stelsik Опубликовано 2 марта, 2011 · Жалоба Получается у нас примерно одинаковые задачи, но у меня почему-то процесс bcmL2MOD.0 занимает половину ресурсов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vano™ Опубликовано 2 марта, 2011 (изменено) · Жалоба ну может у вас проблема действительно в реализации сети . Например я использую 1Vlan на дом или пару домов , в которых от 20 до 120 абонентов , примерно по следующей схеме Extreme X480 (в прошлом Dlink3627) -(1-6х Vlan taget)-(Optic GE)--->Dlink3200-10(3526)---(Vlan untaget)--(UTP)->Dlink1024 ---> абонент т.е фактически свожу до 23 пользователей на 100мбит , на длинке есть ACL которые не только блокирует юзеров за не уплату , но и фильтрует лишний broadcast и другой трафик, который может хорошо засадить центральную железку. Просто подумывал о реализации блокировки на ядре , но с таким синтаксисом оно не получится , так-что останусь с блокировкой на другом конце оптики. и еще попробуйте посмотреть чем именно занят CPU sh cpu-monitoring занятно , но методом научного тыка потихоньку начинаю дальше изучать железку и привыкать к ней. Изменено 2 марта, 2011 пользователем Vano™ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ibk74 Опубликовано 2 марта, 2011 · Жалоба добрый вечер! давайте все таки разберемся, что значит "грабли" с производительностью у экстрима? что конкретно интересует в "граблях"? есть опыт использования X480 в довольно больших сетках L2 и никаких граблей там не обнаружено. в сетях L3 тоже пока вроде работает гораздо на больших цифрах. нежели чем ближайшие конкуренты. что касается сравнения с dlink - то это в любом случае не совсем корректно, особенно с функциональностью данной модели и ее возможностей. давайте продолжим тестирование с вопросами-ответами. я послал запрос на авторизацию вам в icq. Acl пока нет (кроме 2х для редиректа) , multicast не гоняю , использую только L3 маршрутизацию + OSPF + DHCP(bootp)Relay .вот стаёт интересно насколько прыгнит CPU когда начну использовать много ACL и мониторить загрузку по SNMP всех портов с переодичностю 30-15 сек. Кстати а можно ли какнить мониторить счетчики созданые в ACL по snmp ? мониторить счетчики можно спокойно и через sFlow например. чем плох данный вариант? процессор при работе с snmp грузится не сильно. хотя никто не отрицает. что загрузка есть, это все таки специфика именно этой реализации. ну и встроенный xml api тоже никто не отменял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 2 марта, 2011 · Жалоба что касается сравнения с dlink - то это в любом случае не совсем корректно, особенно с функциональностью данной модели и ее возможностей. а длинк об extreme отзывается "дорогой длинк" согласитесь как много заложено в этой фразе ;D разница кстати только в софтовой обвязке, а чипсеты того же броадкома(и грабли его же). софтовая обвязка похожа на AT x900. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ibk74 Опубликовано 3 марта, 2011 · Жалоба что касается сравнения с dlink - то это в любом случае не совсем корректно, особенно с функциональностью данной модели и ее возможностей. а длинк об extreme отзывается "дорогой длинк" согласитесь как много заложено в этой фразе ;D разница кстати только в софтовой обвязке, а чипсеты того же броадкома(и грабли его же). софтовая обвязка похожа на AT x900. в мире давно правит демократия. каждый может говорить что хочет. лично я уважаю длинк, но есть ньансы ... если рассуждать какие чипсеты установлены, то везде один и тот же силикон, чего уж тут. все в мире одинаково Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
klisha Опубликовано 23 марта, 2011 · Жалоба Чтобы не плодить темы. Отпишусь в этой: Взяли на тест X460. Первое неприятное открытие: железка не поддерживает GVRP. Может кто подскажет что производитель предлагает взамен? До этого на агрегации стоял старый-престарый Dlink, который нормально мог GVRP и никто не задумывался над прописыванием каждого проходящего через железку VLAN-а. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 23 марта, 2011 · Жалоба на экстримах gvrp поддерживается только на "i" серии с софтом до 6.0 версии. в 6.1 команды еще есть, но уже не поддерживаются. альтернативы gvrp на экстримах походу дела нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bercut Опубликовано 24 марта, 2011 · Жалоба Недавно также взяли 460-48х, поставили в стек с парой 450а-24х новый коммутатор поддерживают только прошивки 12.4 и выше, на 450а пришлось обновить с 12.3 для работы общего стека, после чего начались проблемы.... (кстати, прошивки до 12.4 занимают 20 мбайт, а 12.4 и выше уже 40-50) в логах начали появляется ошибки, 460й отваливался со стека, перегружается по поводу маков, прописано порядка 3к статических записей, проблем не наблюдаем, ACL порядка 300-500 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vano™ Опубликовано 15 апреля, 2011 · Жалоба Продолжим тему того что получилось и того что до сих пор не решено. Профилей тут действительно нет, но ничего не мешает всю логику ACL прописать в одной политике и подвесить ее на нужный порт. Кажущаяся недостаточной гибкость легко окупается тем, что на каждый порт политика может быть своя )) вот первый недостаток , коммутатор L3 ядро а значит политики по правилам должны висеть на всех портах итог имеем несколько политик (например 2) , для удобства одна для редиректа друга для маркировки QOS # sh access-list Vlan Name Port Policy Name Dir Rules Dyn Rules =================================================================== * * redirect ingress 3 0 пытаемся также повесить вторую политику и в итоге получаем # conf access-list server_qos any ERROR: Wildcard ACL is already configured! ага , если политика на порт уже повешана значит всё нечего нельзя , и где гибкость ? копаем дальше политику пришлось повешать на разный vlan , но это не выход из положения . получается что выход толко один создать политику для каждого порта отдельно и там продублировать все правила , а не кощунство ли это расхд правил для выхода из ситуации ? если посмотреть на первое сообщение то видно что в том-же dlink'e есть профиль и в нём правила , так вот каждое правило можно повесить на любой порт или группу портов что несомненно удобнее и гибче . По этому по правилам так и остался вопрос нерешенным , например порядок их обработки , хоят в политике они возможно и обрабатываются по порядку , но создавать многотысячный файл для каждого порта ? . Если я например захочу фильтровать каждого пользователя правилом в центре , но я незнаю где у меня пользователь и за каким портом , то получаем минимум 3500 правил для каждого порта в итоге получим 168 000 , т.е идею создавать политику для каждого порта не имеет смысла. Еще один неприятный недостаток нашёл при попытки отмаркировать QOS . имеем старое правило на dlink'e create access_profile profile_id 2 ip tcp src_port_mask 0xFFFF config access_profile profile_id 2 add access_id 1 ip tcp src_port 80 port 1-24 permit priority 6 replace_priority replace_dscp 59 rx_rate no_limit где мы находим источник с TCP:80 и сразу помещаем в priority 6 и перемаркировавыем dscp в 59 . при попытке сделать подобное на extreme не увенчалось успехом т.к оказалось нельзя использовать одновременно priority и dscp из-за чего приходится создавать 2 правила например: entry rtsp { if match all { protocol TCP ; source-port 554 ; } then { permit ; replace-dot1p-value 6 ; } } entry rtsp_dscp { if match all { protocol TCP ; source-port 554 ; } then { qosprofile qp6 ; replace-dscp ; } и опять таки нельзя явно указать dscp вручную , а только через qosprofile которых всего может быть 8 . мне явно нужн разделёная конкретика для технологического трафика , для игр , для потокового видео , и других приложений требующих определенных условий с QOS на перегруженых каналах . т.к имеется перегруженый канал в 1gbit , перегрузили его p2p трафиком , но среди прочего есть и игры и потоковые приложения , и VPN от провайдеров которые должны быть с высоким приоритетом . А значит трафик нужно отмаркировать до попадания его в L3 обработку, тоже самое и с обратной стороны , трафик должен быть отмаркирован и после для L2 уровня чтобы он дошёл до адресата бес потерь , даже если и там каналы перегружены. Вот отсюда возвращаемся к началу данной темы , каким образом можно вешать много политик и правил на все порты как это было на dlink'e . Мне уже подсказывали что при помощи динамических правил как-то можно сделать подобное где будут порядок обработки, но я так и не розабрался как , нету наглядных примеров , а метод научного тыка к желаемым результатам не всегда приводит и отнимает много времени.... Ну да ладно , что это я только о плохом . Результаты использования Extreme x480 потихоньку радуют другими вещами , т.е чего всёже получилось добится и что работает в отличии от того же dlink'a , непомню упоминал или нет , но он стоит в виде L3 ядра сети , где то этого было 2 dlink'a 3627G которые при привышении более 1000-1500 пользователей на комутатор начинал не справлятся с нагрузкой , а также были и некоторые несправиления с трафиком превышающим более 800mbit на порту. Сейчас x480 Переваривает польностью более 3000 абонентов + маршрутизацию в сторону других сетей . И он очень успешно справляется с данной задачей и переваривает весь L3 трафик , пользователи перестали жаловаться на форуме с потерями в некоторых приложениях или с некоторыми задержками в играх. Это также доказывает 100% нагрузку одного из каналов с другой сеть которая уже несколько дней держится полностью нагруженной под 100% . C редиректом затронутой в этой теме пока не стал дальше разбиратся (небыло времени), работает пока обычной политикой при наличии default маршрута. Порадовала также удачное сумирование маршрутов в OSPF из кучи /24 подсетей в одну /16 , что не получалось на серверах и тех же dlink'ax . Поэтому прошу дальнейшей помощи с всевозможными примерами для решения данных задач , например с использованием тех же динамических правил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ibk74 Опубликовано 4 мая, 2011 · Жалоба Добрый день! давайте, попытавшись не смешивать вкусное с мягким, разобраться что к чему, все таки разрывы во времени довольно большие: от первый недостаток , коммутатор L3 ядро а значит политики по правилам должны висеть на всех портах итог имеем несколько политик (например 2) , для удобства одна для редиректа друга для маркировки QOS есть множество теорий, насчет того, каким должно быть ядро операторской сети. но есть и правило, если сеть работает, значит сделана более или менее правильно. насчет редиректа и маркировки: экстрим довольно неплохо различает входящие и исходящие правила. попробуйте посмотреть доку, может получиться как то логически разделить все это? ага , если политика на порт уже повешана значит всё нечего нельзя , и где гибкость ? не понял смысла вопроса. гибкость в том, что политику можно прикрепить к порту, а можно и удалить с порта. если речь идет о интеграции с системами OSS/BSS и так далее, внутри операционки есть скриптинг и несколько других механизмов, которые будут помогать вам в этом деле. То что, экстрим в статических политиках, предупреждает о том, что уже есть политика, есть что-то плохое? копаем дальше политику пришлось повешать на разный vlan , но это не выход из положения . получается что выход толко один создать политику для каждого порта отдельно и там продублировать все правила , а не кощунство ли это расхд правил для выхода из ситуации ? почему кощунство? вы же не захотели разбить задачи по разным уровням сети? вы же хотите и "красить" и управлять трафиком в одной точке? так почему кощунство вешать политики на все используемые порты? если посмотреть на первое сообщение то видно что в том-же dlink'e есть профиль и в нём правила , так вот каждое правило можно повесить на любой порт или группу портов что несомненно удобнее и гибче . если честно, то немного не понимаю о чем идет речь, поскольку не силен в длинке. что конкретно не устраивает то? в итоге вы на длинке, да и практически где угодно делаете одно и то же. при попытке сделать подобное на extreme не увенчалось успехом т.к оказалось нельзя использовать одновременно priority и dscp из-за чего приходится создавать 2 правила например: DiffServ Example In this example, we use DiffServ to signal a class of service throughput and assign any traffic coming from network 10.1.2.x with a specific DSCP. This allows all other network switches to send and observe the DSCP instead of repeating the same QoS configuration on every network switch. To configure the switch: 1 Using ACLs, assign a traffic grouping for traffic from network 10.1.2.x to QP3: configure access-list qp3sub any The following is a sample policy file example: #filename: qp3sub.pol entry QP3-subnet { if { source-address 10.1.2.0/24 } then { Qosprofile qp3; replace-dscp; } и кто мешает использовать механизмы, описанные в главе Configuring 802.1p or DSCP Replacement ? там есть как ACL-based так и non-ACL based что касаетсяя QP профилей - ну так кто мешает сконфигурировать их? QP2-QP7? мне явно нужн разделёная конкретика для технологического трафика , для игр , для потокового видео , и других приложений требующих определенных условий с QOS на перегруженых каналах . т.к имеется перегруженый канал в 1gbit , перегрузили его p2p трафиком , но среди прочего есть и игры и потоковые приложения , и VPN от провайдеров которые должны быть с высоким приоритетом . А значит трафик нужно отмаркировать до попадания его в L3 обработку, тоже самое и с обратной стороны , трафик должен быть отмаркирован и после для L2 уровня чтобы он дошёл до адресата бес потерь , даже если и там каналы перегружены. так у вас коммутатор ядра L3? или нет? что такое L3 обработка? может проще купить DPI где реализован per user обработка и не давать убить канал p2p? при чем тут коммутатор? Мне уже подсказывали что при помощи динамических правил как-то можно сделать подобное где будут порядок обработки, но я так и не розабрался как , нету наглядных примеров , а метод научного тыка к желаемым результатам не всегда приводит и отнимает много времени.... в документации есть глава Dynamic ACLs. там и описаны довольно подробные примеры Ну да ладно , что это я только о плохом . Результаты использования Extreme x480 потихоньку радуют другими вещами , т.е чего всёже получилось добится и что работает в отличии от того же dlink'a , непомню упоминал или нет , но он стоит в виде L3 ядра сети , где то этого было 2 dlink'a 3627G которые при привышении более 1000-1500 пользователей на комутатор начинал не справлятся с нагрузкой , а также были и некоторые несправиления с трафиком превышающим более 800mbit на порту. есть результаты олговременного тестирования, где X480 стоял как коммутатор "ядра" и в fdb таблице было более 30K. он может и больше. ничего не обычного в этом нет. сказывается разница в архитектуре коммутаторов dlink и extreme. если есть вопросы по dynamic ACL (если речь идет о них), то давайте попробуем разобраться, что Вам нужно и что Вы можете сделать. с уважением, Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vano™ Опубликовано 10 июля, 2011 · Жалоба давненько не заглядывал в тему , т.к появились другие задачи и небыло дело до правил и прочего , как и до самого комутатора, удивительно но я на него не заходил долгое время , он просто работает и всё - вобщем пока доволен . а проблема немного в другом в рабочий проект включен данный коммутатор , проект не может пройти экспертизу т.к отсутсвует сертификация-декларация , а где её взять ? и существует ли она ? поделитесь декларацией на Extreme Summit X480-48x у кого имеется или скажите источник где найти :( , а то мне уже проектировщики предлагают вернуть в проект dlink 3627G , а как потом пройти здачу узла даже не представляю . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SNR Опубликовано 11 июля, 2011 · Жалоба http://data.nag.ru/Ethernet%20Switches/Extreme/Deklaracia_X480.pdf + а НАГе есть письмо, что данное оборудование проходит процедуру сертификации. с этим письмом узел можно сдать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vano™ Опубликовано 11 июля, 2011 (изменено) · Жалоба вот спасибо , а то писал в support@nag.ru так никто и неответил на email , в декларации написан x480-24x ,а на x480-48x нет или они под общей декларацией ? а где письмо , чет ненашёл :( Изменено 11 июля, 2011 пользователем Vano™ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SNR Опубликовано 11 июля, 2011 · Жалоба http://data.nag.ru/Extreme%20Networks/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vano™ Опубликовано 11 июля, 2011 (изменено) · Жалоба да всё большое спасибо , получил ответ по email и нашёл всё что вроде необходимо было, а заодно и на другие вещи смотрю заказанные с SNR вдруг до чего докопаются , например до SFP от SNR =) увидел еще summitX12.5.3.9 - я так понимаю обновление XOS (щас стоит ExtremeXOS version 12.5.1.6 ) архив под паролем , можно ли пароль в ЛС и стоит ли обновлятся ? (лицензия не слетит ?) Изменено 11 июля, 2011 пользователем Vano™ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stelsik Опубликовано 11 июля, 2011 · Жалоба Кстати нам все-таки проблему спустя год решили, большое спасибо Михаилу Родионову Extreme Networks ему памятник чувствую должны поставить, за продвижение продукции Теперь я x480 вполне довольный ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yarlan Zey Опубликовано 9 сентября, 2011 · Жалоба телнет на том конце точно поднят, хотя ругается он не на это Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Igor Опубликовано 18 сентября, 2011 · Жалоба телнет на том конце точно поднят, хотя ругается он не на это Скорее всего ipforwarding выключен:) Выложите sh conf vlan и sh iproute Несколько раз сталкивался и всегда это был мой косяк (маска, роутинг, acl итд);) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yarlan Zey Опубликовано 18 октября, 2011 · Жалоба Скорее всего ipforwarding выключен:) в точку. до этого с экстримами не работал. не знал про это. запустили железку уже))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 26 октября, 2011 · Жалоба Пытаюсь создать политику а-ля route map для bgp entry seq-10 { if match any { as-path "^3216_8744"; } then { local-preference 100; } } entry seq-20 { if match any { as-path "^3216$"; as-path "^3216_[0-9]+$"; as-path "^3216_[0-9]+_[0-9]+$"; as-path "^3216_[0-9]+_[0-9]+_[0-9]+$"; } then { local-preference 800; } } проверяем: #check policy rm_beeline_in Error: Policy rm_beeline_in has syntax errors Line 8 : Did not get closing "{" В чем мистика? Ошибки не вижу, но по утверждению коммутатора она есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Igor Опубликовано 28 октября, 2011 · Жалоба Пытаюсь создать политику а-ля route map для bgp entry seq-10 { if match any { as-path "^3216_8744"; } then { local-preference 100; } } entry seq-20 { if match any { as-path "^3216$"; as-path "^3216_[0-9]+$"; as-path "^3216_[0-9]+_[0-9]+$"; as-path "^3216_[0-9]+_[0-9]+_[0-9]+$"; } then { local-preference 800; } } проверяем: #check policy rm_beeline_in Error: Policy rm_beeline_in has syntax errors Line 8 : Did not get closing "{" В чем мистика? Ошибки не вижу, но по утверждению коммутатора она есть. Есть небольшая ошибочка:) В регулярных выражениях обычно не пишут [0-9], т.к. это и есть одна любая цифра. Но можно использовать знаки + или ? Попробуйте нули заменть на единуцу или просто стереть [0-9] или заменить на + и оно заработает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 28 октября, 2011 · Жалоба Эти выражения на той же Cisco нормально прожевывались. Ну да ладно, вы предлагаете сделать так: as-path "^3216_++$"; ? а не бред ли это? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Igor Опубликовано 29 октября, 2011 · Жалоба Эти выражения на той же Cisco нормально прожевывались. Ну да ладно, вы предлагаете сделать так: as-path "^3216_++$"; ? а не бред ли это? Не совсем.. Два плюса это точно бред.:) Вы скажите, чего хочется добиться. Смотрите, один плюс и [0-9]+ это вроде как совершенно то же самое. Может один плюс и оставить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 29 октября, 2011 · Жалоба Цель выставить для маршрутов вида AS3216; AS3216,любая AS; AS3216,любая AS,любая AS; локал-преф в 800 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Igor Опубликовано 29 октября, 2011 · Жалоба Цель выставить для маршрутов вида AS3216; AS3216,любая AS; AS3216,любая AS,любая AS; локал-преф в 800 Наверное можно по разному, мне нравится так: entry seq-10 { if match any { as-path "^3216 .? .? .?$"; } then { local-preference 800"; } } Заработало так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...