[dmvy]

Алюся открыла доступ к документам и софту. Надолго ли ?

www.alcatel-lucent.com/ipsupport

при попытке скачать просит регистрацию. может кто поделится софтом для 7750 последним?

[dmvy]

Нужна помощь в разборах с 6850-24X.

Залита прошивка 6.4.4.402.R01.

Загрузка процессора до апгрейда софта

была 15%, после апгрейда 20%, это на пустом свитче...

Как настроили BGP в качестве бордера и дали нагрузку -

загрузка цпу составила от 30 до 55%.

 

Все ничего, только свитч явно не тянет нагрузку - а ее всего то

входит в свитч в сумме 0,7-1Гбит, 110кппс, выходит стока же.

Явно видно, что наступает "потолок". На портах свитча системой

мониторинга фиксируются появление discards, пинг до свитча растет

от 1 до 25мс, в зависимости от объемов трафика.

 

До этого стоял бордер на софтроутере, легко давал на входе 1,5Гбит,

400кппс, причем его обслуживал в качестве L2 коммутатора этот же свитч,

никаких проблем с портами и discards не было.

 

Статистика WebView самого свитча не регистрирует ошибок на интерфейсах.

То есть с виду все в порядке, явных проблем никаких не видно.

 

Подскажите, куда копать, что надо выложить сюда из конфигурации свитча.

 

нужен весь конйиг для анализа. ip-адреса моежете заменить.

 

скажу по опыту использования (порядка 10шт в ядре). держал 2 BGP с дефолтами, пиринг, ospf, rip. главное не забывать про фаервол свитча и ограничение ответов на TTL EXPIRE. скажу, что проц встает в 100%, если под нагрузкой засунуть в него multicast с помощью PIM. в лабе при этом все хорошо. ну и свитч не подходит для уровня аггрегации.

[nur16]

Не подскажете, что именно не надо забывать в файрволле?

Ээ.., как всю конфу одной командой вытащить? В основном

по вэб-интерфейсу все настраивали.

 

На данный момент подразобрались - оказалось, свитч нагинался из-за sflow.

У нас был один receiver, 24 sampler, 24 poller.

 

Снесли 23 sampler и 23 poller, как выложено ниже:

 

-> show sflow receiver

Receiver 1

Name = BILL

Address = IP_V4 000.000.000.000

UDP Port = 6343

Timeout = No Timeout

Packet Size= 1400

DatagramVer= 5

 

-> show sflow sampler

Instance Interface Receiver Rate Sample-Header-Size

----------------------------------------------------------

1 1/ 1 1 512 128

 

-> show sflow poller

 

Instance Interface Receiver Interval(Secs)

----------------------------------------------

1 1/ 1 1 60

 

И загрузка цпу упала до 14-20%, все показатели относительно нормализовались,

но на самом нагруженном интерфейсе (300М + 250М) продолжают регистрироваться discards.

Пинг до свитча - от 1 до 5мс.

Сегодня нагруз дать не можем - выходные. Даванем завтра, посмотрим.

 

Другой вопрос, а как снимать sflow с остальных интерфейсов без обвала показателей?

[dmvy]

show configuration snapshot

 

примерный фаервол.

policy network group Lo0  10.20.10.5
policy network group Trusted  10.20.10.0 mask 255.255.255.0
policy condition from-trusted-to-lo0 source network group Trusted destination network group Lo0
policy condition from-trusted-to-me source network group Trusted destination network group Switch
policy condition icmp-to-me destination network group Switch ip protocol 1
policy condition to-lo0 destination network group Lo0
policy condition to-me destination network group Switch
policy condition to-me-est destination network group Switch established
policy action accept
policy action drop disposition drop
policy rule me-est precedence 10 condition to-me-est action accept
policy rule lo0-trusted precedence 5 condition from-trusted-to-lo0 action accept
policy rule limit-icmp-to-me precedence 3 condition icmp-to-me action accept
policy rule mgmt-drop condition to-me action drop
policy rule lo0-drop condition to-lo0 action drop

 

чтобы иметь sflow и низкую загрузку, надо повышать сэмплирование...

 

стэк из двух коммутаторов (занято 4 10Г и 19 1Г, коммутаторы ядра - не аггрегации):

-> show health all cpu
* - current value exceeds threshold

                               1 Min  1 Hr  1 Hr
Cpu                Limit   Curr   Avg    Avg   Max
-----------------+-------+------+------+-----+----
01                   80     51     49    46    58
02                   80     22     20    18    24

-> show health all memory
* - current value exceeds threshold

                               1 Min  1 Hr  1 Hr
Memory             Limit   Curr   Avg    Avg   Max
-----------------+-------+------+------+-----+----
01                   80     76     76    76    76
02                   80     69     69    69    69

-> show health all txrx
* - current value exceeds threshold

                               1 Min  1 Hr  1 Hr
Tx/Rx              Limit   Curr   Avg    Avg   Max
-----------------+-------+------+------+-----+----
01                   80     59     58    56    63
02                   80     31     38    37    42

-> show ip route summary

 Protocol        Route Count
----------------+--------------
 All                    1231
 Local                    37
 Netmgmt                   3
 RIP                     201
 ISIS                      0
 OSPF                    990
 BGP                       0
 Other                     0

вообщем такая картина загрузки для CPU нормальна. каких-либо неудобств от этого не испытываем...

[nur16]

Спасибо за подсказки,

насчет сэмплирования разобрались - да, загрузка проца зависит

от сэмплирования. Сделали 1024 (было 1). Поставили в обсчет 4 порта,

загрузка цпу не больше 20%, но и трафика в принципе мизер. Терпимо.

 

Вылезла другая проблема,

 

Если в поллере и семплах указывать только аут интерфейсы,

то считается только входящий трафик.

Если указывать только ин интерфейсы, то

считается только исходящий трафик.

 

если включить входящие и исходящие порты, то

идет задвоение трафика, то есть биллинг

считает трафика в два раза больше реально прошедшего.

проблема в том, что в этом случае в sflow от бордера прилетают

дубляжи

Время С адреса С порта На адрес На порт Байт С интерфейса На интерфейс

21.02.2012 2:47 ххх.ххх.ххх.9 3895 ууу.ууу.ууу.62 2392 23019520 1002 1002

21.02.2012 2:47 ххх.ххх.ххх.9 3895 ууу.ууу.ууу.62 2392 23019520 1002 1002

 

в циске такое лечится примерно такими командами:

на аут интерфейсах

ip flow ingress

на ин интерфейсах

ip flow egress

И тогда sflow прилетает нормальный.

 

Перерыли все доки - про такое вообще нигде не говорится.

Подскажите пожалуйста, что нужно делать! Вот засада с этим алкателем.

[sio]

nur16

А вам клиенты за использование sampled flow для биллинга ничего не оторвут?

Назовите хоть одну 10Г железку, которая без проблем формирует flow c семплом 1:1 на скоростях интерфейсов.

p.s. раз уж ветка про Алкатель, то например 7750 при семпле 1:1 начинал гнать лажу при трафике более 50 Мбит/с, а тут свитч мелкий.

[nur16]

Насчет sampled flow думаем проблем не будет,

мы тестировали - данные отличаются не более чем на 3-5%,

да и подсчет трафика в век безлимитных тарифов уже не

имеет такого значения, чисто в целях статистики.

Вот, абоненты сидят третий день с односторонним подсчетом,

и - ничего, ни одной жалобы. Но сделать конечно надо,

помогите кто знает.

[sio]

nur16

Повесьте на ВСЕХ интерфейсах ip flow ingress и будет вам счастье, ну не сможет пакет зайти в реку свитч два раза.

[nur16]

Полный формат команды не подскажете? Что-то нету ip flow команды в CLI.

Изменено 21 февраля, 2012 пользователем nur16

[sio]

Полный формат команды не подскажете? Что-то нету ip flow команды в CLI.

 

Да как раньше ставили, так и ставьте, смысл в снятии flow со всех интерфейсов только для входящего трафика.

 

Если в поллере и семплах указывать только аут интерфейсы,

то считается только входящий трафик.

Если указывать только ин интерфейсы, то

считается только исходящий трафик.

[nur16]

Простите, но возможно вы путаете команды алкателя и циски.

Не было раньше у нас циски. И ничего мы раньше не ставили,

я просто аналог с циской привел, чтобы было понятно, что нам нужно.

 

Нам нужен аналог команды (или соответствующих действий) для алкател 6850-24X,

чтобы для всех портов указать учет только входящего трафика.

Изменено 21 февраля, 2012 пользователем nur16

[nur16]

Неужели никто не знает, как конфигурировать алкател,

чтобы не было задвоения подсчета трафика? Или это только у нас такая проблема?

[VitMain]

Как минимум две книги ( Alcatel-Lucent Scalable IP Networks Self-Study Guide: Preparing for the Network Routing Specialist I (NRS 1) Certification Exam и Designing and Implementing IP/MPLS-Based Ethernet Layer 2 VPN Services: An Advanced Guide for VPLS and VLL) доступны в PDF. Поищите на сайтах, типа ebookee - и почитайте немного. Многие вопросы тогда будут сняты. А про подход тупых блондинок пишите еще - поднимает настроение. Многие крупные мировые операторы вполне успешно используют 7450/7750 - наверное там инженерами работают одни кисюли.

Поддерживаю, плюс на ряде китайских сайтов есть дикое количество примеров конфигурирования. Мне 7710 как железка очень даже понравилась, все есть в базе в отличие от циски где для того что бы сделать человеческий VPLS надо либо SIP-600 с соответствующими модулями либо ES карты, но увы дальше лабы дело не пошло(были определенного рода причины) - а жаль. С логикой железки и принципами того как оно должно работать я разобрался за день, надо было просто сломать в себе циску.

[VitMain]

Нужна помощь в разборах с 6850-24X.

Залита прошивка 6.4.4.402.R01.

Загрузка процессора до апгрейда софта

была 15%, после апгрейда 20%, это на пустом свитче...

Как настроили BGP в качестве бордера и дали нагрузку -

загрузка цпу составила от 30 до 55%.

 

Все ничего, только свитч явно не тянет нагрузку - а ее всего то

входит в свитч в сумме 0,7-1Гбит, 110кппс, выходит стока же.

Явно видно, что наступает "потолок". На портах свитча системой

мониторинга фиксируются появление discards, пинг до свитча растет

от 1 до 25мс, в зависимости от объемов трафика.

 

До этого стоял бордер на софтроутере, легко давал на входе 1,5Гбит,

400кппс, причем его обслуживал в качестве L2 коммутатора этот же свитч,

никаких проблем с портами и discards не было.

 

Статистика WebView самого свитча не регистрирует ошибок на интерфейсах.

То есть с виду все в порядке, явных проблем никаких не видно.

 

Подскажите, куда копать, что надо выложить сюда из конфигурации свитча.

 

нужен весь конйиг для анализа. ip-адреса моежете заменить.

 

скажу по опыту использования (порядка 10шт в ядре). держал 2 BGP с дефолтами, пиринг, ospf, rip. главное не забывать про фаервол свитча и ограничение ответов на TTL EXPIRE. скажу, что проц встает в 100%, если под нагрузкой засунуть в него multicast с помощью PIM. в лабе при этом все хорошо. ну и свитч не подходит для уровня аггрегации.

 

Странно, что для аггрегации не подходит, вполне успешно аггрегирует кучу узлов, MSTP, мультикаст бегает в PIM-SM, да с PIM-DM были проблемы, небольшие зачатки BGP используются.

А можете поделиться вашим конфигом? интересны методы защиты и прочее.

Если боитесь в паблик то можно и на мыло либо через личку.

Изменено 23 февраля, 2012 пользователем VitMain

[sio]

Простите, но возможно вы путаете команды алкателя и циски.

Не было раньше у нас циски. И ничего мы раньше не ставили,

я просто аналог с циской привел, чтобы было понятно, что нам нужно.

 

Нам нужен аналог команды (или соответствующих действий) для алкател 6850-24X,

чтобы для всех портов указать учет только входящего трафика.

Действительно, уже и я запутался...

И так, начнём с начала.

Давным давно, когда Cisco придумала netflow, все роутеры Cisco умели формировать отчёты только для входящего на интерфейс трафика. Чтобы считать весь трафик приходилось ставить flow на все интерфейсы, т.е. и в сторону сети и в сторону клиента. Шло время, трафик рос, появились тарифы без подсчёта трафика, и тут, когда актуальность netflow для билинга себя исчерпала, Cisco сподобилась сделать flow для исходящего трафика. В этом случае следует ставить flow на in и out только на клиентских интерфейсах. Алкатель не умеет разделять flow на in и out, поэтому на Алкателе включать flow нужно только на клиентских интерфейсах. Укажи в sampler и poller только клиентские интерфейсы, всё должно заработать. Совсем задвоения трафика так не избежать - трафик между клиентами будет обрабатываться дважды, но это мизерный трафик.

[nur16]

Я ранее указывал, что этот свитч используется как бордер,

соответственно клиентских портов там нет... Есть входящие

интерфейсы, есть исходящие. Клиническая картина происходящего

описана выше, варианты с частичным включением портов в sflow

приводят к одностороннему подсчету трафика.

Включение в sflow всех портов приводит к задвоению трафика.

 

Нужна волшебная команда - но похоже таковой НЕТ, перерыли все

мануалы, весь контекст CLI команд, ничего подходящего не удалось

подобрать.

 

Уже руки опускаются, но ведь у других же как-то считается?

Изменено 24 февраля, 2012 пользователем nur16

[rover-lt]

Уже руки опускаются, но ведь у других же как-то считается?

и у других ни хрена ни считается. Alcatel - непокоренный мастер BDSM.

[sio]

Я ранее указывал, что этот свитч используется как бордер,

соответственно клиентских портов там нет... Есть входящие

интерфейсы, есть исходящие. Клиническая картина происходящего

описана выше, варианты с частичным включением портов в sflow

приводят к одностороннему подсчету трафика.

Включение в sflow всех портов приводит к задвоению трафика.

 

Нужна волшебная команда - но похоже таковой НЕТ, перерыли все

мануалы, весь контекст CLI команд, ничего подходящего не удалось

подобрать.

 

Уже руки опускаются, но ведь у других же как-то считается?

Да понятно, что это бордер, так есть же у этого бордера интерфейсы в сторону апстримов и пиров и есть интерфейсы в сторону клиентов. Sflow нужно снимать только с интерфейсов в сторону клиентов. Ну а если это не работает, то не ищите волшебных команд, а откройте кейс в поддержке Алкателя.

p.s. какой в mbit/s или pps поток отправлял на коллектор Алкатель при трафике в 1gbit/s и семпле 1:1?

[helgi]

В 7750SR-c4 и так две десятки прямо на борде и потянет он до 32К абонентов.

7750 SR-c4 может быть PPPoE и IPoE BRAS без дополнительных лицензий и специальных карт (64К PPPoE сессий).

Функциональность на SR7 и SR12 одинакова и вся доступна сразу. Есть ограничения для малых платформ (7710, c4, c12).

 

Так есть ли всё-таки ограничения в плане лицензирования для платформ c4 и c12 или нет? :) Какие эти ограничения и какие лицензии доступны?

Есть ли информация в даташитах, на поддержку какого количества подписчиков можно рассчитывать "из коробки", без покупки дополнительных лицензий?

[Fduchun]

На платформы нет лицензирования. Ограничения аппаратные. c4/c12 - аппаратно более слабые платформы, чем 7/12.

c4/c12 аппаратно тянут до 40 тыс PPP/IPoE абонентов.

[helgi]

Может быть, мы о разном говорим...

Я имею в виду, какие существуют лицензии для линейки 7750?

Вот, например, удалось найти такую:

3HE03982AA - DHCP USER DB LICENSE-20K USERS

SR DHCP Server User Database License - Up to 20K IP Addresses - License required for IP address assignment using the Service Router DHCP Server User Database.

Видел еще 2 на DHCP USER DB. Есть ли другие? По сути, хотелось бы все посмотреть.

 

И по второму вопросу. Насчет аппаратных ограничений понятно, что они есть. Но какие они? Существуют ли документы (кроме портфолио), которые в цифрах описывают различия между "compact" и старшими платформами?

Различия выражаются в количестве маков, или размерах FIB и RIB, или в чём еще?

 

c4/c12 аппаратно тянут до 40 тыс PPP/IPoE абонентов.

Это ограничение чего конкретно, CFM модуля, или чего-то другого? Опять же, можно ли увидеть доку, из которой Вы взяли эту информацию?

[Fduchun]

Может быть, мы о разном говорим...

Я имею в виду, какие существуют лицензии для линейки 7750?

Вот, например, удалось найти такую:

3HE03982AA - DHCP USER DB LICENSE-20K USERS

SR DHCP Server User Database License - Up to 20K IP Addresses - License required for IP address assignment using the Service Router DHCP Server User Database.

Видел еще 2 на DHCP USER DB. Есть ли другие? По сути, хотелось бы все посмотреть.

 

И по второму вопросу. Насчет аппаратных ограничений понятно, что они есть. Но какие они? Существуют ли документы (кроме портфолио), которые в цифрах описывают различия между "compact" и старшими платформами?

Различия выражаются в количестве маков, или размерах FIB и RIB, или в чём еще?

 

c4/c12 аппаратно тянут до 40 тыс PPP/IPoE абонентов.

Это ограничение чего конкретно, CFM модуля, или чего-то другого? Опять же, можно ли увидеть доку, из которой Вы взяли эту информацию?

 

Любые лицензии(если только это не система управления) используются только в контрактах с операторами, закупающими большие объемы и используются в основном для описания ограничений в сервисных контрактах. В самих же коробках никаких лицензий и ограничений нет - любой покупатель всегда получает полный функционал, rus-p вам подтвердит.

Большие операторы обычно работают честно и им нет выгоды нарушать контракт, поэтому производитель коробок не видит необходимости в лицензировании на уровне операционной системы маршрутизатора.

 

Что касается 40 тыс. - это конкретное аппаратное ограничение c4/c12. Данные аппаратной масштабируемости не доступны публично и могут быть переданы клиенту по запросу (RIB, FIB таблицы и прочая). Какие-то параметры масштабирования выдатут только после подписания Non Disclosure Agreement. Я это знаю потому, что я был до недавнего времени инженером по маршрутизаторам Alcatel-Lucent.

 

А вообще, очень странная манера выяснять всю информацию на форуме. Не проще ли вам написать напрямую в представительство или просто позвонить и получить ответы на вопросы?

Изменено 25 февраля, 2012 пользователем Fduchun

[JoeDoe]

На платформы нет лицензирования. Ограничения аппаратные. c4/c12 - аппаратно более слабые платформы, чем 7/12.

c4/c12 аппаратно тянут до 40 тыс PPP/IPoE абонентов.

Если быть более точным, то 48 тыс. для 9.0

Лицензия на встроенный DHCP сервер никакого влияния на количество абонентов не оказывает. Да и на функциональность DHCP сервера - тоже. Если нужна лицензионная чистота - можно выдавать адреса через RADIUS или через внешний ISC DHCPd.

Изменено 26 февраля, 2012 пользователем JoeDoe

[JoeDoe]

Я ранее указывал, что этот свитч используется как бордер,

соответственно клиентских портов там нет... Есть входящие

интерфейсы, есть исходящие. Клиническая картина происходящего

описана выше, варианты с частичным включением портов в sflow

приводят к одностороннему подсчету трафика.

Включение в sflow всех портов приводит к задвоению трафика.

 

Нужна волшебная команда - но похоже таковой НЕТ, перерыли все

мануалы, весь контекст CLI команд, ничего подходящего не удалось

подобрать.

 

Уже руки опускаются, но ведь у других же как-то считается?

Сэмплинг идет с физических портов. Если вы думаете, что свитч будет делать корреляцию потоков, то это не того класса оборудование, чтоб иметь такую функциональность. Есть у меня сомнения, что отдельный сэмплинг на вход или выход скоро появится в AOS. Как бордер их практически никто не использует - это ж enterprise switch.

[JoeDoe]

И по второму вопросу. Насчет аппаратных ограничений понятно, что они есть. Но какие они? Существуют ли документы (кроме портфолио), которые в цифрах описывают различия между "compact" и старшими платформами?

Различия выражаются в количестве маков, или размерах FIB и RIB, или в чём еще?

У Alcatel-Lucent есть такой документ - называется Scaling Guide. Существует в 2х версиях - короткой и полной. Описание достаточно полное по каждому параметру и отдельно по областям (VPLS, VPRN, QoS, OAM etc.). Продавцы обычно доступ к короткой версии имеют и ответят на основные вопросы. Поддержка, внедрение и дизайнеры (здесь есть и такие ;) ) имеют доступ к полной. Документ, понятное дело, никто публиковать на форуме не будет.