Перейти к содержимому
Калькуляторы

Extreme Summit X480-48x (ACL,PBR,etc.) Помогите с настройкой в ExtremeXOS

Получается у нас примерно одинаковые задачи, но у меня почему-то процесс bcmL2MOD.0 занимает половину ресурсов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну может у вас проблема действительно в реализации сети .

Например я использую 1Vlan на дом или пару домов , в которых от 20 до 120 абонентов , примерно по следующей схеме

Extreme X480 (в прошлом Dlink3627) -(1-6х Vlan taget)-(Optic GE)--->Dlink3200-10(3526)---(Vlan untaget)--(UTP)->Dlink1024 ---> абонент

т.е фактически свожу до 23 пользователей на 100мбит , на длинке есть ACL которые не только блокирует юзеров за не уплату , но и фильтрует лишний broadcast и другой трафик, который может хорошо засадить центральную железку.

 

Просто подумывал о реализации блокировки на ядре , но с таким синтаксисом оно не получится , так-что останусь с блокировкой на другом конце оптики.

 

и еще попробуйте посмотреть чем именно занят CPU

sh cpu-monitoring

 

занятно , но методом научного тыка потихоньку начинаю дальше изучать железку и привыкать к ней.

Изменено пользователем Vano™

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

добрый вечер!

 

давайте все таки разберемся, что значит "грабли" с производительностью у экстрима?

что конкретно интересует в "граблях"? есть опыт использования X480 в довольно больших сетках L2 и никаких граблей там не обнаружено. в сетях L3 тоже пока вроде работает гораздо на больших цифрах. нежели чем ближайшие конкуренты.

 

что касается сравнения с dlink - то это в любом случае не совсем корректно, особенно с функциональностью данной модели и ее возможностей.

 

давайте продолжим тестирование с вопросами-ответами. я послал запрос на авторизацию вам в icq.

 

 

Acl пока нет (кроме 2х для редиректа) , multicast не гоняю , использую только L3 маршрутизацию + OSPF + DHCP(bootp)Relay .

вот стаёт интересно насколько прыгнит CPU когда начну использовать много ACL и мониторить загрузку по SNMP всех портов с переодичностю 30-15 сек.

 

Кстати а можно ли какнить мониторить счетчики созданые в ACL по snmp ?

мониторить счетчики можно спокойно и через sFlow например. чем плох данный вариант?

процессор при работе с snmp грузится не сильно. хотя никто не отрицает. что загрузка есть, это все таки специфика именно этой реализации.

 

ну и встроенный xml api тоже никто не отменял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что касается сравнения с dlink - то это в любом случае не совсем корректно, особенно с функциональностью данной модели и ее возможностей.

а длинк об extreme отзывается "дорогой длинк"

согласитесь как много заложено в этой фразе ;D

 

разница кстати только в софтовой обвязке, а чипсеты того же броадкома(и грабли его же).

софтовая обвязка похожа на AT x900.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что касается сравнения с dlink - то это в любом случае не совсем корректно, особенно с функциональностью данной модели и ее возможностей.

а длинк об extreme отзывается "дорогой длинк"

согласитесь как много заложено в этой фразе ;D

 

разница кстати только в софтовой обвязке, а чипсеты того же броадкома(и грабли его же).

софтовая обвязка похожа на AT x900.

в мире давно правит демократия. каждый может говорить что хочет.

лично я уважаю длинк, но есть ньансы ...

если рассуждать какие чипсеты установлены, то везде один и тот же силикон, чего уж тут. все в мире одинаково

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чтобы не плодить темы. Отпишусь в этой:

Взяли на тест X460. Первое неприятное открытие: железка не поддерживает GVRP. Может кто подскажет что производитель предлагает взамен? До этого на агрегации стоял старый-престарый Dlink, который нормально мог GVRP и никто не задумывался над прописыванием каждого проходящего через железку VLAN-а.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на экстримах gvrp поддерживается только на "i" серии с софтом до 6.0 версии. в 6.1 команды еще есть, но уже не поддерживаются.

альтернативы gvrp на экстримах походу дела нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Недавно также взяли 460-48х, поставили в стек с парой 450а-24х

новый коммутатор поддерживают только прошивки 12.4 и выше,

на 450а пришлось обновить с 12.3 для работы общего стека, после чего начались проблемы....

(кстати, прошивки до 12.4 занимают 20 мбайт, а 12.4 и выше уже 40-50)

в логах начали появляется ошибки, 460й отваливался со стека, перегружается

по поводу маков, прописано порядка 3к статических записей, проблем не наблюдаем,

ACL порядка 300-500

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Продолжим тему того что получилось и того что до сих пор не решено.

Профилей тут действительно нет, но ничего не мешает всю логику ACL прописать в одной политике и подвесить ее на нужный порт. Кажущаяся недостаточной гибкость легко окупается тем, что на каждый порт политика может быть своя ))

вот первый недостаток , коммутатор L3 ядро а значит политики по правилам должны висеть на всех портах

итог имеем несколько политик (например 2) , для удобства одна для редиректа друга для маркировки QOS

 # sh access-list
Vlan Name    Port   Policy Name          Dir      Rules  Dyn Rules
===================================================================
*            *      redirect             ingress  3      0

пытаемся также повесить вторую политику и в итоге получаем

# conf access-list server_qos any
ERROR: Wildcard ACL is already configured!

ага , если политика на порт уже повешана значит всё нечего нельзя , и где гибкость ?

копаем дальше политику пришлось повешать на разный vlan , но это не выход из положения .

получается что выход толко один создать политику для каждого порта отдельно и там продублировать все правила , а не кощунство ли это расхд правил для выхода из ситуации ?

 

если посмотреть на первое сообщение то видно что в том-же dlink'e есть профиль и в нём правила , так вот каждое правило можно повесить на любой порт или группу портов что несомненно удобнее и гибче .

 

По этому по правилам так и остался вопрос нерешенным , например порядок их обработки , хоят в политике они возможно и обрабатываются по порядку , но создавать многотысячный файл для каждого порта ? .

Если я например захочу фильтровать каждого пользователя правилом в центре , но я незнаю где у меня пользователь и за каким портом , то получаем минимум 3500 правил для каждого порта в итоге получим 168 000 , т.е идею создавать политику для каждого порта не имеет смысла.

 

Еще один неприятный недостаток нашёл при попытки отмаркировать QOS .

имеем старое правило на dlink'e

create access_profile profile_id 2 ip tcp src_port_mask 0xFFFF 
config access_profile profile_id 2 add access_id 1 ip tcp src_port 80  port 1-24 permit priority 6 replace_priority replace_dscp 59 rx_rate no_limit 

где мы находим источник с TCP:80 и сразу помещаем в priority 6 и перемаркировавыем dscp в 59 .

при попытке сделать подобное на extreme не увенчалось успехом т.к оказалось нельзя использовать одновременно priority и dscp из-за чего приходится создавать 2 правила

например:

entry rtsp {
if match all {
   protocol TCP ;
   source-port 554 ;
}
then {
   permit  ;
   replace-dot1p-value 6 ;
}
}

entry rtsp_dscp {
if match all {
   protocol TCP ;
   source-port 554 ;
}
then {
   qosprofile qp6 ;
   replace-dscp  ;
}

и опять таки нельзя явно указать dscp вручную , а только через qosprofile которых всего может быть 8 .

мне явно нужн разделёная конкретика для технологического трафика , для игр , для потокового видео , и других приложений требующих определенных условий с QOS на перегруженых каналах . т.к имеется перегруженый канал в 1gbit , перегрузили его p2p трафиком , но среди прочего есть и игры и потоковые приложения , и VPN от провайдеров которые должны быть с высоким приоритетом . А значит трафик нужно отмаркировать до попадания его в L3 обработку, тоже самое и с обратной стороны , трафик должен быть отмаркирован и после для L2 уровня чтобы он дошёл до адресата бес потерь , даже если и там каналы перегружены.

 

Вот отсюда возвращаемся к началу данной темы , каким образом можно вешать много политик и правил на все порты как это было на dlink'e .

Мне уже подсказывали что при помощи динамических правил как-то можно сделать подобное где будут порядок обработки, но я так и не розабрался как , нету наглядных примеров , а метод научного тыка к желаемым результатам не всегда приводит и отнимает много времени....

 

Ну да ладно , что это я только о плохом . Результаты использования Extreme x480 потихоньку радуют другими вещами , т.е чего всёже получилось добится и что работает в отличии от того же dlink'a , непомню упоминал или нет , но он стоит в виде L3 ядра сети , где то этого было 2 dlink'a 3627G которые при привышении более 1000-1500 пользователей на комутатор начинал не справлятся с нагрузкой , а также были и некоторые несправиления с трафиком превышающим более 800mbit на порту.

Сейчас x480 Переваривает польностью более 3000 абонентов + маршрутизацию в сторону других сетей . И он очень успешно справляется с данной задачей и переваривает весь L3 трафик , пользователи перестали жаловаться на форуме с потерями в некоторых приложениях или с некоторыми задержками в играх. Это также доказывает 100% нагрузку одного из каналов с другой сеть которая уже несколько дней держится полностью нагруженной под 100% .

C редиректом затронутой в этой теме пока не стал дальше разбиратся (небыло времени), работает пока обычной политикой при наличии default маршрута.

Порадовала также удачное сумирование маршрутов в OSPF из кучи /24 подсетей в одну /16 , что не получалось на серверах и тех же dlink'ax .

 

Поэтому прошу дальнейшей помощи с всевозможными примерами для решения данных задач , например с использованием тех же динамических правил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день!

 

давайте, попытавшись не смешивать вкусное с мягким, разобраться что к чему, все таки разрывы во времени довольно большие:

 

от первый недостаток , коммутатор L3 ядро а значит политики по правилам должны висеть на всех портах

итог имеем несколько политик (например 2) , для удобства одна для редиректа друга для маркировки QOS

 

есть множество теорий, насчет того, каким должно быть ядро операторской сети. но есть и правило, если сеть работает, значит сделана более или менее правильно.

насчет редиректа и маркировки: экстрим довольно неплохо различает входящие и исходящие правила. попробуйте посмотреть доку, может получиться как то логически разделить все это?

 

 

ага , если политика на порт уже повешана значит всё нечего нельзя , и где гибкость ?

не понял смысла вопроса. гибкость в том, что политику можно прикрепить к порту, а можно и удалить с порта. если речь идет о интеграции с системами OSS/BSS и так далее, внутри операционки есть скриптинг и несколько других механизмов, которые будут помогать вам в этом деле. То что, экстрим в статических политиках, предупреждает о том, что уже есть политика, есть что-то плохое?

 

 

копаем дальше политику пришлось повешать на разный vlan , но это не выход из положения .

получается что выход толко один создать политику для каждого порта отдельно и там продублировать все правила , а не кощунство ли это расхд правил для выхода из ситуации ?

 

почему кощунство? вы же не захотели разбить задачи по разным уровням сети? вы же хотите и "красить" и управлять трафиком в одной точке? так почему кощунство вешать политики на все используемые порты?

 

 

если посмотреть на первое сообщение то видно что в том-же dlink'e есть профиль и в нём правила , так вот каждое правило можно повесить на любой порт или группу портов что несомненно удобнее и гибче .

 

если честно, то немного не понимаю о чем идет речь, поскольку не силен в длинке. что конкретно не устраивает то? в итоге вы на длинке, да и практически где угодно делаете одно и то же.

 

 

при попытке сделать подобное на extreme не увенчалось успехом т.к оказалось нельзя использовать одновременно priority и dscp из-за чего приходится создавать 2 правила

например:

 

DiffServ Example

In this example, we use DiffServ to signal a class of service throughput and assign any traffic coming from network 10.1.2.x with a specific DSCP. This allows all other network switches to send and observe the DSCP instead of repeating the same QoS configuration on every network switch.

To configure the switch:

1 Using ACLs, assign a traffic grouping for traffic from network 10.1.2.x to QP3:

configure access-list qp3sub any

The following is a sample policy file example:

#filename: qp3sub.pol entry QP3-subnet {

if {

source-address 10.1.2.0/24 } then {

Qosprofile qp3; replace-dscp;

}

 

и кто мешает использовать механизмы, описанные в главе Configuring 802.1p or DSCP Replacement ?

там есть как ACL-based так и non-ACL based

 

что касаетсяя QP профилей - ну так кто мешает сконфигурировать их? QP2-QP7?

 

мне явно нужн разделёная конкретика для технологического трафика , для игр , для потокового видео , и других приложений требующих определенных условий с QOS на перегруженых каналах . т.к имеется перегруженый канал в 1gbit , перегрузили его p2p трафиком , но среди прочего есть и игры и потоковые приложения , и VPN от провайдеров которые должны быть с высоким приоритетом . А значит трафик нужно отмаркировать до попадания его в L3 обработку, тоже самое и с обратной стороны , трафик должен быть отмаркирован и после для L2 уровня чтобы он дошёл до адресата бес потерь , даже если и там каналы перегружены.

 

так у вас коммутатор ядра L3? или нет? что такое L3 обработка? может проще купить DPI где реализован per user обработка и не давать убить канал p2p?

при чем тут коммутатор?

 

 

Мне уже подсказывали что при помощи динамических правил как-то можно сделать подобное где будут порядок обработки, но я так и не розабрался как , нету наглядных примеров , а метод научного тыка к желаемым результатам не всегда приводит и отнимает много времени....

 

в документации есть глава Dynamic ACLs. там и описаны довольно подробные примеры

 

 

Ну да ладно , что это я только о плохом . Результаты использования Extreme x480 потихоньку радуют другими вещами , т.е чего всёже получилось добится и что работает в отличии от того же dlink'a , непомню упоминал или нет , но он стоит в виде L3 ядра сети , где то этого было 2 dlink'a 3627G которые при привышении более 1000-1500 пользователей на комутатор начинал не справлятся с нагрузкой , а также были и некоторые несправиления с трафиком превышающим более 800mbit на порту.

 

есть результаты олговременного тестирования, где X480 стоял как коммутатор "ядра" и в fdb таблице было более 30K. он может и больше.

ничего не обычного в этом нет. сказывается разница в архитектуре коммутаторов dlink и extreme.

 

если есть вопросы по dynamic ACL (если речь идет о них), то давайте попробуем разобраться, что Вам нужно и что Вы можете сделать.

 

с уважением,

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

давненько не заглядывал в тему , т.к появились другие задачи и небыло дело до правил и прочего , как и до самого комутатора, удивительно но я на него не заходил долгое время , он просто работает и всё - вобщем пока доволен .

а проблема немного в другом в рабочий проект включен данный коммутатор , проект не может пройти экспертизу т.к отсутсвует сертификация-декларация , а где её взять ? и существует ли она ?

поделитесь декларацией на Extreme Summit X480-48x у кого имеется или скажите источник где найти :( , а то мне уже проектировщики предлагают вернуть в проект dlink 3627G , а как потом пройти здачу узла даже не представляю .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://data.nag.ru/Ethernet%20Switches/Extreme/Deklaracia_X480.pdf

+ а НАГе есть письмо, что данное оборудование проходит процедуру сертификации. с этим письмом узел можно сдать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот спасибо , а то писал в support@nag.ru так никто и неответил на email , в декларации написан x480-24x ,а на x480-48x нет или они под общей декларацией ?

а где письмо , чет ненашёл :(

Изменено пользователем Vano™

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да всё большое спасибо , получил ответ по email и нашёл всё что вроде необходимо было, а заодно и на другие вещи смотрю заказанные с SNR вдруг до чего докопаются , например до SFP от SNR =)

увидел еще summitX12.5.3.9 - я так понимаю обновление XOS (щас стоит ExtremeXOS version 12.5.1.6 ) архив под паролем , можно ли пароль в ЛС и стоит ли обновлятся ? (лицензия не слетит ?)

Изменено пользователем Vano™

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати нам все-таки проблему спустя год решили, большое спасибо Михаилу Родионову

Extreme Networks ему памятник чувствую должны поставить, за продвижение продукции

Теперь я x480 вполне довольный )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1315568571-clip-9kb.png

 

телнет на том конце точно поднят, хотя ругается он не на это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1315568571-clip-9kb.png

 

телнет на том конце точно поднят, хотя ругается он не на это

 

Скорее всего ipforwarding выключен:)

Выложите sh conf vlan и sh iproute

Несколько раз сталкивался и всегда это был мой косяк (маска, роутинг, acl итд);)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скорее всего ipforwarding выключен:)

в точку. до этого с экстримами не работал. не знал про это. запустили железку уже)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пытаюсь создать политику а-ля route map для bgp

entry seq-10 {
if match any {
 as-path "^3216_8744";
}
then {
 local-preference 100;
}
}
entry seq-20 {
if match any {
 as-path "^3216$";
 as-path "^3216_[0-9]+$";
 as-path "^3216_[0-9]+_[0-9]+$";
 as-path "^3216_[0-9]+_[0-9]+_[0-9]+$";
}
then {
 local-preference 800;
}
}

 

проверяем:

#check policy rm_beeline_in
Error:  Policy rm_beeline_in has syntax errors
Line 8 : Did not get closing  "{"

 

В чем мистика? Ошибки не вижу, но по утверждению коммутатора она есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пытаюсь создать политику а-ля route map для bgp

entry seq-10 {
if match any {
 as-path "^3216_8744";
}
then {
 local-preference 100;
}
}
entry seq-20 {
if match any {
 as-path "^3216$";
 as-path "^3216_[0-9]+$";
 as-path "^3216_[0-9]+_[0-9]+$";
 as-path "^3216_[0-9]+_[0-9]+_[0-9]+$";
}
then {
 local-preference 800;
}
}

 

проверяем:

#check policy rm_beeline_in
Error:  Policy rm_beeline_in has syntax errors
Line 8 : Did not get closing  "{"

 

В чем мистика? Ошибки не вижу, но по утверждению коммутатора она есть.

 

Есть небольшая ошибочка:)

В регулярных выражениях обычно не пишут [0-9], т.к. это и есть одна любая цифра. Но можно использовать знаки + или ?

Попробуйте нули заменть на единуцу или просто стереть [0-9] или заменить на + и оно заработает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Эти выражения на той же Cisco нормально прожевывались.

Ну да ладно, вы предлагаете сделать так:

 

 

as-path "^3216_++$"; ?

а не бред ли это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Эти выражения на той же Cisco нормально прожевывались.

Ну да ладно, вы предлагаете сделать так:

 

 

as-path "^3216_++$"; ?

а не бред ли это?

 

Не совсем..

Два плюса это точно бред.:)

Вы скажите, чего хочется добиться. Смотрите, один плюс и [0-9]+ это вроде как совершенно то же самое.

Может один плюс и оставить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цель выставить для маршрутов вида AS3216; AS3216,любая AS; AS3216,любая AS,любая AS; локал-преф в 800

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цель выставить для маршрутов вида AS3216; AS3216,любая AS; AS3216,любая AS,любая AS; локал-преф в 800

 

Наверное можно по разному, мне нравится так:

 

entry seq-10 {

if match any {

as-path "^3216 .? .? .?$";

}

then {

local-preference 800";

}

}

 

Заработало так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.