[stalker86]

Гы..вылечилось переключеним для этого интерфейса на 32 битный счётчик. Вдруг кому пригодится.

[stalker86]

Есть кто, использующий SE100 под NAT?

Среди прочих нарисовалась ещё 1 проблема - через нат не пропускает пакеты с флагом фрагментации, опция nat fragments в контексте не помогла, вернее она рабоате но как-то странно

 

ping ya.ru -s 2000

PING ya.ru (213.180.204.3) 2000(2028) bytes of data.

2008 bytes from www.yandex.ru (213.180.204.3): icmp_req=9 ttl=54 time=25.0 ms

2008 bytes from www.yandex.ru (213.180.204.3): icmp_req=13 ttl=54 time=25.1 ms

2008 bytes from www.yandex.ru (213.180.204.3): icmp_req=21 ttl=54 time=25.1 ms

2008 bytes from www.yandex.ru (213.180.204.3): icmp_req=23 ttl=54 time=24.9 ms

2008 bytes from www.yandex.ru (213.180.204.3): icmp_req=26 ttl=54 time=25.2 ms

From www.yandex.ru (213.180.204.3) icmp_seq=1 Frag reassembly time exceeded

From www.yandex.ru (213.180.204.3) icmp_seq=2 Frag reassembly time exceeded

From www.yandex.ru (213.180.204.3) icmp_seq=3 Frag reassembly time exceeded

From www.yandex.ru (213.180.204.3) icmp_seq=4 Frag reassembly time exceeded

[stalker86]

Если кто-то наступит на такие же грабли - Во всём виноват экспорт netflow ( и это при менее чем 1к сессий)..И Он же гадит в логи тоннйо сообщений вида

%CHUNK-3-ERR: chunk header un-initialized, daemon (null), pid 280

 

 

Открыли тиккет у поставщика.

[stalker86]

Коллеги подскажите пожалуйста - что нужно разрешить в admin-access-group, для работы VRRP

[dmvy]

multicast какую именно группу, спрашивайте у гугла

[stalker86]

То что мультикаст понятно. А вот группу так и не удалось нагуглить..или не так гуглю

[vurd]

То что мультикаст понятно. А вот группу так и не удалось нагуглить..или не так гуглю

 

5.1.1.  IPv4 Field Descriptions

5.1.1.1.  Source Address

  This is the primary IPv4 address of the interface the packet is being
  sent from.

5.1.1.2.  Destination Address

  The IPv4 multicast address as assigned by the IANA for VRRP is:

  224.0.0.18

  This is a link-local scope multicast address.  Routers MUST NOT
  forward a datagram with this destination address, regardless of its
  TTL.

 

https://tools.ietf.org/html/rfc5798

[garryfisher]

Прошу подсказать, кто сталкивался. Имеем SE100. Технология подключения абонов PPPoE+статика, примерно 3000 активных абонентов в пике, трафик 1,7 Gbps в пике. Потянет ли он 2 FV? Сейчас по default, утилизация процессора 40-50% по среднему.

[vurd]

С обрезанными префиксами разве что. Не советую без особой необходимости поднимать там FV. Памяти реально мало. Или абоненты или BGP FV, вот такой выбор.

Иначе можно встретится с такой здоровской вещью как отстреливание bgp процесса при подключении очередного абонента, т.к. система посчитает, что память всё и убьет самый жирный процесс, которым является разумеется bgpd.

 

И кстати если пролистать тему вверх, то можно там узреть аналогичный вопрос...

[garryfisher]

С обрезанными префиксами разве что. Не советую без особой необходимости поднимать там FV. Памяти реально мало. Или абоненты или BGP FV, вот такой выбор.

Иначе можно встретится с такой здоровской вещью как отстреливание bgp процесса при подключении очередного абонента, т.к. система посчитает, что память всё и убьет самый жирный процесс, которым является разумеется bgpd.

Спасибо!

И кстати если пролистать тему вверх, то можно там узреть аналогичный вопрос...

Тему читал, этот момент пропустил, извиняюсь, вернулся прочел.

[stalker86]

https://tools.ietf.org/html/rfc5798

 

Аха спасибо то что нужно. Ну и ещё помогло grep vrrp /etc/protocols

итого

permit 112 host...

 

а я то пытался в igmp открывать..

[Ptica79]

Добрый день. Рассматриваю вариант перехода сети с PPPoE на IPoE. Есть 2 SE100. Планирую что-то близкое ко второй схеме мануала: "SmartEdge_CLIPS how to", та которая "Dynamic CLIPS через L3 сеть доступа". Но сталкнулся с проблемой которую ни как не могу решить - как сбалансировать нагрузку.

По сути отличие второго варианта от моего в том, что в ядре у меня 1 маршрутизатор CISCO 7604, куда упираются VLAN аббонентов, дальше стоит 2 SE100, дальше интернет. Не могу найти варианта баллансировки нагрузки между SE100. Если использовать VRRP, то 1 будет работать, другой простаивать. OSPF то же вроде не подходит.

Вариант отказаться от маршрутизации на CISCO пока что не проходит, т.к. есть локальный unicast трафик (iptv сделано юникастом), который в таком режиме начнёт грузить SE100. А в пиковой нагрузке у нас не хватает пропускной для этого (на каждом SE100 3 гига на пользователей, 3 гига в интернет).

Есть вариант, как решить эту проблему?

[vurd]

Да никак. PBR, может быть даже в комплекте с ip sla на "случай".

Фишка в том, что для работы clips нужно, чтобы пакет с абонента (и обратно) ходил по одному интерфейсу. Т.е. вы не сможете балансировать по ecmp.

[Ptica79]

PBR - это грубо говоря статическая балансировка. А хотелось бы динамической. :) Что бы пользователи из 1 VLAN динамически кидались на более свободный SE100. Если использовать первую схема с L2 - то там будет как в PPPOE, кто первый ответил на DHCP - того и пользователь (надеюсь). Но вот как с L3 так сделать - пока что не придумал.

[vurd]

Как придумаете, пишите в личку :-)

Единственный известный мне способ сделать как вы хотите это использование ECMP с алгоритмом выбора на основе SOURCE-IP, но к сожалению, я встречал только софтовую реализацию подобной вещи в DLINK-3610, а больше нигде и не видел.

На 65\76 такого варианта нет, как впрочем и на всём циско-парке.

[Ptica79]

DLINK-3610 у меня как раз есть... Только вот что-то мне подсказывает, что ставить его в ядро - не лучшая идея... :(

[zhenya`]

уже было же решение. берете 76\65 распиливаете на 2 ВРФ ну или глобал + врф (примерно пополам вланы терминируете в глобале и врфе). один врф выходит наружу через 1 брас, а глобал через другой. для отказоустойчивости делаете еще физическую петлю нужной толщины между портами 76\65 и поднимаете оспф между глобалом и врфом (отличии от экстрима циска такое может).

 

ну и для правильного трафик флоу при наличие эджа лучше будет сделать влан в глобал и врф. для балансировки просто докидываете влан, ну или меняете местами..

Изменено 15 марта, 2015 пользователем zhenya`

[vurd]

Угу, еще не забываем, что придется распилить эриксон на 3 контекста каждый и получится вообще полная порнография из 6 VRF-ов и 20-и физических петель. Бред полный, pbr будет куда проще обслуживать, опять же берешь и делаешь ip sla с двумя нект хопами, основным и резервным, и всё, никакого кривого роутинга.

[zhenya`]

зачем пилить ? зачем 3 врфа (контекста ) на брасе? я не очень сварщик в СЕ, на асрах все прекрасно и так работает без врф (некоторые так балансят сце). но у нас почти такая схема работает только Л3 железки 2. Петля нужна будет одна вопрос толщины.

 

с учетом возможности соединить врф и глобал внутри одной циски внизу может быть одна железка (при росте можно и вторую поставить и тогда необходимость врфа уйдет.. Нарисована логика.

 

роутинг кривой тут не выйдет. ибо у перемычки будет кост отличиный от 0.

 

дефолт конечно лучше гнать с бордера (если он есть), чтобы если погаснет линк бордер-брас трафик ушел на другой брас.

Изменено 15 марта, 2015 пользователем zhenya`

[vurd]

Потому что это эриксон и у нас, пользователей этого чуда, есть свой клуб "три порта в сторону абонента" :-)

В двух словах, есть проблемы с организацией LAG в сторону абонентов, некоторые нужные вещи в такой схеме не работают. Например уже больше года не работает трассировка с клиентов при условии использования NAT и LAG в абонентов. Поэтому приходится высаживать каждый порт в свой виртуальный роутер и уже как-то балансировать между ними, городить интер-контекст роутинг внутри браса и так далее.

Более того, до недавнего времени, для non-dhcp clips (unclassified source ip) был забавный баг, при котором работала либо часть сетей до 127.255.255.255 либо после, но никак не вместе. Поэтому люди высаживали аж в 6 контекстов всё это дело.

В общем, есть проблемы, самым простым решением которых оказалась схема с полиси бейсд роутингом, я эти эриксоны жру уже не первый год и пока лучше решение не видел.

[zhenya`]

Потому что это эриксон и у нас, пользователей этого чуда, есть свой клуб "три порта в сторону абонента" :-)

В двух словах, есть проблемы с организацией LAG в сторону абонентов, некоторые нужные вещи в такой схеме не работают. Например уже больше года не работает трассировка с клиентов при условии использования NAT и LAG в абонентов. Поэтому приходится высаживать каждый порт в свой виртуальный роутер и уже как-то балансировать между ними, городить интер-контекст роутинг внутри браса и так далее.

Более того, до недавнего времени, для non-dhcp clips (unclassified source ip) был забавный баг, при котором работала либо часть сетей до 127.255.255.255 либо после, но никак не вместе. Поэтому люди высаживали аж в 6 контекстов всё это дело.

В общем, есть проблемы, самым простым решением которых оказалась схема с полиси бейсд роутингом, я эти эриксоны жру уже не первый год и пока лучше решение не видел.

вот кусок металла бесполезного, капец. Желающий ипое то знает об этом ? ;-)

Изменено 15 марта, 2015 пользователем zhenya`

[vurd]

Ну если у него есть доступ к http://forum.nag.ru/forum/index.php?showforum=45 , то думаю уже или знает или в процессе узнавания :)

Так-то помимо этих приколов железка работает прекрасно, проблем не вызывает, единственная беда, именно, вписать её в сеть.

[Butch3r]

Кстати а 3г то норм балансирует? У меня просто в другом месте на другом железе при 2.5 гига начинались потери.

И ещё когда мы думали прикупить се100 нас запугали что коробка в один прекрасный момент может не включится, берите сразу 2 :)

[RialCom.ru]

Есть такая печальная статистика - каждый второй se100 слетает ;(

может быть в последнее время что то улучшили, но несколько лет назад именно так дело было!

[vurd]

Кстати а 3г то норм балансирует? У меня просто в другом месте на другом железе при 2.5 гига начинались потери.

И ещё когда мы думали прикупить се100 нас запугали что коробка в один прекрасный момент может не включится, берите сразу 2 :)

 

Алгоритм балансировки у него хороший, в 3 порта льёт без проблем и довольно ровно.

Верно запугали, берите сразу два :)

 

Кстати, уже не берите. Их вроде как сняли с производства. На самом деле железка очень даже неплохая за такие деньги, туда бы 10g карточки и вообще цены бы не было.