Перейти к содержимому
Калькуляторы

Пропадания icmp после замены сетевой

4 минуты назад, passer сказал:

У вас  rx_missed_errors: 4311299 - т.е. внимательно раскидать сетевые, чтобы разные интерфейсы не болтались сразу на нескольких процессорах.

 

Этот счетчик тикнул, когда я флоу контрол отключал. Сейчас он стоит на месте.

 

9 минут назад, passer сказал:

Держать BGP-сессию ? Вполне.

 

Ага. Одна сессия. Ну и статические маршруты внутрь сети. Запланировали сегодня на ночь попробовать ее поставить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нормально всё будет на 4948, прекрасные неубиваемые железки. Пофильтруйте только префиксы на приеме, чтобы случайно не поймать от аплинка фв.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

24 минуты назад, vurd сказал:

Нормально всё будет на 4948, прекрасные неубиваемые железки. Пофильтруйте только префиксы на приеме, чтобы случайно не поймать от аплинка фв.

 

Спасибо за наставление :-) фильтры настроил. Ну и у аплинка тоже фильтрация есть. И такое бывает, что вместо дефолта прилетал ФВ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 минут назад, roma33rus сказал:

 

Спасибо за наставление :-) фильтры настроил. Ну и у аплинка тоже фильтрация есть. И такое бывает, что вместо дефолта прилетал ФВ?

Ненужно недооценивать глупость людей. Могут случайно, заменить оборудование, пересадить на другой машрутизатор и так далее. Могут вам перестать слать дефолт и заслать фв. Всё что угодно может быть, фильтр пишется за минуту. И еще soft-reconfiguration выключите, в ту же степь всё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 минут назад, vurd сказал:

Ненужно недооценивать глупость людей. Могут случайно, заменить оборудование, пересадить на другой машрутизатор и так далее. Могут вам перестать слать дефолт и заслать фв. Всё что угодно может быть, фильтр пишется за минуту. И еще soft-reconfiguration выключите, в ту же степь всё.

 

Все-таки хочется быть оптимистом и верить, что наш аплинк, ребята хорошие :-)

 

Сейчас у меня такой конфиг подготовлен для бгп на циске. Потом ночью попробую выключить soft-reconfiguration. Роутмапы по шаблону в гугле брал, свои сети только повписывал:

Скрытый текст

router bgp 11111
 bgp router-id 100.82.0.2
 bgp log-neighbor-changes
 network .......
 neighbor 100.82.0.1 remote-as 22222
 neighbor 100.82.0.1 description RTK
 neighbor 100.82.0.1 next-hop-self
 neighbor 100.82.0.1 soft-reconfiguration inbound
 neighbor 100.82.0.1 route-map RTK-in in
 neighbor 100.82.0.1 route-map RTK-out out

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

!

route-map from.rtk.routemap permit 1000

 set community 11111:1001 ! метим префиксы коммунити 1001, чтобы потом по ним пофильтровать\поискать.

!

route-map to.rtk.routemap permit 1000

 set community none ! очищаем коммунити на выходе, либо ставим тут интересующие для управления (с одним аплинком просто очищаем)

!

ip prefix-list from.rtk.prefixes seq 1000 permit 0.0.0.0/0 ! принимаем только дефолт

!

ip prefix-list to.rtk.prefixes seq 1000 permit <net/len> ! анонсируем только свои сети

!

router bgp 11111

 no neighbor 100.82.0.1 next-hop-self ! не нужно, у вас eBGP
 no neighbor 100.82.0.1 soft-reconfiguration inbound ! не нужно несмотря на фильтры влетит в память, если будет что-то больше дефолта

 neighbor 100.82.0.1 send-community both ! включаем отправку коммунити

 neighbor 100.82.0.1 prefix-list from.rtk.prefixes in

 neighbor 100.82.0.1 prefix-list to.rtk.prefixes out

 neighbor 100.82.0.1 route-map from.rtk.routemap in

 neighbor 100.82.0.1 route-map to.rtk.routemap out

!

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 17.01.2020 в 19:36, roma33rus сказал:

Не, там два проца стоит 6-ти ядерные.

Для начала урежьте на сетевой очереди до 6 и прибейте их к одному физическому процессору. Многоголовость (не многоядерность) на маршрутизации однозначное зло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 17.01.2020 в 16:38, vurd сказал:

!

route-map from.rtk.routemap permit 1000

 set community 11111:1001 ! метим префиксы коммунити 1001, чтобы потом по ним пофильтровать\поискать.

!

route-map to.rtk.routemap permit 1000

 set community none ! очищаем коммунити на выходе, либо ставим тут интересующие для управления (с одним аплинком просто очищаем)

!

ip prefix-list from.rtk.prefixes seq 1000 permit 0.0.0.0/0 ! принимаем только дефолт

!

ip prefix-list to.rtk.prefixes seq 1000 permit <net/len> ! анонсируем только свои сети

!

router bgp 11111

 no neighbor 100.82.0.1 next-hop-self ! не нужно, у вас eBGP
 no neighbor 100.82.0.1 soft-reconfiguration inbound ! не нужно несмотря на фильтры влетит в память, если будет что-то больше дефолта

 neighbor 100.82.0.1 send-community both ! включаем отправку коммунити

 neighbor 100.82.0.1 prefix-list from.rtk.prefixes in

 neighbor 100.82.0.1 prefix-list to.rtk.prefixes out

 neighbor 100.82.0.1 route-map from.rtk.routemap in

 neighbor 100.82.0.1 route-map to.rtk.routemap out

!

 

 

 

 

 

Спасибо за наводку. надо бы разбираться с роут мапами и префикс листами, а особенно с коммьюнити, с ними у меня вообще сложно. Для фильтрации принимающих и отдающих префиксов лучше использовать префикс листы, а не роут мапы?

 

Есть еще такой вопрос по маршрутам. Допустим я анонсирую одну сетку /24. Далее я бью ее пополам на 2 по /25 и маршрутизирую внутрь одну половину через один маршрут (до нас0 например), а другую половину через другой маршрут (до нас1). Если такая ситуация получается, что у меня падает интерфейс в сторону нас1, то маршрут до одной /25 удаляется из памяти циски и при этом снимается анонс всей /24. Это фича какая-то или можно как-то поднастроить поведение циски в таких ситуациях?

 

В 18.01.2020 в 17:30, taf_321 сказал:

Для начала урежьте на сетевой очереди до 6 и прибейте их к одному физическому процессору. Многоголовость (не многоядерность) на маршрутизации однозначное зло.

 

То есть даже, если просто стоит второй проц и не используется, то это тоже добавляет проблем? Если выдернуть второй проц, то должно стать лучше?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, roma33rus сказал:

То есть даже, если просто стоит второй проц и не используется, то это тоже добавляет проблем? Если выдернуть второй проц, то должно стать лучше?

Это вы так думаете что не используется, а в реальности может все оказаться весьма печально. По идее должно стать лучше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, taf_321 сказал:

Это вы так думаете что не используется, а в реальности может все оказаться весьма печально. По идее должно стать лучше.

 

Я понял, вывод можно делать один: Если хочешь безгеморойный роутинг, то ставь однопроцессорные платформы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, roma33rus сказал:

Я понял, вывод можно делать один: Если хочешь безгеморойный роутинг, то ставь однопроцессорные платформы?

Именно. И за одно рассчитать, чтобы суммарное количество очередей у всех установленных сетевых карт кратно соотносилось с количеством ядер процессора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 минут назад, taf_321 сказал:

Именно. И за одно рассчитать, чтобы суммарное количество очередей у всех установленных сетевых карт кратно соотносилось с количеством ядер процессора.

Ага. принцип понял. спасибо. буду учитывать в будущем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, roma33rus сказал:

 

Спасибо за наводку. надо бы разбираться с роут мапами и префикс листами, а особенно с коммьюнити, с ними у меня вообще сложно. Для фильтрации принимающих и отдающих префиксов лучше использовать префикс листы, а не роут мапы?

 

Есть еще такой вопрос по маршрутам. Допустим я анонсирую одну сетку /24. Далее я бью ее пополам на 2 по /25 и маршрутизирую внутрь одну половину через один маршрут (до нас0 например), а другую половину через другой маршрут (до нас1). Если такая ситуация получается, что у меня падает интерфейс в сторону нас1, то маршрут до одной /25 удаляется из памяти циски и при этом снимается анонс всей /24. Это фича какая-то или можно как-то поднастроить поведение циски в таких ситуациях?

Варианта два

1. Маршрут на /24 в null0 и network net/24 в router bgp

2. В router bgp использовать aggregate, погуглите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, vurd сказал:

Варианта два

1. Маршрут на /24 в null0 и network net/24 в router bgp

2. В router bgp использовать aggregate, погуглите.

 

Спасиб за направление, поизучаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

еще вопрос по циске появился.

Я как вычитал, что там есть netflow lite. Чем он от обычного отличается, можно ли считать его заменой обычного netflow? И нормально ли работает? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда бы уж прочли об ограничениях. Вам лучше знать для чего оно вам надо. Но проще ipt_netflow на nat-серверах использовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 24.01.2020 в 20:14, passer сказал:

Тогда бы уж прочли об ограничениях. Вам лучше знать для чего оно вам надо. Но проще ipt_netflow на nat-серверах использовать.

 

У нас только на фре тазики. сейчас я ipcadом потоки сбрасываю. Не особо нагрузка нравится от него.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ipcad, когда я его пробовал - и статистику норовил терять и проц безбожно грузил.
ng_netflow пробовали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, ng_netflow - менее ресурсоемкое решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет. ng_netfow не пробовал. Если честно даже не знал о нем. Почитаю, спасибо. При его включении придется ядро пересобирать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А ng_netflow можно отправить поток на два адреса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, roma33rus сказал:

А ng_netflow можно отправить поток на два адреса?

поидее внутри нетграфа ты можешь его скопировать и отдать ещё раз

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

За вознаграждение есть кто настроит ng_netflow?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.