Jump to content
Калькуляторы

Extreme Summit X480-48x (ACL,PBR,etc.) Помогите с настройкой в ExtremeXOS

Немного предыстории:

Всё время в последние годы работал с железками от Dlink (3627,3526,3200), в последнее время DGS3627 перестал справлятся со своей задачей , и было решенно найти замену для ядра сети.

Замена нашлась под наши нужды в виде Extreme Summit X480-48x. (Сейчас на тесте , в ожидании когда придёт наш.)

Изначально было совсем трудно , т.к совсем всё по друому, часть функционало удалось перенести , как и всю сеть на extreme, но некоторые вещи досих пор в тупике.

А именно не могу перенести ACL правила для приоретизации и PBR как оно было в Dlink'e.

 

Имеем правила ACL в Dlink'e для перемаркировки приорететов вида :

create access_profile profile_id 1 ip icmp 
config access_profile profile_id 1 add access_id 1 ip icmp  port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit 

create access_profile profile_id 2 ip tcp src_port_mask 0xFFFF 
config access_profile profile_id 2 add access_id 1 ip tcp src_port 80  port 1-24 permit priority 6 replace_priority replace_dscp 59 rx_rate no_limit 
config access_profile profile_id 2 add access_id 2 ip tcp src_port 3389  port 1-24 permit priority 7 replace_priority replace_dscp 59 rx_rate no_limit 
..........................
config access_profile profile_id 2 add access_id 6 ip tcp src_port 554  port 1-27 permit priority 6 replace_priority replace_dscp 56 rx_rate no_limit 
    

create access_profile profile_id 3 ip tcp dst_port_mask 0xFFFF 
config access_profile profile_id 3 add access_id 1 ip tcp dst_port 80  port 1-24 permit priority 7 replace_priority replace_dscp 59 rx_rate no_limit 
config access_profile profile_id 3 add access_id 2 ip tcp dst_port 3389  port 1-24 permit priority 7 replace_priority replace_dscp 59 rx_rate no_limit 
config access_profile profile_id 3 add access_id 3 ip tcp dst_port 135  port 1-27 deny 
config access_profile profile_id 3 add access_id 4 ip tcp dst_port 137  port 1-27 deny 
config access_profile profile_id 3 add access_id 5 ip tcp dst_port 138  port 1-27 deny 
config access_profile profile_id 3 add access_id 6 ip tcp dst_port 139  port 1-27 deny 
config access_profile profile_id 3 add access_id 7 ip tcp dst_port 445  port 1-27 deny 


create access_profile profile_id 4 ip source_ip_mask 255.255.255.255 
config access_profile profile_id 4 add access_id 1 ip source_ip 172.22.100.1  port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit 
config access_profile profile_id 4 add access_id 2 ip source_ip 172.22.100.11  port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit 
config access_profile profile_id 4 add access_id 3 ip source_ip 172.22.104.100  port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit 

create access_profile profile_id 5 ip destination_ip_mask 255.255.255.255 
config access_profile profile_id 5 add access_id 1 ip destination_ip 172.22.100.1  port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit 
config access_profile profile_id 5 add access_id 2 ip destination_ip 172.22.100.11  port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit 
config access_profile profile_id 5 add access_id 3 ip destination_ip 172.22.104.100  port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit 

create access_profile profile_id 6 ip source_ip_mask 255.255.255.0 
config access_profile profile_id 6 add access_id auto_assign ip source_ip 172.22.1.0  port 1-24 permit priority 7 replace_priority replace_dscp 59 rx_rate no_limit 
config access_profile profile_id 6 add access_id auto_assign ip source_ip 172.22.100.0  port 1-24 permit priority 6 replace_priority replace_dscp 56 rx_rate no_limit 

create access_profile profile_id 7 ip destination_ip_mask 255.255.255.0 
config access_profile profile_id 7 add access_id auto_assign ip destination_ip 172.22.1.0  port 1-24 permit priority 7 replace_priority replace_dscp 59 rx_rate no_limit 
config access_profile profile_id 7 add access_id auto_assign ip destination_ip 172.22.100.0  port 1-27 permit priority 6 replace_priority replace_dscp 56 rx_rate no_limit 

create access_profile profile_id 14 ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 
config access_profile profile_id 14 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0  port 1-10 permit priority 1 replace_priority replace_dscp 16 rx_rate no_limit

 

PCF правило для torrent

create access_profile profile_id 9 packet_content_mask offset_chunk_1 9 0xFFFF offset_chunk_2 13 0xFFFF offset_chunk_3 24 0xFFFFFFFF offset_chunk_4 25 0xFF000000 
config access_profile profile_id 9 add access_id 1 packet_content offset_chunk_1 0x6A5 offset_chunk_2 0x21 offset_chunk_3 0x7FFFFFFF offset_chunk_4 0x0  port 1-27 deny 
config access_profile profile_id 9 add access_id 2 packet_content offset_chunk_1 0x6A5 offset_chunk_2 0x21 offset_chunk_3 0x7FFFFFFF offset_chunk_4 0xAB000000  port 1-27 deny

 

И правила для PBR (ICQ в инет )

create access_profile profile_id 10 ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.0.0 tcp dst_port_mask 0xFFFF 
config access_profile profile_id 10 add access_id auto_assign ip source_ip 172.22.0.0 destination_ip 64.12.0.0 tcp dst_port 5190  port 1-24 permit priority 5 replace_priority replace_dscp 59 rx_rate no_limit 
config access_profile profile_id 10 add access_id auto_assign ip source_ip 172.22.0.0 destination_ip 205.188.0.0 tcp dst_port 5190  port 1-24 permit priority 5 replace_priority replace_dscp 59 rx_rate no_limit 
create access_profile profile_id 11 ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255 


create policy_route name ICQ
config policy_route name ICQ acl profile_id 10 access_id 1 nexthop 172.22.100.1 state enable
create policy_route name ICQ205
config policy_route name ICQ205 acl profile_id 10 access_id 2 nexthop 172.22.100.1 state enable

 

Если с первой частью еще ка-то можно разобратся , то у меня сейчас стоит проблема именно с пробросом определённого трафика на определённых next-hop, и оно не хочет работать :(

 

т.е на extreme создаю ACL

entry icq_redirect {
        if
        {
                destination-address 64.12.0.0/16;
                protocol tcp;
                destination-port 5190;
        }
        then
        {
                permit;
                redirect 172.22.100.1;
               count ACL_test;
        }
}

но ему походу всёравно , на 172.22.100.1 нечего не поподает , хотя счётчик ACL_test растёт .

 

сразу скажу, что сеть локальная и маршрута по умолчанию нет , т.е пакеты должны пересылатся если поподают под маску ( на Dlink'e именно так и работало) .

Маршрут не могу создать т.к железка работает по OSPF с другими железками где этот маршрут может подменится и вобще неразбериха получается.

 

Поэтому прошу помощи разобратся в настройках Extreme и привести работу в должный вид .

Еще до сих пор не понятно в каком порядке обрабатываются правила , т.е если на dlinke обработка была по порядку профили с правилами и номерами по порядку , то как в extreme ? ведь тут нет номеров и как такового порядка . Это например нужно для запрета определённого трафика и разрешения его в начале.

Также удручает что нельзя просто внести правило для обработки без внесения в файлы (т.е нельзя просто дать комманду config access_profile profile_id 3 add access_id 3 ip tcp dst_port 135 port 1-27 deny ), знаю что существует XML скриптинг , но как он работает неизвестно.

 

Может где есть ресурсы или форумы по обсуждению ExtremeXOS желательно на русс. , или подобные темы начинать развивать тут.

 

Share this post


Link to post
Share on other sites

Кстати также PBR не смог настроить, хотя конструкция немного другая - скопировал из концепт гайда, но не взлетело.

Свитч по ТТХ хорош, но вы с ним поосторожнее при тестировании, обратите внимание на cpu. У нас при минимуме правил, он тупо виснет, даже телнетом неподконектишься. И при перезагрузке уходит в kernel panic и так по кругу, раза с 20го загрузится. А свичу 120 дней пробега.

 

Нонсенс, но Dlink и EC оказался надежнее чем extreme. По одному экземпляру конечно о всей линейке не судят, просто похоже x480 не слишком удачным вышел

Share this post


Link to post
Share on other sites
Кстати также PBR не смог настроить, хотя конструкция немного другая - скопировал из концепт гайда, но не взлетело.

Свитч по ТТХ хорош, но вы с ним поосторожнее при тестировании, обратите внимание на cpu. У нас при минимуме правил, он тупо виснет, даже телнетом неподконектишься. И при перезагрузке уходит в kernel panic и так по кругу, раза с 20го загрузится. А свичу 120 дней пробега.

 

Нонсенс, но Dlink и EC оказался надежнее чем extreme. По одному экземпляру конечно о всей линейке не судят, просто похоже x480 не слишком удачным вышел

Ну не надо на зеркало кивать, ну пожалуйста ))

Стоит себе железочка уже полгода и только пыль сдуваем. Бордером стоит, 3 FullView держит + два отдает + пиринговых маршрутов несколько тыс.

Загрузка CPU 0.7% (кроме конечно периодов когда оно таблицу к себе прокачивает полностью в момент старта) Нагрузка пока небольшая на бордер, но 5-6 гиг уже прокачивается

Вторая вот в в ядро пристраивается.Может быть для начала бы неплохо прошивку обновить?

http://www.mediafire.com/?to3jdfhe2f15b05 http://www.mediafire.com/?ewxw54l2tqdwe4n

Чем мне Extreme понравился - сразу с коробки заработал как написано в документации, проблемы были только в некоторой неоднозначной трактовке EXOSConcepts.

PBR работает просто замечательно. Нужды особой конечно не испытываю в ней, но сейчас только проверил - работает.

 

entry test_redirect {

if match any {

 

destination-address 213.180.204.211/24;

 

} then {

 

redirect 212.220.55.233;

permit;

 

}

}

 

Профилей тут действительно нет, но ничего не мешает всю логику ACL прописать в одной политике и подвесить ее на нужный порт. Кажущаяся недостаточной гибкость легко окупается тем, что на каждый порт политика может быть своя ))

Edited by Helios

Share this post


Link to post
Share on other sites
Ну не надо на зеркало кивать, ну пожалуйста ))
Какое тут зеркало, если с дефолтными конфигами на разных прошивках при загрузке, ядро "kernel panic" сыпет. Сами то поняли что написали?

x480 просто не включается, объясни что я неправильно делаю, может вилку в розетку по особенному втыкать необходимо?

Share this post


Link to post
Share on other sites
Ну не надо на зеркало кивать, ну пожалуйста ))
Какое тут зеркало, если с дефолтными конфигами на разных прошивках при загрузке, ядро "kernel panic" сыпет. Сами то поняли что написали?

x480 просто не включается, объясни что я неправильно делаю, может вилку в розетку по особенному втыкать необходимо?

Вы про надежность Длинков больше чем Extreme расскажите Евротелу у которых 10% сети на x480 сейчас строится ). И в дата-центрах x480 очень популярный свитчик ) Конечно не исключаю фантастический вариант, что Вам попался бракованный hardware, но все-таки с трудом верю, что свитч в такое состояние попал сам по себе. Может кроме перепрошивки неплохо бы поглядеть что на флеше лежит/нехватает по сравнению с рабочим экземпляром. Выложите хоть лог того что в консоль пишет при kernel panic )

Edited by Helios

Share this post


Link to post
Share on other sites

Ну вот например

core_dump_info storage: 2240/3072 used [FULL]
failure: kernel oops
reason: Unhandled kernel unaligned access
time: 1298067279
where: Unhandled kernel unaligned access:0
$0 : z0=00000000 at=1000dc01 v0=c34e0000 v1=c34e0000
$4 : a0=ffffffff a1=88dd0020 a2=878a63b0 a3=00000000
$8 : t0=ffffffff t1=89591740 t2=8f64d240 t3=00000000
$12: t4=89591760 t5=ffffffff t6=00000001 t7=ff000000
$16: s0=ffffffff s1=878a63b0 s2=ffffffff s3=895117c8
$20: s4=c34e1f60 s5=c34ef860 s6=00000000 s7=00000000
$24: t8=00000000 t9=c34ec838
$28: gp=89510000 sp=89511758 s8=c34e2448 ra=c34e75b0
Hi : 00000000
Lo : 2e4e46e7
epc  : c34e64a0 dumpPRIO+0x1c0/0x5f0 [linux_bcm_diag_full] Tainted: P          
Status: 1000dc03
Cause : 10800010
89511758: 00000000 00000000 00000000 00000000 878a63c8 c3dd32f0 00000000 878a63b0
89511778: 00000000 00000000 c3dd0000 89511934 00000000 00000000 89511934 c34e75b0
89511798: 8025a328 8029787c ffffffff 88cb67a0 895117c8 ffffffff ffffffff 88cb67a0
895117b8: c39ef300 c39ef518 ffffffff 88cb67a0 00000000 00000000 c39ef300 00000000
895117d8: 00000011 000000ff c34ec7ec 5022005e 00000015 8780bae0 0000002c 8780bae0
895117f8: 00000000 000002d3 ffffffff 00000000 00000000 89511934 c3dd0000 00000009
89511818: c3dd2f50 c34be6a4 00000000 89511934 ffffffff 00000009 00000000 00000000
89511838: 89511934 00000001 00000000 89511878 ffffffff 000002d3 c34be8d8 c34be8ac
89511858: c34ecf94 00000000 00000001 ffffffff 00000000 00000000 89511878 89511934
89511878: ffffffff c34d2f98 c3dd2e88 c3dd2f50 c34d2f98 00000001 c3dd3270 00000000
89511898: 00000000 c34d5528 8e3ea520 00000000 c39ef6d8 00000036 89511934 00000001
895118b8: c3dd2e88 00000000 c3dd2f50 00000000 0063f8d8 c39ef518 00000000 00000000
895118d8: 00a80001 061fe19e c397c91c c397c62c 81a0a7a0 81a0abe8 00000002 7fffffff
895118f8: ffffffff 8e3ea520 c39ef300 11ff03e8 0fff0064 00000002 00000001 80238a5c
89511918: 00000000 00000000 00a80001 000002d3 ffffffff 00000036 00000000 00000000
89511938: 89511a58 00000000 89511a54 c3978880 c39ef8d8 81a0a7a0 00000003 0000000f
log: ... : Received a WRITE of 1164 bytes of ModmapInfo.
log: <6>expmap_write: Received a WRITE of 980 bytes of ModidTbl.
log: <7>Enable watchdog

Version #0 SMP Fri Apr 23 19:39:22 EDT 2 by release-manager@sicily.extremen Release 2.6.28.9cougar

Call Trace:
@[<c34e64a0>] dumpPRIO+0x1c0/0x5f0 [linux_bcm_diag_full]

[<c34e75b0>] bcm_custom_extr_field_install_rule+0x108/0x730 [linux_bcm_diag_full]
[<c39ef300>] sal_sem_take+0x20c/0x460 [linux_bcm_diag_full]
[<c39ef518>] sal_sem_take+0x424/0x460 [linux_bcm_diag_full]
[<c39ef300>] sal_sem_take+0x20c/0x460 [linux_bcm_diag_full]
[<c34ec7ec>] bcm_custom_extr_field_rules_dump+0x12d4/0x2228 [linux_bcm_diag_full]
[<c34be6a4>] bcm_custom_extr_acl_wrap_copy+0x1c0/0x280 [linux_bcm_diag_full]
[<c34be8d8>] bcm_custom_extr_acl_wrap_install_no_compression+0x88/0xe4 [linux_bcm_diag_full]
[<c34be8ac>] bcm_custom_extr_acl_wrap_install_no_compression+0x5c/0xe4 [linux_bcm_diag_full]
[<c34ecf94>] bcm_custom_extr_field []
[<c39ef518>] sal_sem_take+0x424/0x460 [linux_bcm_diag_full]
[<c39ef300>] sal_sem_take+0x20c/0x460 [linux_bcm_diag_full]
Build directory: /home/release-manager2/v12_4_1_7-patch1-4/summit_rmi
--------------------------------
Kernel Panic.
time: 1298067286
Reason: Fatal exception
Caller: 0x8021a4b8 (die+0x128/0x15c)
Version #0 SMP Fri Apr 23 19:39:22 EDT 2 by release-manager@sicily.extremen Release 2.6.28.9cougar
Build directory: /home/release-manager2/v12_4_1_7-patch1-4/summit_rmi

Share this post


Link to post
Share on other sites

вобщем всеравно не хочет работать , я уже так пробывал , но решил попробывать еще раз ...

итак

мой комп - 172.22.22.22 нахожусь за 19 портом extreme в taget vlan 22

комп с NAT и выходом в интернет - 172.22.100.1

172.22.100.254 - старый добрый dlink 3627

 

на extreme

Core.15 # sh ipconfig
       Use Redirects : Disabled
       IpOption LSRR : Enabled
       IpOption SSRR : Enabled
         IpOption RR : Enabled
         IpOption TS : Enabled
         IpOption RA : Enabled
       Route Sharing : Disabled
  Originated Packets : Don't require ipforwarding
  IP Fwding into LSP : Disabled
Max Shared Gateways : Current: 4  Configured: 4

      IRDP:
         Advertisement Address: 255.255.255.255      Maximum Interval: 600
         Minimum Interval: 450     Lifetime: 1800  Preference: 0

VLAN         IP Address          Flags                  nSIA
Default      172.22.1.250    /24 EUf---MPuRX--------    0
..........
s022         172.22.22.254   /24 EUf---MPuRX--------    0
.........
s100         172.22.100.250  /24 EUf---MPuRX--------    0

Flags: (A) Address Mask Reply Enabled (B) BOOTP Enabled
       (b) Broadcast Forwarding Enabled, (E) Interface Enabled
       (f) Forwarding Enabled (g) Ignore IP Broadcast Enabled
       (h) Directed Broadcast Forwarding by Hardware Enabled
       (I) IRDP Advertisement Enabled, (M) Send Parameter Problem Enabled
       (m) Multicast forwarding Enabled, (n) Multinetted VLAN
       (nSIA ) Number of Secondary IP Addresses
       (P) Send Port Unreachables Enabled, (R) Send Redirects Enabled
       (r) Unicast Reverse Path Enabled on at least one port of the VLAN
       (T) Time Stamp Reply Enabled, (U) Interface Up
       (u) Send Unreachables Enabled, (X) Send Time Exceeded Enabled
       (v) VRRP Enabled

часть удалил .....

 

даже решил добавить def route

Core.11 # sh iproute origin static
Ori  Destination        Gateway         Mtr  Flags        VLAN       Duration
#s   Default Route      172.22.100.254  1    UG---S-um--f s100       0d:0h:6m:53s

Core.12 # sh policy "redirect"
Policies at Policy Server:
Policy: redirect
entry test_redirect {
if match any {
    destination-address 64.12.0.0/16;
}
then {
    redirect 172.22.100.1;
    permit;
}
}
Number of clients bound to policy: 1
Client: acl bound once

Core.13 # sh access-list
Vlan Name    Port   Policy Name          Dir      Rules  Dyn Rules
===================================================================
[quot]            1      redirect             ingress  1      0
[/quot]            2      redirect             ingress  1      0
[quot]            3      redirect             ingress  1      0
[/quot]            4      redirect             ingress  1      0
[quot]            5      redirect             ingress  1      0
[/quot]            6      redirect             ingress  1      0
[quot]            7      redirect             ingress  1      0
[/quot]            8      redirect             ingress  1      0
[quot]            9      redirect             ingress  1      0
[/quot]            10     redirect             ingress  1      0
[quot]            11     redirect             ingress  1      0
[/quot]            12     redirect             ingress  1      0
[quot]            13     redirect             ingress  1      0
[/quot]            14     redirect             ingress  1      0
[quot]            15     redirect             ingress  1      0
[/quot]            16     redirect             ingress  1      0
[quot]            17     redirect             ingress  1      0
[/quot]            18     redirect             ingress  1      0
[quot]            19     redirect             ingress  1      0
[/quot]            20     redirect             ingress  1      0

 

ну и соотвественно на своём домашнем делаю traceroute

admin>tracert login.icq.com

Трассировка маршрута к login.icq.com [64.12.202.116]
с максимальным числом прыжков 30:

  1    <1 мс     1 ms    <1 мс  segment22.kayerkan.lan [172.22.22.254]
  2  core-1.kayerkan.lan [172.22.100.254]  сообщает: Заданная сеть недоступна.

Трассировка завершена.

 

Если default route не добавлять то сам extreme сразу отвечает что заданая сеть недоступна , вот и скажите что я делаю не так ? почему маршрут не летит на 100.1 а потдаётся обычным законам маршрутизации ?

может я что-то забыл включить ? или может коммутатор должен работать в каком-то особеном режиме ?

..............................

вспомнил про режими и решил сменить

стояло

configure forwarding external-tables l2-and-l3-and-acl

решил изменить и поменял на

configure forwarding external-tables l2-and-l3

грузанул коммутатор , и странным образом маршрут побежал по правилу , это совсем странно ....

 

отсюда возникают вопросы , какие ограничения и в каих режимах у ACL

т.к имеются

acl-only Program the external lookup table for access-lists only.

l2-and-l3 Program the external lookup table for layer-2 MAC FDB and layer-3 routes (default).

l2-and-l3-and-acl Program the external lookup table for layer-2 MAC FDB, layer-3 routes, and access-lists.

l2-only Program the external lookup table for layer-2 MAC FDB only.

l3-only Program the external lookup table for layer-3 routes only.

none Do not use the external lookup table.

 

выбирал l2-and-l3-and-acl из предположения что во вред и уменьшению таблиц под IP я смогу больше использовать ACL, но получилось всё наобород :(

Edited by Vano™

Share this post


Link to post
Share on other sites

а IP 172.22.100.1 то пингуется с x480 куда хотите заслать пакетик?

ну и enable iparp refresh как в мануале написано лучше сделать..

 

to stelsik: сдается мне все-таки что софт какой-то у вас древний, ну и похоже что все-таки проблема с флешем, места мало там судя по всему )

Ну это мои предположения. )

Share this post


Link to post
Share on other sites

Не думал , что кто-то ответит за пару минут , но уже написал чуть выше , частично что-то решилось , буду копать дальше .

100.1 конечно доступен (он не может быть не доступен ему противопаказанно DHCP+DNS).

сейчас заметил еще странность , если удалить default gatway то получаю

[172.22.22.254] сообщает: Заданная сеть недоступна.

т.е пакетик в правило даже не попадает если нет маршрутов далше .

 

прошивка Created by ExtremeXOS version 12.4.1.7

т.к свитч сейчас на тесте , думаю не стоит пытатся менять пока собственный не получим (в ожидании )

и как-то теперь боязно оплатить много килобаксов и получить ненадёжную железку .

 

да и многие вещи досих пор под вопросом , думаю я эту тему долго буду потдерживать если кто-то будем помогать решать вопросы , т.к надежды на что-то другое нету :(

Share this post


Link to post
Share on other sites

У меня сейчас стоит

configure forwarding external-tables l3-only

configure iproute reserved-entries maximum

на бордере, и PBR работает ;-)

 

p/s не знаю чрез кого свитч берете конечно, но есть такой Mikhail Rodionov в московском предствительстве Extreme - очень приятный человек, всегда готов прийти на помощь ))

железка имхо вполне надежная, PCF ACL только на ней нет, по сравнению с D-link, но зато конфиг чем-то похож ))

Edited by Helios

Share this post


Link to post
Share on other sites

Да ту на SNR он заказан , ждём когда привезут , на тет соответсвенно тоже тутже взят.

Пока мне нравится как он молотит L3 , но я не задействовал большую часть функционала , так потихоньку пока только

L3 маршрутизация , OSPF , DHCP(Bootp) Relay, LACP .

Потихоньку хочу перенести ACL и прочие мелочи , ну и опробывать разный функционал .

 

Есть еще пару вопросов которые иногда мучают для эстетики и для общего понимания .

например порядок IPIF который например можно снать по SNMP имеет свой определённый ID

на Dlink'e его можно было просто сменить вместе с MAC интерфейса

create ipif 021 172.22.21.254/24 021 state enable

config ipif_mac_mapping ipif 022 mac_offset 22

на extreme все интерфейсы с одним маком , а порядок в том виде в каком создавались интерфейсы .

 

ладно например пока работает через ACL forwarding пакетов , а для чего тогда у него есть

flow-redirect и как им пользоватся .

 

Helios я так понимаю у вас имеется x480 и вы с ним работаете , может сможете помочь например в ICQ , т.к мелких вопросов много, а опыта с extreme вобще нет , да и на форумах про них нечего нету , хот на курсы лететь куданить :)

Share this post


Link to post
Share on other sites
Multiple Nexthop Support

As discussed above, Layer 3 and Layer 2 policy-based redirect support only one nexthop for one policybased

entry. Multiple nexthops with different priorities can be configured. A higher priority is denoted

with a higher number; for example, “priority 5” has a higher precedence that “priority 1.” When a high

priority nexthop becomes unreachable, another preconfigured nexthop, based on priority, replaces the

first. This is done by first creating a flow-redirect name that is used to hold nexthop information.

Use the following command:

create flow-redirect <flow-redirect-name>

To delete the flow-redirect name, use

delete flow-redirect <flow-redirect-name>

Then information for each nexthop including a defined priority is added one by one to the new flowredirect

name. Use the following command:

configure flow-redirect <flow-redirect-name> add nexthop <ipaddress> priority <number>

To delete the nexthop, use the following command:

configure flow-redirect <flow-redirect-name> delete nexthop <ipaddress>

Because an ACL does not recognize the virtual routing concept, one policy-based routing is used for

multiple virtual routing entries when a VLAN-based virtual router is used for one port. Configuring a

virtual router into a flow-redirect allows policy-based routing to work for only one specific virtual

router. Use the following command:

configure flow-redirect <flow-redirect-name> vr <vr-name>

Configuring the virtual router parameter is not supported on BlackDiamond 8800 series switches and Summit family

switches.

Finally, a new action modifier, redirect-name, is used to specify the flow-redirect name in an ACL rule

entry.

entry redirect_redundancy {

if match all {

source-address 1.1.1.100/24 ;

} then {

permit ;

redirect-name <name>

}

}

У меня правда не работает

Share this post


Link to post
Share on other sites
to stelsik: сдается мне все-таки что софт какой-то у вас древний, ну и похоже что все-таки проблема с флешем, места мало там судя по всему )

Ну это мои предположения. )

Софт последний, на флеше 2 политики на 200 байт от дефолта. Или там флеш на 100 байт всего )))

Посмотрим конечно что TAC скажет, но похоже что x480 сыроват, ну не работает он из коробки

Edited by stelsik

Share this post


Link to post
Share on other sites

stelsik посмотрите в каком режиме у вас

configure forwarding external-table

 

Судя из документации в режимах l2-and-l3-and-acl и acl-only используется некая внешняя память TCAM из-за этого и можно очень много правил создавать , но я чет не нашел упоминания что не будут работать redirect и прочие вещи , а я так надеялся на 60тыс правил со всеми возможностями.

надо будет еще попробывать методом научного тыка изучить flow-redirect , вдруг и оно заработает .

 

Жаль что нет ни документации ни форумов на родном языке , т.к с англиским не совсем дружу , поверхностно да и большентсво с переводчиком =) , возможно отсюда и все мои непонятки , т.к сложно изучать документацию более чем на 3000 стр. в англоязычном варианте , да и где всё раскидано и нет дельных примеров (с примерами наверное была бы документация стр. так на пару десятков тысяч :) )

 

ps ниодна из железок кроме тупых мылниц из коробки без доработки напильником не работает . (или мне вечно не везёт , или я желаю невозможного )

Share this post


Link to post
Share on other sites

Вообщем пообщался немного с TAC. Они утверждают что более 512 MAC на коммутатор убивает cpu. То есть получается x480 не более чем L3 молотилка с большим количеством маршрутов. Мечта затерминировать на него кучу VLAN разбилась (((

А в презенташках все так ровно и красиво было

Share this post


Link to post
Share on other sites

именно 512 ??? или всетаки 512 тысяч ?

Share this post


Link to post
Share on other sites

flow-redirect может использоваться, например, для source-based маршрутизации. По крайней мере, мы так используем)

 

create flow-redirect "from_X.Y.124.214" any destination 0.0.0.0/0 source X.Y.124.214 255.255.255.255

configure flow-redirect "from_X.Y.124.214" service-check ping

configure flow-redirect "from_X.Y.124.214" add next-hop X.Y.124.225

 

Это правда на ExtremeWare, а не XOS

Share this post


Link to post
Share on other sites

именно 512 ??? или всетаки 512 тысяч ?

Нет я не ошибся, не тысяч, именно 512, конкретно у нас он на 420 затыкается

Share this post


Link to post
Share on other sites

не верю (с)

 

:D

 

знаю я одну историю, когда на плоской Л2 сети приходило на БРАС порядка 20.000 МАК адресов.

в ядре стоял коммутатор у которого ограничение в 32.000.

 

свитч валился. оказалось на БРАСе было заведено около 10.000 SVI =) каждый из них салал свой уникальный МАК в ядро...

дак вот тогда в первую очередь тоже думали, что дело в коммутаторе.

Edited by D^2

Share this post


Link to post
Share on other sites

sh vlan
Total number of VLAN(s) : 73

sh iparp
Dynamic Entries  :         315             Static Entries            :          0
Pending Entries  :          54
In Request       :      436596             In Response               :      11377
Out Request      :     7860006             Out Response              :     189379
Failed Requests  :     1306991
Proxy Answered   :           0
Rx Error         :           0             Dup IP Addr               :         0.0.0.0
Rejected Count   :       73570             Rejected IP               :     
Rejected Port    :           1             Rejected I/F              : 

Max ARP entries  :        8192             Max ARP pending entries   :        256
ARP address check:    Enabled              ARP refresh               :    Enabled
Timeout          :          20 minutes     ARP Sender-Mac Learning   :   Disabled

top
Mem: 404092K used, 626332K free, 0K shrd, 69712K buff, 92456K cached
CPU:  0.0% usr 72.7% sys  0.0% nic 27.2% idle  0.0% io  0.0% irq  0.0% sirq
Load average: 5.25 5.33 5.28 9/186 1949
  PID  PPID USER     STAT   RSS %MEM CPU %CPU COMMAND
1272     2 root     RW<      0  0.0   0 49.9 [bcmL2MOD.0]
1322     2 root     DW<      0  0.0   1 13.6 [tbcm_msm_tx]
1519     1 root     S     2264  0.2   1  4.5 ./esrp
1949  1948 root     R      616  0.0   1  4.5 top -d 3
1473     1 root     S    60552  5.8   1  0.0 ./cliMaster
1475     1 root     S    15108  1.4   1  0.0 ./cfgmgr
1469     1 root     S <  10560  1.0   1  0.0 ./hal
1543     1 root     S     4724  0.4   0  0.0 ./mcmgr
1626     1 root     S     4436  0.4   1  0.0 ./xmld
1479     1 root     S     4280  0.4   1  0.0 ./snmpSubagent
1612     1 root     S     4176  0.4   1  0.0 ./etmon
1644     1 root     S     4032  0.3   1  0.0 ./idMgr
1490     1 root     S     3940  0.3   1  0.0 ./vlan

 

Правда тут не само количество mac критично, сколько arp запросов с него

Может в плоской сети оно и даст больше, но у нас cpu x480 в полке там где EC 4626-sfp idle 92%

Edited by stelsik

Share this post


Link to post
Share on other sites

вы же понимаете, когда в свитче начинает слетать крыша в control plane - начит проблема в дизайне сети, а не коммутаторе.

бывают конечно у всех проблемы с мультикастом и т.д. но это похоже не ваш случай

Share this post


Link to post
Share on other sites
вы же понимаете, когда в свитче начинает слетать крыша в control plane - начит проблема в дизайне сети, а не коммутаторе.

бывают конечно у всех проблемы с мультикастом и т.д. но это похоже не ваш случай

Вот вы видите смысл изменить дизайн сети для установки туда extreme, при условии что там от EdgeCore с Dlink до CISCO чувствуют себя нормально и не напрягаются? Я нет.

Отсюда вывод, extreme только в качестве L3 молотилки-терминатора, ни о каких dhcp relay, acl, svlan и т.д. речи вести нельзя так как уронят cpu тутже

Share this post


Link to post
Share on other sites

Кстати как можно изменить дизайн для того чтобы x480 работал, не подскажете?

У меня на x480 терминируются на L3 вланы от домовых коммутаторов (VLAN на коммутатор), как видно из количества vlan их 50, около 500 клиентов на всех. С x480 делается dhcp релей на dhcp сервер.

В принципе все, как изменить дизайн чтобы крыша не съезжала не понимаю

Share this post


Link to post
Share on other sites

добрый день!

 

ну во первых, вкратце алгоритмика по прохождению трафика (на рисунке):

 

что касается других вопросов, то давайте наверное в аське.

 

С уважением,

post-60348-1299081030_thumb.jpg

Share this post


Link to post
Share on other sites

Чет я чуствую что зря на dlink грешил о нехватках мощей , получается подобные грабли у всех производителей .

Хотя по виду вроде как Extreme отрабатывает L3 пошутрее .

ну и так для статистики , сейчас ночь и больше половины абонентов спят ....

#sh vlan
Total number of VLAN(s) : 102

#sh iparp
Dynamic Entries  :        1101             Static Entries            :          0
Pending Entries  :         187
In Request       :     5503089             In Response               :     247434
Out Request      :    20634292             Out Response              :    2904144
Failed Requests  :     3395636
Proxy Answered   :           0
Rx Error         :           0             Dup IP Addr               :         0.0.0.0
Rejected Count   :      231036             Rejected IP               :  170.151.24.203
Rejected Port    :           7             Rejected I/F              : s042

Max ARP entries  :       16000             Max ARP pending entries   :        256
ARP address check:    Enabled              ARP refresh               :    Enabled
Timeout          :          10 minutes     ARP Sender-Mac Learning   :    Request

Core.6 # top
Mem: 357448K used, 673504K free, 0K shrd, 59820K buff, 97200K cached
CPU:  3.8% usr  7.6% sys  0.0% nic 88.4% idle  0.0% io  0.0% irq  0.0% sirq
Load average: 3.37 3.36 3.28 7/226 1911
  PID  PPID USER     STAT   RSS %MEM CPU %CPU COMMAND
1911  1910 root     R      632  0.0   1 11.5 top -d 3
1375     1 root     R    26228  2.5   1  0.0 ./cliMaster
1624  1375 root     S    26228  2.5   0  0.0 ./cliMaster
1907  1624 root     S    26228  2.5   1  0.0 ./cliMaster
1625  1624 root     S    26228  2.5   1  0.0 ./cliMaster
1626  1624 root     S    26228  2.5   0  0.0 ./cliMaster
1371     1 root     S <  10672  1.0   1  0.0 ./hal

Acl пока нет (кроме 2х для редиректа) , multicast не гоняю , использую только L3 маршрутизацию + OSPF + DHCP(bootp)Relay .

вот стаёт интересно насколько прыгнит CPU когда начну использовать много ACL и мониторить загрузку по SNMP всех портов с переодичностю 30-15 сек.

 

Кстати а можно ли какнить мониторить счетчики созданые в ACL по snmp ?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this