Перейти к содержимому
Калькуляторы

Коммутаторы Extreme Summit / BlackDiamond. Отзывы, реальная производительность. Особенности, плюсы, минусы

Для тех, кто не имеет доступа к закрытому разделу, проблема связана с тем, что при обновлении до 15.4.1.х сбрасываются snmp community, и коммутаторы становятся уязвимимы для атак извне по дефолтным community public/private (которые, никто не проверяет после обновлении софта).

 

спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это должно значить, что пакеты короче 384 байт свитчуются методом store-and-forward

Я это понимаю, поэтому и расписал размеры, что для большинства случаев подойдёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ThreeDHead

принимается решение куда и как слать и начинается передача с одновременным приемом хвоста пакета.

это и объясняет невозможность использовать буфер пакетов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Приветствую, Коллеги.

 

Кто настраивал мультикаст в vrf у x480 ? есть ли поддержка MDT (Multicast Disribution Tree)?

 

Спасибо. )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, как-бы составить фильтр с условием "из сети 10/8 в сеть НЕ 10/8"

Ну типа как "!" в iptables, к примеру:

entry localnet_to_internet {
if {
   source-address 10.0.0.0/8;
   destination-address !10.0.0.0/8;
} then {
   permit;
}
}

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

м?

entry e1 {
if {
   source-address 10.0.0.0/8;
   destination-address 10.0.0.0/8;
} then {
   deny
}
}
entry e2 {
if {
   source-address 10.0.0.0/8;
} then {
   permit;
}
}

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

м?

entry e1 {
if {
   source-address 10.0.0.0/8;
   destination-address 10.0.0.0/8;
} then {
   deny
}
}
entry e2 {
if {
   source-address 10.0.0.0/8;
} then {
   permit;
}
}

Возможно. Сейчас проверю.

У меня после длинка, боязнь подобный конструкций.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А еще вот такой вопрос: тестирую счетчики (count, packet-count, byte-count), создаю подобное правило:

entry e1 {
if match all {
   source-address 10.1.2.3/32 ;
   destination-address 1.2.3.4/32 ;
   protocol 1;
}
then {
   count test_count ;
   permit ;
}
}

entry e2 {
if match all {
   source-address 10.1.2.3/32 ;
   destination-address 1.2.3.4/32 ;
   protocol 1;
}
then {
   packet-count test_packet_count ;
   permit ;
}
}

entry e3 {
if match all {
   source-address 10.1.2.3/32 ;
   destination-address 1.2.3.4/32 ;
   protocol 1;
}
then {
   byte-count test_byte_count ;
   permit ;
}
}

 

А срабатывает только первый счетчик:

* BD-8810.65 # sh access-list counter
Policy Name       Vlan Name        Port   Direction
   Counter Name                   Packet Count         Byte Count
==================================================================
test_counter      *                3:41   ingress
   test_byte_count                                     0
   test_count                     1
   test_packet_count              0

 

Пробовал и пермиты убирать, бестолку.

Или надо делать не один, а три полиси-файла, и в каждом описать свой счетчик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

распихал "ентри" по разным полиси-файлам (test_counter, test_counter_packet, test_counter_byte).

 

Первое сработало:

* BD-8810.84 # configure access-list test_counter ports 3:41
done!

Второе, нет:

* BD-8810.85 # configure access-list test_counter_packet ports 3:41
ERROR: ACL is already configured on port 3:41 !
Configuration failed on backup MSM, command execution aborted!

 

Странно всё это. Получается что счетчиков может быть на полиси-файл всего какой-нибудь один?

 

P.S. Разобрался:

Byte counters and packet counters cannot be used at the same time in the same rule.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

darkagent, не получается с денаем ничего, дропается весь трафик от 10.1.2.3 в 10/8, но считается...

 

configure access-list test_counter ports 3:41

 

test_counter.pol

entry e1 {
if {
   source-address 10.1.2.3/32;
   destination-address 10.0.0.0/8;
} then {
   deny ;
}
}

entry e2 {
if match all {
   source-address 10.1.2.3/32;
}
then {
   count test_count ;
   permit ;
}
}

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот так получилось:

entry e1 {
if {
   source-address 10.1.2.3/32 ;
   destination-address 10.0.0.0/8 ;
} then {
   count test_count_local ;
   permit ;
}
}

entry e2 {
if match all {
   source-address 10.1.2.3/32 ;
}
then {
   count test_count ;
   permit ;
}
}

 

Оба счетчика считаются:

* BD-8810.146 # show access-list counter
Policy Name       Vlan Name        Port   Direction
   Counter Name                   Packet Count         Byte Count
==================================================================
test_counter      *                3:41   ingress
   test_count                     2371
   test_count_local               1179

 

Собственно это и нужно было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В последнем варианте, логичней будет match all указать в e1 нежели в e2.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В последнем варианте, логичней будет match all указать в e1 нежели в e2.

Да, вы правы. Я столько вариантов уже перепробовал, мог и ошибиться.

 

Хотя:

match all - All the match conditions must be true for a match to occur. This is the default.

Ну, поэтому и работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Товарищи.

Помогите организовать vlan_mapping (vlan_translation) на x670.

 

Имеется два коммутатора x670, два других коммутатора (другой вендор) подключены к ним средствами MLAG. Нужно чтобы входные тегированные VLANы 401-413 транслировались в 71-83. Схема во вложении.

 

Нашел две конструкции:

1. config vlan v71 vlan-translation add member-vlan 401

2. configure vman XXX add ports 45 cep cvid 401-413 translate 71-83

 

Не очень понятно какая конструкция подходит для моих целей и какие VLANы должны быть добавлены в ISC-линк между двумя x670.

post-121669-069924900 1406116550_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

обе конструкции крайне капризные, лучше всего начать пробовать с 2й.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть еще одна интересная задача :)

 

Исходные:

  • Абонент - 192.168.1.2/24, vlan:user id:2 tagged, подключен в порт А
  • Порт А - vlan:user id:2 tagged, 192.168.1.1/24
  • Порт Б - подключен патчкордом в порт В
  • Порт В - соответственно подключен в порт Б

Задача: Принять от абонента пакет, и "выкинуть" его через порт Б, и встретить на порту В, терминировать его на L3 и отправить дальше согласно таблиц маршрутизации.

Основная цель - пропустить трафик абонента через линк Б-В.

 

Создаем полиси-файл:

# edit policy abonent_over_b_c
entry e1 {
if {
   source-address 192.168.1.2/32 ;
}
then {
   redirect-port "Б" ;
}
}

Навешиваем полиси на порт терминации абонента:

configure access-list abonent_over_b_c ports "А" ingress

Согласно документации, порт, в который делаем "redirect-port", должен быть в том же влане:

configure vlan "user" add ports "Б" tagged

 

Итак, трафик от абонента приходит в порт А, ловится аксесслистом, и отправляется из порта Б, приходит на порт В, терминируется на L3 и трафик побежал, всё прекрасно работает.

 

Но! Порт В - не принадлежит ни одному влану.

 

Какое есть предположение, почему конструкция работает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какое есть предположение, почему конструкция работает?

дай угадаю,

sh ipconfig  | i Origin
Originated Packets : Don't require ipforwarding

совпадает? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

совпадает? ;)

Собсно, да, совпадает. Только к чему это?

 

Если отмести информацию откуда взялся пакет, то мы просто видим что на порт В пришел некий пакет, но так как на этом порту нет вланов, пакет доложен сброситься и всё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну собсна магия тут вот в чем:

- твое полиси фактически является L2-redirect'ом:

Layer 2 Policy-Based Redirect

This feature allows matching packets to override the normal forwarding decision and be Layer 2

switched to the specified physical port. This is accomplished using an additional packet ACL lookup.

While similar to the Layer 3 Policy-Based Redirectfeature, it differs in that the packet is not modified

for Layer 3 routing based on a new IP redirect next-hop. Instead, the packet uses the packet format

based on the forwarding decision. When the packet is Layer 2-switched, the packet egresses the

redirect port unmodified. When the packet is Layer 3-switched, the packet egresses with the Layer 3

packet modifications of the next-hop found by the normal Layer 3 forwarding lookups.

 

т.е. фактически, порт В становится loopback портом для прилетающего пакета, ну а т.к. в пакете остается все необходимое для его дальнейшей жизни, он форвардится/роутится как задано системой, и системе крайне посрать на его происхождение, ибо

срабатывает мягкое динамо:

conf ipforwarding originated-packets
 dont-require-ipforwarding  IP forwarding need not be enabled on outbound VLAN for packets to be routed

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Название портов: А, Б, В - кириллицей!

 

Правильно, прилетевший на порт А пакет, без модификаций улетит через порт Б. Но это не означает что он "родился" в недрах системы.

И где вы видите в конфигурации описание третьего порта (В)? Я сказал что на нем нет ни единого влана.

Я этот патчкорд переключу с порта В в порт Г, на котором тоже не единого влана - тоже будет работать, почему?

 

пс: счетчики TX на порту Б растут, счетчики RX на порту В, тоже растут в унисон. Пакет бегает через патчкорд Б-В.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть коробочка 670ая. хочется роутликинг между глобалом и врфом. беглый просмотр гугла выявил, что самый простой вариант с колечком физическим может не сработать из-за одинаковости маков на интерфейсах.. возможно ли как-нить решить проблему? направьте в нужную сторону.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По возможности пользуйтесь Policy Base Routing. Мы более 1000 маршрутов сжали в 270 и они хорошо поместились в alc, а когда вешаешь на порты, а не на кланы, то используется та же памать в TCAM.

Сейчас только через другую L3 железку. Слышал, что в feature request есть route leaking.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Слышал, что в feature request есть route leaking.

Собсна сам когда-то этот fr и катал. Однако, набираясь жизненного опыта, пришел к выводу, что потребность в route-leaking говорит об ущербном дизайне. Как бы надо понимать, что здоровому организму костыли то не нужны ;)

простой вариант с колечком физическим может не сработать из-за одинаковости маков на интерфейсах

На самом деле, парочкой постами ранее описан случай, когда происходит пофигистический форвардинг. Можно попробовать применить на петле ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Слышал, что в feature request есть route leaking.

Собсна сам когда-то этот fr и катал. Однако, набираясь жизненного опыта, пришел к выводу, что потребность в route-leaking говорит об ущербном дизайне. Как бы надо понимать, что здоровому организму костыли то не нужны ;)

простой вариант с колечком физическим может не сработать из-за одинаковости маков на интерфейсах

На самом деле, парочкой постами ранее описан случай, когда происходит пофигистический форвардинг. Можно попробовать применить на петле ;)

петля не работает. в первую очередь из-за невозможности сойтись протоколам динамической маршрутизации. пробовал 1.5-2 года назад. сомневаюсь, что что-то изменилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уважаемые! помогите настроить System Type: X670-48x

 

нужно настроить LACP между ним и Dlink DSG-3420-28TC, на Длинке настроено так:

 

# LACP

config link_aggregation algorithm ip_source_dest
create link_aggregation group_id 1 type lacp
config link_aggregation group_id 1 master_port 27 ports 27-28 state enable
config lacp_port 27-28 mode active

 

подскажите как должен выглядеть конфиг X670-48x?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.