roma33rus Опубликовано 17 января, 2020 · Жалоба 4 минуты назад, passer сказал: У вас rx_missed_errors: 4311299 - т.е. внимательно раскидать сетевые, чтобы разные интерфейсы не болтались сразу на нескольких процессорах. Этот счетчик тикнул, когда я флоу контрол отключал. Сейчас он стоит на месте. 9 минут назад, passer сказал: Держать BGP-сессию ? Вполне. Ага. Одна сессия. Ну и статические маршруты внутрь сети. Запланировали сегодня на ночь попробовать ее поставить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 17 января, 2020 · Жалоба Нормально всё будет на 4948, прекрасные неубиваемые железки. Пофильтруйте только префиксы на приеме, чтобы случайно не поймать от аплинка фв. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 17 января, 2020 · Жалоба 24 минуты назад, vurd сказал: Нормально всё будет на 4948, прекрасные неубиваемые железки. Пофильтруйте только префиксы на приеме, чтобы случайно не поймать от аплинка фв. Спасибо за наставление :-) фильтры настроил. Ну и у аплинка тоже фильтрация есть. И такое бывает, что вместо дефолта прилетал ФВ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 17 января, 2020 · Жалоба 13 минут назад, roma33rus сказал: Спасибо за наставление :-) фильтры настроил. Ну и у аплинка тоже фильтрация есть. И такое бывает, что вместо дефолта прилетал ФВ? Ненужно недооценивать глупость людей. Могут случайно, заменить оборудование, пересадить на другой машрутизатор и так далее. Могут вам перестать слать дефолт и заслать фв. Всё что угодно может быть, фильтр пишется за минуту. И еще soft-reconfiguration выключите, в ту же степь всё. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 17 января, 2020 · Жалоба 7 минут назад, vurd сказал: Ненужно недооценивать глупость людей. Могут случайно, заменить оборудование, пересадить на другой машрутизатор и так далее. Могут вам перестать слать дефолт и заслать фв. Всё что угодно может быть, фильтр пишется за минуту. И еще soft-reconfiguration выключите, в ту же степь всё. Все-таки хочется быть оптимистом и верить, что наш аплинк, ребята хорошие :-) Сейчас у меня такой конфиг подготовлен для бгп на циске. Потом ночью попробую выключить soft-reconfiguration. Роутмапы по шаблону в гугле брал, свои сети только повписывал: Скрытый текст router bgp 11111 bgp router-id 100.82.0.2 bgp log-neighbor-changes network ....... neighbor 100.82.0.1 remote-as 22222 neighbor 100.82.0.1 description RTK neighbor 100.82.0.1 next-hop-self neighbor 100.82.0.1 soft-reconfiguration inbound neighbor 100.82.0.1 route-map RTK-in in neighbor 100.82.0.1 route-map RTK-out out Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 17 января, 2020 · Жалоба ! route-map from.rtk.routemap permit 1000 set community 11111:1001 ! метим префиксы коммунити 1001, чтобы потом по ним пофильтровать\поискать. ! route-map to.rtk.routemap permit 1000 set community none ! очищаем коммунити на выходе, либо ставим тут интересующие для управления (с одним аплинком просто очищаем) ! ip prefix-list from.rtk.prefixes seq 1000 permit 0.0.0.0/0 ! принимаем только дефолт ! ip prefix-list to.rtk.prefixes seq 1000 permit <net/len> ! анонсируем только свои сети ! router bgp 11111 no neighbor 100.82.0.1 next-hop-self ! не нужно, у вас eBGP no neighbor 100.82.0.1 soft-reconfiguration inbound ! не нужно несмотря на фильтры влетит в память, если будет что-то больше дефолта neighbor 100.82.0.1 send-community both ! включаем отправку коммунити neighbor 100.82.0.1 prefix-list from.rtk.prefixes in neighbor 100.82.0.1 prefix-list to.rtk.prefixes out neighbor 100.82.0.1 route-map from.rtk.routemap in neighbor 100.82.0.1 route-map to.rtk.routemap out ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 18 января, 2020 · Жалоба В 17.01.2020 в 19:36, roma33rus сказал: Не, там два проца стоит 6-ти ядерные. Для начала урежьте на сетевой очереди до 6 и прибейте их к одному физическому процессору. Многоголовость (не многоядерность) на маршрутизации однозначное зло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 20 января, 2020 · Жалоба В 17.01.2020 в 16:38, vurd сказал: ! route-map from.rtk.routemap permit 1000 set community 11111:1001 ! метим префиксы коммунити 1001, чтобы потом по ним пофильтровать\поискать. ! route-map to.rtk.routemap permit 1000 set community none ! очищаем коммунити на выходе, либо ставим тут интересующие для управления (с одним аплинком просто очищаем) ! ip prefix-list from.rtk.prefixes seq 1000 permit 0.0.0.0/0 ! принимаем только дефолт ! ip prefix-list to.rtk.prefixes seq 1000 permit <net/len> ! анонсируем только свои сети ! router bgp 11111 no neighbor 100.82.0.1 next-hop-self ! не нужно, у вас eBGP no neighbor 100.82.0.1 soft-reconfiguration inbound ! не нужно несмотря на фильтры влетит в память, если будет что-то больше дефолта neighbor 100.82.0.1 send-community both ! включаем отправку коммунити neighbor 100.82.0.1 prefix-list from.rtk.prefixes in neighbor 100.82.0.1 prefix-list to.rtk.prefixes out neighbor 100.82.0.1 route-map from.rtk.routemap in neighbor 100.82.0.1 route-map to.rtk.routemap out ! Спасибо за наводку. надо бы разбираться с роут мапами и префикс листами, а особенно с коммьюнити, с ними у меня вообще сложно. Для фильтрации принимающих и отдающих префиксов лучше использовать префикс листы, а не роут мапы? Есть еще такой вопрос по маршрутам. Допустим я анонсирую одну сетку /24. Далее я бью ее пополам на 2 по /25 и маршрутизирую внутрь одну половину через один маршрут (до нас0 например), а другую половину через другой маршрут (до нас1). Если такая ситуация получается, что у меня падает интерфейс в сторону нас1, то маршрут до одной /25 удаляется из памяти циски и при этом снимается анонс всей /24. Это фича какая-то или можно как-то поднастроить поведение циски в таких ситуациях? В 18.01.2020 в 17:30, taf_321 сказал: Для начала урежьте на сетевой очереди до 6 и прибейте их к одному физическому процессору. Многоголовость (не многоядерность) на маршрутизации однозначное зло. То есть даже, если просто стоит второй проц и не используется, то это тоже добавляет проблем? Если выдернуть второй проц, то должно стать лучше? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 20 января, 2020 · Жалоба 1 минуту назад, roma33rus сказал: То есть даже, если просто стоит второй проц и не используется, то это тоже добавляет проблем? Если выдернуть второй проц, то должно стать лучше? Это вы так думаете что не используется, а в реальности может все оказаться весьма печально. По идее должно стать лучше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 20 января, 2020 · Жалоба 2 минуты назад, taf_321 сказал: Это вы так думаете что не используется, а в реальности может все оказаться весьма печально. По идее должно стать лучше. Я понял, вывод можно делать один: Если хочешь безгеморойный роутинг, то ставь однопроцессорные платформы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 20 января, 2020 · Жалоба 3 минуты назад, roma33rus сказал: Я понял, вывод можно делать один: Если хочешь безгеморойный роутинг, то ставь однопроцессорные платформы? Именно. И за одно рассчитать, чтобы суммарное количество очередей у всех установленных сетевых карт кратно соотносилось с количеством ядер процессора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 20 января, 2020 · Жалоба 16 минут назад, taf_321 сказал: Именно. И за одно рассчитать, чтобы суммарное количество очередей у всех установленных сетевых карт кратно соотносилось с количеством ядер процессора. Ага. принцип понял. спасибо. буду учитывать в будущем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 20 января, 2020 · Жалоба 3 часа назад, roma33rus сказал: Спасибо за наводку. надо бы разбираться с роут мапами и префикс листами, а особенно с коммьюнити, с ними у меня вообще сложно. Для фильтрации принимающих и отдающих префиксов лучше использовать префикс листы, а не роут мапы? Есть еще такой вопрос по маршрутам. Допустим я анонсирую одну сетку /24. Далее я бью ее пополам на 2 по /25 и маршрутизирую внутрь одну половину через один маршрут (до нас0 например), а другую половину через другой маршрут (до нас1). Если такая ситуация получается, что у меня падает интерфейс в сторону нас1, то маршрут до одной /25 удаляется из памяти циски и при этом снимается анонс всей /24. Это фича какая-то или можно как-то поднастроить поведение циски в таких ситуациях? Варианта два 1. Маршрут на /24 в null0 и network net/24 в router bgp 2. В router bgp использовать aggregate, погуглите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 20 января, 2020 · Жалоба 5 минут назад, vurd сказал: Варианта два 1. Маршрут на /24 в null0 и network net/24 в router bgp 2. В router bgp использовать aggregate, погуглите. Спасиб за направление, поизучаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 23 января, 2020 · Жалоба еще вопрос по циске появился. Я как вычитал, что там есть netflow lite. Чем он от обычного отличается, можно ли считать его заменой обычного netflow? И нормально ли работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 24 января, 2020 · Жалоба Тогда бы уж прочли об ограничениях. Вам лучше знать для чего оно вам надо. Но проще ipt_netflow на nat-серверах использовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 27 января, 2020 · Жалоба В 24.01.2020 в 20:14, passer сказал: Тогда бы уж прочли об ограничениях. Вам лучше знать для чего оно вам надо. Но проще ipt_netflow на nat-серверах использовать. У нас только на фре тазики. сейчас я ipcadом потоки сбрасываю. Не особо нагрузка нравится от него. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 27 января, 2020 · Жалоба ipcad, когда я его пробовал - и статистику норовил терять и проц безбожно грузил. ng_netflow пробовали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 27 января, 2020 · Жалоба Да, ng_netflow - менее ресурсоемкое решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 27 января, 2020 · Жалоба Нет. ng_netfow не пробовал. Если честно даже не знал о нем. Почитаю, спасибо. При его включении придется ядро пересобирать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 28 января, 2020 · Жалоба А ng_netflow можно отправить поток на два адреса? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 28 января, 2020 · Жалоба 2 часа назад, roma33rus сказал: А ng_netflow можно отправить поток на два адреса? поидее внутри нетграфа ты можешь его скопировать и отдать ещё раз Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 28 января, 2020 · Жалоба За вознаграждение есть кто настроит ng_netflow? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...