darkagent Опубликовано 6 августа, 2014 · Жалоба подскажите как должен выглядеть конфиг X670-48x? живой пример: configure sharing address-based custom ipv4 source-and-destination enable sharing 38 grouping 37-38 algorithm address-based L3_L4 lacp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xxxupg Опубликовано 6 августа, 2014 · Жалоба x670.4 # show sharing Load Sharing Monitor Config Current Agg Ld Share Ld Share Agg Link Link Up Master Master Control Algorithm Group Mbr State Transitions ============================================================================== 47 LACP L2 47 - R 0 L2 48 - R 0 ============================================================================== Link State: A-Active, D-Disabled, R-Ready, NP-Port not present, L-Loopback Load Sharing Algorithm: (L2) Layer 2 address based, (L3) Layer 3 address based (L3_L4) Layer 3 address and Layer 4 port based (custom) User-selected address-based configuration Custom Algorithm Configuration: ipv4 source-and-destination, crc-16 Number of load sharing trunks: 1 x670.5 # получается порты 47 и 48 верно щас объединены? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 6 августа, 2014 · Жалоба за тем лишь исключением, что балансировка по L2 ;) а так да, 47 - мастер, 48 мембер, вся дальнейшая конфигурация проводится только с 47 портом - мемберы выпадают из "логики", акромя работы с физикой (ena/dis port; conf port ; elsm). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xxxupg Опубликовано 6 августа, 2014 · Жалоба разобрался, спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
i.dimitriev Опубликовано 7 августа, 2014 · Жалоба кто нибудь настраивал pim-sm на 670х mlag пирах в отдельном vr? при настройке в vr-default проблем нет при попытке настроить в пользовательском vr возникла проблема, показывает только часть каналов. при этом если на одно 670м выключить pim, то начинает показывать другая половина... ощущение как будто часть каналов блочится. в пользовательской вр пробовал включать все возможные протоколы, толку ноль... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 7 августа, 2014 · Жалоба sh forward conf и версия софта? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 8 августа, 2014 · Жалоба Mlag для l2-трафика. Pim - это l3. У вас в mlag трафик уходит с балансиолвкой по ip. Половина на один экстрим, половина на второй. Один принимает, другой нет. Ещё схему бы, как vlan работают и терминируются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
i.dimitriev Опубликовано 8 августа, 2014 · Жалоба sh forward conf и версия софта? sho forwarding configuration L2 and L3 Forwarding table hash algorithm: Configured hash algorithm: crc32 Current hash algorithm: crc32 L3 Dual-Hash configuration: Configured setting: on Current setting: on Dual-Hash Recursion Level: 1 Hash criteria for IP unicast traffic for L2 load sharing and ECMP route sharing Sharing criteria: L3_L4 IP multicast: Group Table Compression: on Lookup-Key: (SourceIP, GroupIP, VlanId) Switch Settings: Switching mode: store-and-forward L2 Protocol: Fast convergence: on Fabric Flow Control: Fabric Flow Control: auto Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
i.dimitriev Опубликовано 8 августа, 2014 · Жалоба Половина на один экстрим, половина на второй. Один принимает, другой нет. Ещё схему бы, как vlan работают и терминируются. если все тоже самое делать в vr-default - все прекрасно работает. схема такая CATALYST / \ 670-ISC-670 |\ /| 460 460 итак. Каталист подключен млагом. во влане 3386 PIM-SM интерфейс с обоими 670. на 670 поднят PIM-SM во влане 3387, который так же млагом идет на 460е, на одном из котором в этом влане мы и пытаемся смотреть мультикаст. так вот. если все это дело поднимать в vr-default все четко работает, проблем нет. если создаем свою пользовательску vr-multi (в ней включен только протокол PIM, хотя и все остальное пробовали включать - тогда работает часть каналов, другая часть не работает). да верно, трафик судя по всему мультикаст трафик идет только с одного 670, с другого блочится. потому как если на том с которого вещают каналы выключить пим(disable pim), начинают работать каналы с другого 670... ну и плюс в пределах одного 670 все работает, т.е. если мы втыкаемся буком непосредственно в 670(любой, во влан 3387), все отлично показывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 8 августа, 2014 · Жалоба про версию софта так и не сказано. попробуйте так: conf forwarding ipmc lookup-key mixed-mode - как показывает практика, в 99% случаях лечит проблемы с мультикастом. upd... судя по описанию проблемы, это PD4-3842583955 Peer ingress VLAN appears as unknown for 6 out of 12 (S;G)s on both MLAG peers after the port corresponding to the SPT path is disabled. на текущий момент проблема не решена. можно периодически поглядывать на выкладываемые release notes http://esupportkb.extremenetworks.com/dox/RN/ на 04.08.2014, проблема остается актуальной с пометкой known behaviors. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 14 августа, 2014 · Жалоба Вернусь к своей задачке Значит так, redirect-port в ACL не работает при включенном "iparp distributed-mode". Должны были сформировать BR, жду решения. А задачку-таки решить надо сейчас. Пытаюсь решить через L3 ACL-redirect. Задача: пропустить отматченный аксесслистом трафик, через патчкорд подключенный порта А в порт Б, нашей системы. Как сделать такое? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 2 сентября, 2014 · Жалоба Как я устал уже, руки опускаются. port-redirect - не работает, но заявлен. Связать VRF патчкордом с основной системой - не работает, сами не знают почему. Казалось бы, тупой PBR - и тот работает не более 5 часов на 10G порту, потом всё разваливается к чертям. Поменяли DLink на "DLink"... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 2 сентября, 2014 · Жалоба Как я устал уже, руки опускаются. port-redirect - не работает, но заявлен. Связать VRF патчкордом с основной системой - не работает, сами не знают почему. Казалось бы, тупой PBR - и тот работает не более 5 часов на 10G порту, потом всё разваливается к чертям. Поменяли DLink на "DLink"... :) :) :) :) :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 2 сентября, 2014 · Жалоба Вернусь к своей задачке Значит так, redirect-port в ACL не работает при включенном "iparp distributed-mode". Должны были сформировать BR, жду решения. А задачку-таки решить надо сейчас. Пытаюсь решить через L3 ACL-redirect. Задача: пропустить отматченный аксесслистом трафик, через патчкорд подключенный порта А в порт Б, нашей системы. Как сделать такое? а что у вас за модульная коробка? точно ли Вам нужен distributed-mode? попробуйте помимо redirect-port добавить действие cpu-deny, т.к. трафик с mac-dst этой коробки и может еще обрабатываться в CPU. Если вернуться к порту "В", то у вас возможно постоянное перестроение fdb-таблицы, т.к. пакет с mac-src с начала приходит в порт А, а затем через кольцо в порт В. Еще, у вас на порту В нет vlan, хотя из Б вы отправили его с тэгом и хотите терминировать на L3... Все ради того, чтобы пропустить через L2-DPI? Как я устал уже, руки опускаются. port-redirect - не работает, но заявлен. Связать VRF патчкордом с основной системой - не работает, сами не знают почему. Казалось бы, тупой PBR - и тот работает не более 5 часов на 10G порту, потом всё разваливается к чертям. Поменяли DLink на "DLink"... Уже писал почему нельзя просто так взять и соединить два порта с разными VRF патч-кордом. Что у Вас с PBR не так? Как настраиваете? есть ли ARP для next-hop? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 2 сентября, 2014 · Жалоба а что у вас за модульная коробка? BD-8810 точно ли Вам нужен distributed-mode? Нужен, точно и однозначно. попробуйте помимо redirect-port добавить действие cpu-deny, т.к. трафик с mac-dst этой коробки и может еще обрабатываться в CPU. Если вернуться к порту "В", то у вас возможно постоянное перестроение fdb-таблицы, т.к. пакет с mac-src с начала приходит в порт А, а затем через кольцо в порт В. Еще, у вас на порту В нет vlan, хотя из Б вы отправили его с тэгом и хотите терминировать на L3... Не работает и не будет, при включенном распределенном ARP. Все ради того, чтобы пропустить через L2-DPI? Типа того. Но уже абсолютно без разницы L2 это будет или L3. Уже писал почему нельзя просто так взять и соединить два порта с разными VRF патч-кордом. Уже и мы это знаем. Только вот на Cisco так работает, а на DLink'е BD нет. Что у Вас с PBR не так? Как настраиваете? есть ли ARP для next-hop? ARP есть. Всё так, настраиваем как положено для PBR, отправляем на внешний маршрутизатор. Работает как положено несколько часов, потом начинаются таинства с пропаданием трафика, то отмаченного, то пропадание полной связности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 2 сентября, 2014 · Жалоба пробовали делать не redirect xx.xx.xx.xx а через redirect-name [flow-redirect] по поводу последней проблемы? так можно попробовать отследить активно ли redirect в данный момент. мы используем x460 и x670 - проблем нет. ваши баги скорее всего ограничения модульности коробки + попытка экономии TCAM опцией distributed-mode Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 2 сентября, 2014 · Жалоба пробовали делать не redirect xx.xx.xx.xx пробовали делать не redirect xx.xx.xx.xx а через redirect-name [flow-redirect] по поводу последней проблемы? Начали с redirect - не взлетело, мы подумали что неверно трактовали документацию. Техподдержка указала на то что надо делать через flow-redirect. Сделали на нём - взлетело, сейчас на нём работаем, но испытываем проблемы. так можно попробовать отследить активно ли redirect в данный момент. Можно, активен, состояние "UP". ваши баги скорее всего ограничения модульности коробки + попытка экономии TCAM опцией distributed-mode Или ошибка выбора вендора. p.s. Дело в том, что продаваны, во время предпрадажных переговоров, на каждый наш вопрос отвечали - "Да, может!"; - "Да, справится!"; - "Да, влезет!"; - "Да, поставите еще плату, и еще больше сможете!". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 2 сентября, 2014 · Жалоба во время предпрадажных переговоров Не знаю как у них с политикой в отношении больших коробок, но пицца-боксы, прежде чем покупать, я брал на очень длительное тестирование (670 у меня месяца 2 в серверной крутился без оплаты), гонял под разными лицензиями (базовая->trial), даже нагло заводил в продакшн, приставал к представителям по любым даже самым банальным или каверзным вопросам, и если меня все устраивало - мы выкупали тестовый образец, который к тому моменту хорошо приживался в недрах транспортной сети. Да в целом-то по любой проходящей мимо меня железки, все проходит по такому алгоритму. Если что-то не нравилось на этапах тестирования - железка возвращалась к владельцу. А то что на словах у всех все хорошо - этому я не верю еще с тех времен, когда меня длинк убеждал в непогрешимости DGS-3612G/DGS-3627G, и что все мои проблемы от не правильных настроек. Единственное но - в свое время я полностью отказался от pbr и vrf route-leaking. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 2 сентября, 2014 · Жалоба darkagent, с большими коробками такой финт не пройдёт, а у нас в Казахстане, такой финт не пройдет вообще ни с каким оборудованием. По большому счету, пока в продакшн не сунешь, вообще говорить о приобретении не стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telecom Опубликовано 2 сентября, 2014 · Жалоба во время предпрадажных переговоров Не знаю как у них с политикой в отношении больших коробок, но пицца-боксы, прежде чем покупать, я брал на очень длительное тестирование (670 у меня месяца 2 в серверной крутился без оплаты), гонял под разными лицензиями (базовая->trial), даже нагло заводил в продакшн, приставал к представителям по любым даже самым банальным или каверзным вопросам, и если меня все устраивало - мы выкупали тестовый образец, который к тому моменту хорошо приживался в недрах транспортной сети. Да в целом-то по любой проходящей мимо меня железки, все проходит по такому алгоритму. Если что-то не нравилось на этапах тестирования - железка возвращалась к владельцу. А то что на словах у всех все хорошо - этому я не верю еще с тех времен, когда меня длинк убеждал в непогрешимости DGS-3612G/DGS-3627G, и что все мои проблемы от не правильных настроек. Единственное но - в свое время я полностью отказался от pbr и vrf route-leaking. +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 6 сентября, 2014 · Жалоба чочо я выше вроде видел запилили /31 сети? подскажите минимальный софт? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 6 сентября, 2014 · Жалоба не запилили. 460x48.1 # create vlan test 460x48.2 # conf vlan test ipaddress 10.11.22.1/31 Error: Address is broadcast address! 460x48.3 # sh ver | i Image Image : ExtremeXOS version 15.5.2.9 v1552b9-patch1-1 by release-manager Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 10 сентября, 2014 · Жалоба PBR - и тот работает не более 5 часов на 10G порту, потом всё разваливается к чертям. Заменили на новые все SFP-модули, имеющие отношение к проблемному PBR - проблема решилась. Причем модули под подозрение не попадали. Ну ладно, теперь PBR работает как положено. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artem Enborisov Опубликовано 22 сентября, 2014 · Жалоба чочо я выше вроде видел запилили /31 сети? подскажите минимальный софт? Поддержка /31 будет реализована в ветке 15.7, релиз планируется на второй квартал 2015 года. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 22 сентября, 2014 · Жалоба Поддержка /31 будет реализована в ветке 15.7, релиз планируется на второй квартал 2015 года. А сейчас какая стабильная версия? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...