Vano™ Опубликовано 25 февраля, 2011 · Жалоба Немного предыстории: Всё время в последние годы работал с железками от Dlink (3627,3526,3200), в последнее время DGS3627 перестал справлятся со своей задачей , и было решенно найти замену для ядра сети. Замена нашлась под наши нужды в виде Extreme Summit X480-48x. (Сейчас на тесте , в ожидании когда придёт наш.) Изначально было совсем трудно , т.к совсем всё по друому, часть функционало удалось перенести , как и всю сеть на extreme, но некоторые вещи досих пор в тупике. А именно не могу перенести ACL правила для приоретизации и PBR как оно было в Dlink'e. Имеем правила ACL в Dlink'e для перемаркировки приорететов вида : create access_profile profile_id 1 ip icmp config access_profile profile_id 1 add access_id 1 ip icmp port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit create access_profile profile_id 2 ip tcp src_port_mask 0xFFFF config access_profile profile_id 2 add access_id 1 ip tcp src_port 80 port 1-24 permit priority 6 replace_priority replace_dscp 59 rx_rate no_limit config access_profile profile_id 2 add access_id 2 ip tcp src_port 3389 port 1-24 permit priority 7 replace_priority replace_dscp 59 rx_rate no_limit .......................... config access_profile profile_id 2 add access_id 6 ip tcp src_port 554 port 1-27 permit priority 6 replace_priority replace_dscp 56 rx_rate no_limit create access_profile profile_id 3 ip tcp dst_port_mask 0xFFFF config access_profile profile_id 3 add access_id 1 ip tcp dst_port 80 port 1-24 permit priority 7 replace_priority replace_dscp 59 rx_rate no_limit config access_profile profile_id 3 add access_id 2 ip tcp dst_port 3389 port 1-24 permit priority 7 replace_priority replace_dscp 59 rx_rate no_limit config access_profile profile_id 3 add access_id 3 ip tcp dst_port 135 port 1-27 deny config access_profile profile_id 3 add access_id 4 ip tcp dst_port 137 port 1-27 deny config access_profile profile_id 3 add access_id 5 ip tcp dst_port 138 port 1-27 deny config access_profile profile_id 3 add access_id 6 ip tcp dst_port 139 port 1-27 deny config access_profile profile_id 3 add access_id 7 ip tcp dst_port 445 port 1-27 deny create access_profile profile_id 4 ip source_ip_mask 255.255.255.255 config access_profile profile_id 4 add access_id 1 ip source_ip 172.22.100.1 port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit config access_profile profile_id 4 add access_id 2 ip source_ip 172.22.100.11 port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit config access_profile profile_id 4 add access_id 3 ip source_ip 172.22.104.100 port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit create access_profile profile_id 5 ip destination_ip_mask 255.255.255.255 config access_profile profile_id 5 add access_id 1 ip destination_ip 172.22.100.1 port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit config access_profile profile_id 5 add access_id 2 ip destination_ip 172.22.100.11 port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit config access_profile profile_id 5 add access_id 3 ip destination_ip 172.22.104.100 port 1-27 permit priority 7 replace_priority replace_dscp 63 rx_rate no_limit create access_profile profile_id 6 ip source_ip_mask 255.255.255.0 config access_profile profile_id 6 add access_id auto_assign ip source_ip 172.22.1.0 port 1-24 permit priority 7 replace_priority replace_dscp 59 rx_rate no_limit config access_profile profile_id 6 add access_id auto_assign ip source_ip 172.22.100.0 port 1-24 permit priority 6 replace_priority replace_dscp 56 rx_rate no_limit create access_profile profile_id 7 ip destination_ip_mask 255.255.255.0 config access_profile profile_id 7 add access_id auto_assign ip destination_ip 172.22.1.0 port 1-24 permit priority 7 replace_priority replace_dscp 59 rx_rate no_limit config access_profile profile_id 7 add access_id auto_assign ip destination_ip 172.22.100.0 port 1-27 permit priority 6 replace_priority replace_dscp 56 rx_rate no_limit create access_profile profile_id 14 ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 config access_profile profile_id 14 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-10 permit priority 1 replace_priority replace_dscp 16 rx_rate no_limit PCF правило для torrent create access_profile profile_id 9 packet_content_mask offset_chunk_1 9 0xFFFF offset_chunk_2 13 0xFFFF offset_chunk_3 24 0xFFFFFFFF offset_chunk_4 25 0xFF000000 config access_profile profile_id 9 add access_id 1 packet_content offset_chunk_1 0x6A5 offset_chunk_2 0x21 offset_chunk_3 0x7FFFFFFF offset_chunk_4 0x0 port 1-27 deny config access_profile profile_id 9 add access_id 2 packet_content offset_chunk_1 0x6A5 offset_chunk_2 0x21 offset_chunk_3 0x7FFFFFFF offset_chunk_4 0xAB000000 port 1-27 deny И правила для PBR (ICQ в инет ) create access_profile profile_id 10 ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.0.0 tcp dst_port_mask 0xFFFF config access_profile profile_id 10 add access_id auto_assign ip source_ip 172.22.0.0 destination_ip 64.12.0.0 tcp dst_port 5190 port 1-24 permit priority 5 replace_priority replace_dscp 59 rx_rate no_limit config access_profile profile_id 10 add access_id auto_assign ip source_ip 172.22.0.0 destination_ip 205.188.0.0 tcp dst_port 5190 port 1-24 permit priority 5 replace_priority replace_dscp 59 rx_rate no_limit create access_profile profile_id 11 ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255 create policy_route name ICQ config policy_route name ICQ acl profile_id 10 access_id 1 nexthop 172.22.100.1 state enable create policy_route name ICQ205 config policy_route name ICQ205 acl profile_id 10 access_id 2 nexthop 172.22.100.1 state enable Если с первой частью еще ка-то можно разобратся , то у меня сейчас стоит проблема именно с пробросом определённого трафика на определённых next-hop, и оно не хочет работать :( т.е на extreme создаю ACL entry icq_redirect { if { destination-address 64.12.0.0/16; protocol tcp; destination-port 5190; } then { permit; redirect 172.22.100.1; count ACL_test; } } но ему походу всёравно , на 172.22.100.1 нечего не поподает , хотя счётчик ACL_test растёт . сразу скажу, что сеть локальная и маршрута по умолчанию нет , т.е пакеты должны пересылатся если поподают под маску ( на Dlink'e именно так и работало) . Маршрут не могу создать т.к железка работает по OSPF с другими железками где этот маршрут может подменится и вобще неразбериха получается. Поэтому прошу помощи разобратся в настройках Extreme и привести работу в должный вид . Еще до сих пор не понятно в каком порядке обрабатываются правила , т.е если на dlinke обработка была по порядку профили с правилами и номерами по порядку , то как в extreme ? ведь тут нет номеров и как такового порядка . Это например нужно для запрета определённого трафика и разрешения его в начале. Также удручает что нельзя просто внести правило для обработки без внесения в файлы (т.е нельзя просто дать комманду config access_profile profile_id 3 add access_id 3 ip tcp dst_port 135 port 1-27 deny ), знаю что существует XML скриптинг , но как он работает неизвестно. Может где есть ресурсы или форумы по обсуждению ExtremeXOS желательно на русс. , или подобные темы начинать развивать тут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stelsik Опубликовано 26 февраля, 2011 · Жалоба Кстати также PBR не смог настроить, хотя конструкция немного другая - скопировал из концепт гайда, но не взлетело. Свитч по ТТХ хорош, но вы с ним поосторожнее при тестировании, обратите внимание на cpu. У нас при минимуме правил, он тупо виснет, даже телнетом неподконектишься. И при перезагрузке уходит в kernel panic и так по кругу, раза с 20го загрузится. А свичу 120 дней пробега. Нонсенс, но Dlink и EC оказался надежнее чем extreme. По одному экземпляру конечно о всей линейке не судят, просто похоже x480 не слишком удачным вышел Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Helios Опубликовано 26 февраля, 2011 (изменено) · Жалоба Кстати также PBR не смог настроить, хотя конструкция немного другая - скопировал из концепт гайда, но не взлетело.Свитч по ТТХ хорош, но вы с ним поосторожнее при тестировании, обратите внимание на cpu. У нас при минимуме правил, он тупо виснет, даже телнетом неподконектишься. И при перезагрузке уходит в kernel panic и так по кругу, раза с 20го загрузится. А свичу 120 дней пробега. Нонсенс, но Dlink и EC оказался надежнее чем extreme. По одному экземпляру конечно о всей линейке не судят, просто похоже x480 не слишком удачным вышел Ну не надо на зеркало кивать, ну пожалуйста )) Стоит себе железочка уже полгода и только пыль сдуваем. Бордером стоит, 3 FullView держит + два отдает + пиринговых маршрутов несколько тыс. Загрузка CPU 0.7% (кроме конечно периодов когда оно таблицу к себе прокачивает полностью в момент старта) Нагрузка пока небольшая на бордер, но 5-6 гиг уже прокачивается Вторая вот в в ядро пристраивается.Может быть для начала бы неплохо прошивку обновить? http://www.mediafire.com/?to3jdfhe2f15b05 http://www.mediafire.com/?ewxw54l2tqdwe4n Чем мне Extreme понравился - сразу с коробки заработал как написано в документации, проблемы были только в некоторой неоднозначной трактовке EXOSConcepts. PBR работает просто замечательно. Нужды особой конечно не испытываю в ней, но сейчас только проверил - работает. entry test_redirect { if match any { destination-address 213.180.204.211/24; } then { redirect 212.220.55.233; permit; } } Профилей тут действительно нет, но ничего не мешает всю логику ACL прописать в одной политике и подвесить ее на нужный порт. Кажущаяся недостаточной гибкость легко окупается тем, что на каждый порт политика может быть своя )) Изменено 26 февраля, 2011 пользователем Helios Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stelsik Опубликовано 27 февраля, 2011 · Жалоба Ну не надо на зеркало кивать, ну пожалуйста ))Какое тут зеркало, если с дефолтными конфигами на разных прошивках при загрузке, ядро "kernel panic" сыпет. Сами то поняли что написали?x480 просто не включается, объясни что я неправильно делаю, может вилку в розетку по особенному втыкать необходимо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Helios Опубликовано 27 февраля, 2011 (изменено) · Жалоба Ну не надо на зеркало кивать, ну пожалуйста ))Какое тут зеркало, если с дефолтными конфигами на разных прошивках при загрузке, ядро "kernel panic" сыпет. Сами то поняли что написали?x480 просто не включается, объясни что я неправильно делаю, может вилку в розетку по особенному втыкать необходимо? Вы про надежность Длинков больше чем Extreme расскажите Евротелу у которых 10% сети на x480 сейчас строится ). И в дата-центрах x480 очень популярный свитчик ) Конечно не исключаю фантастический вариант, что Вам попался бракованный hardware, но все-таки с трудом верю, что свитч в такое состояние попал сам по себе. Может кроме перепрошивки неплохо бы поглядеть что на флеше лежит/нехватает по сравнению с рабочим экземпляром. Выложите хоть лог того что в консоль пишет при kernel panic ) Изменено 27 февраля, 2011 пользователем Helios Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stelsik Опубликовано 27 февраля, 2011 · Жалоба Ну вот например core_dump_info storage: 2240/3072 used [FULL] failure: kernel oops reason: Unhandled kernel unaligned access time: 1298067279 where: Unhandled kernel unaligned access:0 $0 : z0=00000000 at=1000dc01 v0=c34e0000 v1=c34e0000 $4 : a0=ffffffff a1=88dd0020 a2=878a63b0 a3=00000000 $8 : t0=ffffffff t1=89591740 t2=8f64d240 t3=00000000 $12: t4=89591760 t5=ffffffff t6=00000001 t7=ff000000 $16: s0=ffffffff s1=878a63b0 s2=ffffffff s3=895117c8 $20: s4=c34e1f60 s5=c34ef860 s6=00000000 s7=00000000 $24: t8=00000000 t9=c34ec838 $28: gp=89510000 sp=89511758 s8=c34e2448 ra=c34e75b0 Hi : 00000000 Lo : 2e4e46e7 epc : c34e64a0 dumpPRIO+0x1c0/0x5f0 [linux_bcm_diag_full] Tainted: P Status: 1000dc03 Cause : 10800010 89511758: 00000000 00000000 00000000 00000000 878a63c8 c3dd32f0 00000000 878a63b0 89511778: 00000000 00000000 c3dd0000 89511934 00000000 00000000 89511934 c34e75b0 89511798: 8025a328 8029787c ffffffff 88cb67a0 895117c8 ffffffff ffffffff 88cb67a0 895117b8: c39ef300 c39ef518 ffffffff 88cb67a0 00000000 00000000 c39ef300 00000000 895117d8: 00000011 000000ff c34ec7ec 5022005e 00000015 8780bae0 0000002c 8780bae0 895117f8: 00000000 000002d3 ffffffff 00000000 00000000 89511934 c3dd0000 00000009 89511818: c3dd2f50 c34be6a4 00000000 89511934 ffffffff 00000009 00000000 00000000 89511838: 89511934 00000001 00000000 89511878 ffffffff 000002d3 c34be8d8 c34be8ac 89511858: c34ecf94 00000000 00000001 ffffffff 00000000 00000000 89511878 89511934 89511878: ffffffff c34d2f98 c3dd2e88 c3dd2f50 c34d2f98 00000001 c3dd3270 00000000 89511898: 00000000 c34d5528 8e3ea520 00000000 c39ef6d8 00000036 89511934 00000001 895118b8: c3dd2e88 00000000 c3dd2f50 00000000 0063f8d8 c39ef518 00000000 00000000 895118d8: 00a80001 061fe19e c397c91c c397c62c 81a0a7a0 81a0abe8 00000002 7fffffff 895118f8: ffffffff 8e3ea520 c39ef300 11ff03e8 0fff0064 00000002 00000001 80238a5c 89511918: 00000000 00000000 00a80001 000002d3 ffffffff 00000036 00000000 00000000 89511938: 89511a58 00000000 89511a54 c3978880 c39ef8d8 81a0a7a0 00000003 0000000f log: ... : Received a WRITE of 1164 bytes of ModmapInfo. log: <6>expmap_write: Received a WRITE of 980 bytes of ModidTbl. log: <7>Enable watchdog Version #0 SMP Fri Apr 23 19:39:22 EDT 2 by release-manager@sicily.extremen Release 2.6.28.9cougar Call Trace: @[<c34e64a0>] dumpPRIO+0x1c0/0x5f0 [linux_bcm_diag_full] [<c34e75b0>] bcm_custom_extr_field_install_rule+0x108/0x730 [linux_bcm_diag_full] [<c39ef300>] sal_sem_take+0x20c/0x460 [linux_bcm_diag_full] [<c39ef518>] sal_sem_take+0x424/0x460 [linux_bcm_diag_full] [<c39ef300>] sal_sem_take+0x20c/0x460 [linux_bcm_diag_full] [<c34ec7ec>] bcm_custom_extr_field_rules_dump+0x12d4/0x2228 [linux_bcm_diag_full] [<c34be6a4>] bcm_custom_extr_acl_wrap_copy+0x1c0/0x280 [linux_bcm_diag_full] [<c34be8d8>] bcm_custom_extr_acl_wrap_install_no_compression+0x88/0xe4 [linux_bcm_diag_full] [<c34be8ac>] bcm_custom_extr_acl_wrap_install_no_compression+0x5c/0xe4 [linux_bcm_diag_full] [<c34ecf94>] bcm_custom_extr_field [] [<c39ef518>] sal_sem_take+0x424/0x460 [linux_bcm_diag_full] [<c39ef300>] sal_sem_take+0x20c/0x460 [linux_bcm_diag_full] Build directory: /home/release-manager2/v12_4_1_7-patch1-4/summit_rmi -------------------------------- Kernel Panic. time: 1298067286 Reason: Fatal exception Caller: 0x8021a4b8 (die+0x128/0x15c) Version #0 SMP Fri Apr 23 19:39:22 EDT 2 by release-manager@sicily.extremen Release 2.6.28.9cougar Build directory: /home/release-manager2/v12_4_1_7-patch1-4/summit_rmi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vano™ Опубликовано 27 февраля, 2011 (изменено) · Жалоба вобщем всеравно не хочет работать , я уже так пробывал , но решил попробывать еще раз ... итак мой комп - 172.22.22.22 нахожусь за 19 портом extreme в taget vlan 22 комп с NAT и выходом в интернет - 172.22.100.1 172.22.100.254 - старый добрый dlink 3627 на extreme Core.15 # sh ipconfig Use Redirects : Disabled IpOption LSRR : Enabled IpOption SSRR : Enabled IpOption RR : Enabled IpOption TS : Enabled IpOption RA : Enabled Route Sharing : Disabled Originated Packets : Don't require ipforwarding IP Fwding into LSP : Disabled Max Shared Gateways : Current: 4 Configured: 4 IRDP: Advertisement Address: 255.255.255.255 Maximum Interval: 600 Minimum Interval: 450 Lifetime: 1800 Preference: 0 VLAN IP Address Flags nSIA Default 172.22.1.250 /24 EUf---MPuRX-------- 0 .......... s022 172.22.22.254 /24 EUf---MPuRX-------- 0 ......... s100 172.22.100.250 /24 EUf---MPuRX-------- 0 Flags: (A) Address Mask Reply Enabled (B) BOOTP Enabled (b) Broadcast Forwarding Enabled, (E) Interface Enabled (f) Forwarding Enabled (g) Ignore IP Broadcast Enabled (h) Directed Broadcast Forwarding by Hardware Enabled (I) IRDP Advertisement Enabled, (M) Send Parameter Problem Enabled (m) Multicast forwarding Enabled, (n) Multinetted VLAN (nSIA ) Number of Secondary IP Addresses (P) Send Port Unreachables Enabled, (R) Send Redirects Enabled (r) Unicast Reverse Path Enabled on at least one port of the VLAN (T) Time Stamp Reply Enabled, (U) Interface Up (u) Send Unreachables Enabled, (X) Send Time Exceeded Enabled (v) VRRP Enabled часть удалил ..... даже решил добавить def route Core.11 # sh iproute origin static Ori Destination Gateway Mtr Flags VLAN Duration #s Default Route 172.22.100.254 1 UG---S-um--f s100 0d:0h:6m:53s Core.12 # sh policy "redirect" Policies at Policy Server: Policy: redirect entry test_redirect { if match any { destination-address 64.12.0.0/16; } then { redirect 172.22.100.1; permit; } } Number of clients bound to policy: 1 Client: acl bound once Core.13 # sh access-list Vlan Name Port Policy Name Dir Rules Dyn Rules =================================================================== [quot] 1 redirect ingress 1 0 [/quot] 2 redirect ingress 1 0 [quot] 3 redirect ingress 1 0 [/quot] 4 redirect ingress 1 0 [quot] 5 redirect ingress 1 0 [/quot] 6 redirect ingress 1 0 [quot] 7 redirect ingress 1 0 [/quot] 8 redirect ingress 1 0 [quot] 9 redirect ingress 1 0 [/quot] 10 redirect ingress 1 0 [quot] 11 redirect ingress 1 0 [/quot] 12 redirect ingress 1 0 [quot] 13 redirect ingress 1 0 [/quot] 14 redirect ingress 1 0 [quot] 15 redirect ingress 1 0 [/quot] 16 redirect ingress 1 0 [quot] 17 redirect ingress 1 0 [/quot] 18 redirect ingress 1 0 [quot] 19 redirect ingress 1 0 [/quot] 20 redirect ingress 1 0 ну и соотвественно на своём домашнем делаю traceroute admin>tracert login.icq.com Трассировка маршрута к login.icq.com [64.12.202.116] с максимальным числом прыжков 30: 1 <1 мс 1 ms <1 мс segment22.kayerkan.lan [172.22.22.254] 2 core-1.kayerkan.lan [172.22.100.254] сообщает: Заданная сеть недоступна. Трассировка завершена. Если default route не добавлять то сам extreme сразу отвечает что заданая сеть недоступна , вот и скажите что я делаю не так ? почему маршрут не летит на 100.1 а потдаётся обычным законам маршрутизации ? может я что-то забыл включить ? или может коммутатор должен работать в каком-то особеном режиме ? .............................. вспомнил про режими и решил сменить стояло configure forwarding external-tables l2-and-l3-and-acl решил изменить и поменял на configure forwarding external-tables l2-and-l3 грузанул коммутатор , и странным образом маршрут побежал по правилу , это совсем странно .... отсюда возникают вопросы , какие ограничения и в каих режимах у ACL т.к имеются acl-only Program the external lookup table for access-lists only. l2-and-l3 Program the external lookup table for layer-2 MAC FDB and layer-3 routes (default). l2-and-l3-and-acl Program the external lookup table for layer-2 MAC FDB, layer-3 routes, and access-lists. l2-only Program the external lookup table for layer-2 MAC FDB only. l3-only Program the external lookup table for layer-3 routes only. none Do not use the external lookup table. выбирал l2-and-l3-and-acl из предположения что во вред и уменьшению таблиц под IP я смогу больше использовать ACL, но получилось всё наобород :( Изменено 27 февраля, 2011 пользователем Vano™ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Helios Опубликовано 27 февраля, 2011 · Жалоба а IP 172.22.100.1 то пингуется с x480 куда хотите заслать пакетик? ну и enable iparp refresh как в мануале написано лучше сделать.. to stelsik: сдается мне все-таки что софт какой-то у вас древний, ну и похоже что все-таки проблема с флешем, места мало там судя по всему ) Ну это мои предположения. ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vano™ Опубликовано 27 февраля, 2011 · Жалоба Не думал , что кто-то ответит за пару минут , но уже написал чуть выше , частично что-то решилось , буду копать дальше . 100.1 конечно доступен (он не может быть не доступен ему противопаказанно DHCP+DNS). сейчас заметил еще странность , если удалить default gatway то получаю [172.22.22.254] сообщает: Заданная сеть недоступна. т.е пакетик в правило даже не попадает если нет маршрутов далше . прошивка Created by ExtremeXOS version 12.4.1.7 т.к свитч сейчас на тесте , думаю не стоит пытатся менять пока собственный не получим (в ожидании ) и как-то теперь боязно оплатить много килобаксов и получить ненадёжную железку . да и многие вещи досих пор под вопросом , думаю я эту тему долго буду потдерживать если кто-то будем помогать решать вопросы , т.к надежды на что-то другое нету :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Helios Опубликовано 27 февраля, 2011 (изменено) · Жалоба У меня сейчас стоит configure forwarding external-tables l3-only configure iproute reserved-entries maximum на бордере, и PBR работает ;-) p/s не знаю чрез кого свитч берете конечно, но есть такой Mikhail Rodionov в московском предствительстве Extreme - очень приятный человек, всегда готов прийти на помощь )) железка имхо вполне надежная, PCF ACL только на ней нет, по сравнению с D-link, но зато конфиг чем-то похож )) Изменено 27 февраля, 2011 пользователем Helios Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vano™ Опубликовано 27 февраля, 2011 · Жалоба Да ту на SNR он заказан , ждём когда привезут , на тет соответсвенно тоже тутже взят. Пока мне нравится как он молотит L3 , но я не задействовал большую часть функционала , так потихоньку пока только L3 маршрутизация , OSPF , DHCP(Bootp) Relay, LACP . Потихоньку хочу перенести ACL и прочие мелочи , ну и опробывать разный функционал . Есть еще пару вопросов которые иногда мучают для эстетики и для общего понимания . например порядок IPIF который например можно снать по SNMP имеет свой определённый ID на Dlink'e его можно было просто сменить вместе с MAC интерфейса create ipif 021 172.22.21.254/24 021 state enable config ipif_mac_mapping ipif 022 mac_offset 22 на extreme все интерфейсы с одним маком , а порядок в том виде в каком создавались интерфейсы . ладно например пока работает через ACL forwarding пакетов , а для чего тогда у него есть flow-redirect и как им пользоватся . Helios я так понимаю у вас имеется x480 и вы с ним работаете , может сможете помочь например в ICQ , т.к мелких вопросов много, а опыта с extreme вобще нет , да и на форумах про них нечего нету , хот на курсы лететь куданить :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stelsik Опубликовано 28 февраля, 2011 · Жалоба Multiple Nexthop SupportAs discussed above, Layer 3 and Layer 2 policy-based redirect support only one nexthop for one policybased entry. Multiple nexthops with different priorities can be configured. A higher priority is denoted with a higher number; for example, “priority 5” has a higher precedence that “priority 1.” When a high priority nexthop becomes unreachable, another preconfigured nexthop, based on priority, replaces the first. This is done by first creating a flow-redirect name that is used to hold nexthop information. Use the following command: create flow-redirect <flow-redirect-name> To delete the flow-redirect name, use delete flow-redirect <flow-redirect-name> Then information for each nexthop including a defined priority is added one by one to the new flowredirect name. Use the following command: configure flow-redirect <flow-redirect-name> add nexthop <ipaddress> priority <number> To delete the nexthop, use the following command: configure flow-redirect <flow-redirect-name> delete nexthop <ipaddress> Because an ACL does not recognize the virtual routing concept, one policy-based routing is used for multiple virtual routing entries when a VLAN-based virtual router is used for one port. Configuring a virtual router into a flow-redirect allows policy-based routing to work for only one specific virtual router. Use the following command: configure flow-redirect <flow-redirect-name> vr <vr-name> Configuring the virtual router parameter is not supported on BlackDiamond 8800 series switches and Summit family switches. Finally, a new action modifier, redirect-name, is used to specify the flow-redirect name in an ACL rule entry. entry redirect_redundancy { if match all { source-address 1.1.1.100/24 ; } then { permit ; redirect-name <name> } } У меня правда не работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stelsik Опубликовано 28 февраля, 2011 (изменено) · Жалоба to stelsik: сдается мне все-таки что софт какой-то у вас древний, ну и похоже что все-таки проблема с флешем, места мало там судя по всему )Ну это мои предположения. ) Софт последний, на флеше 2 политики на 200 байт от дефолта. Или там флеш на 100 байт всего )))Посмотрим конечно что TAC скажет, но похоже что x480 сыроват, ну не работает он из коробки Изменено 28 февраля, 2011 пользователем stelsik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vano™ Опубликовано 28 февраля, 2011 · Жалоба stelsik посмотрите в каком режиме у вас configure forwarding external-table Судя из документации в режимах l2-and-l3-and-acl и acl-only используется некая внешняя память TCAM из-за этого и можно очень много правил создавать , но я чет не нашел упоминания что не будут работать redirect и прочие вещи , а я так надеялся на 60тыс правил со всеми возможностями. надо будет еще попробывать методом научного тыка изучить flow-redirect , вдруг и оно заработает . Жаль что нет ни документации ни форумов на родном языке , т.к с англиским не совсем дружу , поверхностно да и большентсво с переводчиком =) , возможно отсюда и все мои непонятки , т.к сложно изучать документацию более чем на 3000 стр. в англоязычном варианте , да и где всё раскидано и нет дельных примеров (с примерами наверное была бы документация стр. так на пару десятков тысяч :) ) ps ниодна из железок кроме тупых мылниц из коробки без доработки напильником не работает . (или мне вечно не везёт , или я желаю невозможного ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stelsik Опубликовано 1 марта, 2011 · Жалоба Вообщем пообщался немного с TAC. Они утверждают что более 512 MAC на коммутатор убивает cpu. То есть получается x480 не более чем L3 молотилка с большим количеством маршрутов. Мечта затерминировать на него кучу VLAN разбилась ((( А в презенташках все так ровно и красиво было Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 1 марта, 2011 · Жалоба именно 512 ??? или всетаки 512 тысяч ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 2 марта, 2011 · Жалоба flow-redirect может использоваться, например, для source-based маршрутизации. По крайней мере, мы так используем) create flow-redirect "from_X.Y.124.214" any destination 0.0.0.0/0 source X.Y.124.214 255.255.255.255 configure flow-redirect "from_X.Y.124.214" service-check ping configure flow-redirect "from_X.Y.124.214" add next-hop X.Y.124.225 Это правда на ExtremeWare, а не XOS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stelsik Опубликовано 2 марта, 2011 · Жалоба именно 512 ??? или всетаки 512 тысяч ? Нет я не ошибся, не тысяч, именно 512, конкретно у нас он на 420 затыкается Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 2 марта, 2011 (изменено) · Жалоба не верю (с) :D знаю я одну историю, когда на плоской Л2 сети приходило на БРАС порядка 20.000 МАК адресов. в ядре стоял коммутатор у которого ограничение в 32.000. свитч валился. оказалось на БРАСе было заведено около 10.000 SVI =) каждый из них салал свой уникальный МАК в ядро... дак вот тогда в первую очередь тоже думали, что дело в коммутаторе. Изменено 2 марта, 2011 пользователем D^2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stelsik Опубликовано 2 марта, 2011 (изменено) · Жалоба sh vlan Total number of VLAN(s) : 73 sh iparp Dynamic Entries : 315 Static Entries : 0 Pending Entries : 54 In Request : 436596 In Response : 11377 Out Request : 7860006 Out Response : 189379 Failed Requests : 1306991 Proxy Answered : 0 Rx Error : 0 Dup IP Addr : 0.0.0.0 Rejected Count : 73570 Rejected IP : Rejected Port : 1 Rejected I/F : Max ARP entries : 8192 Max ARP pending entries : 256 ARP address check: Enabled ARP refresh : Enabled Timeout : 20 minutes ARP Sender-Mac Learning : Disabled top Mem: 404092K used, 626332K free, 0K shrd, 69712K buff, 92456K cached CPU: 0.0% usr 72.7% sys 0.0% nic 27.2% idle 0.0% io 0.0% irq 0.0% sirq Load average: 5.25 5.33 5.28 9/186 1949 PID PPID USER STAT RSS %MEM CPU %CPU COMMAND 1272 2 root RW< 0 0.0 0 49.9 [bcmL2MOD.0] 1322 2 root DW< 0 0.0 1 13.6 [tbcm_msm_tx] 1519 1 root S 2264 0.2 1 4.5 ./esrp 1949 1948 root R 616 0.0 1 4.5 top -d 3 1473 1 root S 60552 5.8 1 0.0 ./cliMaster 1475 1 root S 15108 1.4 1 0.0 ./cfgmgr 1469 1 root S < 10560 1.0 1 0.0 ./hal 1543 1 root S 4724 0.4 0 0.0 ./mcmgr 1626 1 root S 4436 0.4 1 0.0 ./xmld 1479 1 root S 4280 0.4 1 0.0 ./snmpSubagent 1612 1 root S 4176 0.4 1 0.0 ./etmon 1644 1 root S 4032 0.3 1 0.0 ./idMgr 1490 1 root S 3940 0.3 1 0.0 ./vlan Правда тут не само количество mac критично, сколько arp запросов с него Может в плоской сети оно и даст больше, но у нас cpu x480 в полке там где EC 4626-sfp idle 92% Изменено 2 марта, 2011 пользователем stelsik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 2 марта, 2011 · Жалоба вы же понимаете, когда в свитче начинает слетать крыша в control plane - начит проблема в дизайне сети, а не коммутаторе. бывают конечно у всех проблемы с мультикастом и т.д. но это похоже не ваш случай Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stelsik Опубликовано 2 марта, 2011 · Жалоба вы же понимаете, когда в свитче начинает слетать крыша в control plane - начит проблема в дизайне сети, а не коммутаторе.бывают конечно у всех проблемы с мультикастом и т.д. но это похоже не ваш случай Вот вы видите смысл изменить дизайн сети для установки туда extreme, при условии что там от EdgeCore с Dlink до CISCO чувствуют себя нормально и не напрягаются? Я нет.Отсюда вывод, extreme только в качестве L3 молотилки-терминатора, ни о каких dhcp relay, acl, svlan и т.д. речи вести нельзя так как уронят cpu тутже Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stelsik Опубликовано 2 марта, 2011 · Жалоба Кстати как можно изменить дизайн для того чтобы x480 работал, не подскажете? У меня на x480 терминируются на L3 вланы от домовых коммутаторов (VLAN на коммутатор), как видно из количества vlan их 50, около 500 клиентов на всех. С x480 делается dhcp релей на dhcp сервер. В принципе все, как изменить дизайн чтобы крыша не съезжала не понимаю Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ibk74 Опубликовано 2 марта, 2011 · Жалоба добрый день! ну во первых, вкратце алгоритмика по прохождению трафика (на рисунке): что касается других вопросов, то давайте наверное в аське. С уважением, Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vano™ Опубликовано 2 марта, 2011 · Жалоба Чет я чуствую что зря на dlink грешил о нехватках мощей , получается подобные грабли у всех производителей . Хотя по виду вроде как Extreme отрабатывает L3 пошутрее . ну и так для статистики , сейчас ночь и больше половины абонентов спят .... #sh vlan Total number of VLAN(s) : 102 #sh iparp Dynamic Entries : 1101 Static Entries : 0 Pending Entries : 187 In Request : 5503089 In Response : 247434 Out Request : 20634292 Out Response : 2904144 Failed Requests : 3395636 Proxy Answered : 0 Rx Error : 0 Dup IP Addr : 0.0.0.0 Rejected Count : 231036 Rejected IP : 170.151.24.203 Rejected Port : 7 Rejected I/F : s042 Max ARP entries : 16000 Max ARP pending entries : 256 ARP address check: Enabled ARP refresh : Enabled Timeout : 10 minutes ARP Sender-Mac Learning : Request Core.6 # top Mem: 357448K used, 673504K free, 0K shrd, 59820K buff, 97200K cached CPU: 3.8% usr 7.6% sys 0.0% nic 88.4% idle 0.0% io 0.0% irq 0.0% sirq Load average: 3.37 3.36 3.28 7/226 1911 PID PPID USER STAT RSS %MEM CPU %CPU COMMAND 1911 1910 root R 632 0.0 1 11.5 top -d 3 1375 1 root R 26228 2.5 1 0.0 ./cliMaster 1624 1375 root S 26228 2.5 0 0.0 ./cliMaster 1907 1624 root S 26228 2.5 1 0.0 ./cliMaster 1625 1624 root S 26228 2.5 1 0.0 ./cliMaster 1626 1624 root S 26228 2.5 0 0.0 ./cliMaster 1371 1 root S < 10672 1.0 1 0.0 ./hal Acl пока нет (кроме 2х для редиректа) , multicast не гоняю , использую только L3 маршрутизацию + OSPF + DHCP(bootp)Relay . вот стаёт интересно насколько прыгнит CPU когда начну использовать много ACL и мониторить загрузку по SNMP всех портов с переодичностю 30-15 сек. Кстати а можно ли какнить мониторить счетчики созданые в ACL по snmp ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...