config cpu access_profile profile_id 3 add access_id 4 ip source_ip 1.1.1.5 tcp port 1-28 permit
config cpu access_profile profile_id 3 add access_id 5 ip source_ip 1.1.1.4 tcp port 1-28 permit
config cpu access_profile profile_id 3 add access_id 100 ip tcp port 1-28 deny
enable cpu_interface_filtering

Share this post

Link to post
Share on other sites

AlKov   

AlKov
Posted

Да, мультикаст есть, настроен ISM VLAN. Общий выходной поток в сеть у меня примерно 300 мегабит.

Я бы попробовал сконфигурить то, что пытались изначально, НО временно полностью отключить мультикаст.

А вот если подтвердится, что мультик и есть виновник, тут увы, не берусь что-либо советовать..

С мультикастом работал единожды - попробовали, поигрались и благополучно забили по причине крайне низкой востребованности.

И слава Богу! :)

Share this post

Link to post
Share on other sites

roma33rus   

roma33rus
Posted

Да, мультикаст есть, настроен ISM VLAN. Общий выходной поток в сеть у меня примерно 300 мегабит.

Я бы попробовал сконфигурить то, что пытались изначально, НО временно полностью отключить мультикаст.

А вот если подтвердится, что мультик и есть виновник, тут увы, не берусь что-либо советовать..

С мультикастом работал единожды - попробовали, поигрались и благополучно забили по причине крайне низкой востребованности.

И слава Богу! :)

Я сразу все попробую :-) а там уже если все получится хорошо, то и найти причину недолго будет. При нынешней конфигурации сети мультикаст вроде работает. Только как Вы правильно сказали, не больно то он и нужен.

Share this post

Link to post
Share on other sites

roysbike   

roysbike
Posted (edited)

Всем привет. Собственно ситуация такая получается. На днях попытались перенести VLANы на dgs-3420, ничего хорошего из этого не вышло. Получалось 53 VLANа и 53 маршрута. При том, что работы проводились ночью, CPU ушел в загрузку 86-100%, соответственно решили больше не озоровать и вернуть все обратно. Теперь прошу совета, кто-что ставит на это дело (конкретные модельки)? Желательно не слишком дорогого ценового диапазона и минимум 4 порта 10g и 24 SFP.

Для 3420 есть прошивка с функциями L3 . Может там , что то поправили и он сможет отрутить. А так 36xx серия

 

 

http://www.dlink.ru/ru/products/1/1468_d.html


Новые возможности
Добавлена поддержка Equal-Cost Multi-Path Route (ECMP)
Добавлена поддержка Weighted-Cost Multi-Path Route (WCMP)
Добавлена поддержка OSPFv2 and OSPFv3
Добавлена поддержка IPv6 Tunneling and GRE Tunnel
Добавлена поддержка IGMPv1/v2/v3
Добавлена поддержка MLDv1/v2
Добавлена поддержка DVMRPv3
Добавлена поддержка PIM-SM/PIM-SMv6/PIM-DM
Добавлена поддержка Policy Based Routing

Edited by roysbike

Share this post

Link to post
Share on other sites

roma33rus   

roma33rus
Posted

Всем привет. Собственно ситуация такая получается. На днях попытались перенести VLANы на dgs-3420, ничего хорошего из этого не вышло. Получалось 53 VLANа и 53 маршрута. При том, что работы проводились ночью, CPU ушел в загрузку 86-100%, соответственно решили больше не озоровать и вернуть все обратно. Теперь прошу совета, кто-что ставит на это дело (конкретные модельки)? Желательно не слишком дорогого ценового диапазона и минимум 4 порта 10g и 24 SFP.

Для 3420 есть прошивка с функциями L3 . Может там , что то поправили и он сможет отрутить. А так 36xx серия

 

 

http://www.dlink.ru/ru/products/1/1468_d.html


Новые возможности
Добавлена поддержка Equal-Cost Multi-Path Route (ECMP)
Добавлена поддержка Weighted-Cost Multi-Path Route (WCMP)
Добавлена поддержка OSPFv2 and OSPFv3
Добавлена поддержка IPv6 Tunneling and GRE Tunnel
Добавлена поддержка IGMPv1/v2/v3
Добавлена поддержка MLDv1/v2
Добавлена поддержка DVMRPv3
Добавлена поддержка PIM-SM/PIM-SMv6/PIM-DM
Добавлена поддержка Policy Based Routing

Прошивку думаю стоить попробовать. А вот на счет серии 36xx не знаю. Мне кажется зря будут деньги потрачены. Уж сразу присмотреться к нормальным коммутаторам L3

Share this post

Link to post
Share on other sites

roysbike   

roysbike
Posted

Всем привет. Собственно ситуация такая получается. На днях попытались перенести VLANы на dgs-3420, ничего хорошего из этого не вышло. Получалось 53 VLANа и 53 маршрута. При том, что работы проводились ночью, CPU ушел в загрузку 86-100%, соответственно решили больше не озоровать и вернуть все обратно. Теперь прошу совета, кто-что ставит на это дело (конкретные модельки)? Желательно не слишком дорогого ценового диапазона и минимум 4 порта 10g и 24 SFP.

Для 3420 есть прошивка с функциями L3 . Может там , что то поправили и он сможет отрутить. А так 36xx серия

 

 

http://www.dlink.ru/ru/products/1/1468_d.html


Новые возможности
Добавлена поддержка Equal-Cost Multi-Path Route (ECMP)
Добавлена поддержка Weighted-Cost Multi-Path Route (WCMP)
Добавлена поддержка OSPFv2 and OSPFv3
Добавлена поддержка IPv6 Tunneling and GRE Tunnel
Добавлена поддержка IGMPv1/v2/v3
Добавлена поддержка MLDv1/v2
Добавлена поддержка DVMRPv3
Добавлена поддержка PIM-SM/PIM-SMv6/PIM-DM
Добавлена поддержка Policy Based Routing

Прошивку думаю стоить попробовать. А вот на счет серии 36xx не знаю. Мне кажется зря будут деньги потрачены. Уж сразу присмотреться к нормальным коммутаторам L3

 

По 36xx серию не будут спорить, соглашусь. D-link вприцнипе как L3 не супер. так , мелкий трафик отрутйтить да и все.

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

Просто под "L3" разные люди понимают разные. Есть 2 принципиально разных юз-кейса:

1. Терминирование сабскрайберов, т.е. сделать влан(или супер-влан) или много вланов, в котором(ых) пытаться затерминировать сотню-тысячу сабскрайберов

2. Создать несколько l3-интерфейсов (/30 или типа того) и использовать чисто под роутинг без закидывания на CPU 100500 миллионов ARP-запросов в секунду.

 

В первом случае - обычно l3-свитчи ведут себя печально. Иногда удаётся всяческими рейт-лимитами отгородиться от мусора на CPU, но иногда нужны фич просто нет (например, когда нет записи в arp и свитч начинается генерить arp-ы со скоростью приходящих сверху пакетов)

Во втором случае даже дешёвые говносвитчи справляются обычно.

Share this post

Link to post
Share on other sites

roma33rus   

roma33rus
Posted

Просто под "L3" разные люди понимают разные. Есть 2 принципиально разных юз-кейса:

1. Терминирование сабскрайберов, т.е. сделать влан(или супер-влан) или много вланов, в котором(ых) пытаться затерминировать сотню-тысячу сабскрайберов

2. Создать несколько l3-интерфейсов (/30 или типа того) и использовать чисто под роутинг без закидывания на CPU 100500 миллионов ARP-запросов в секунду.

 

В первом случае - обычно l3-свитчи ведут себя печально. Иногда удаётся всяческими рейт-лимитами отгородиться от мусора на CPU, но иногда нужны фич просто нет (например, когда нет записи в arp и свитч начинается генерить arp-ы со скоростью приходящих сверху пакетов)

Во втором случае даже дешёвые говносвитчи справляются обычно.

 

Так, интересно. Под вторым пунктом Вы имеете ввиду что-то ip unnumbered? Или я путаю? Сейчас у меня видимо как по первому пункту.

Share this post

Link to post
Share on other sites

Butch3r   

Butch3r
Posted

Нет. Под вторым пунктом имеется ввиду терминация других устройств, например /30 для таких же свичей.

 

У меня, под первым пунктом, стоят DGS-3120 RI. Нормально справляются.

Share this post

Link to post
Share on other sites

roma33rus   

roma33rus
Posted

Нет. Под вторым пунктом имеется ввиду терминация других устройств, например /30 для таких же свичей.

 

У меня, под первым пунктом, стоят DGS-3120 RI. Нормально справляются.

Понял, спасибо. Эту схему описивали в этом сообщении. Буду пробовать RI прошивку ставить. Глянем чего будет.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...