ThreeDHead Опубликовано 2 октября, 2018 · Жалоба Гм. Возникла сложность и с flow-redirect, думал что она решится с помощью Inactive Nexthops: Forward, однако это означает не то что пакет таки будет направлен по DOWN маршруту, а смаршрутизируется согласно основных правил маршрутизации. СКАТ не отвечает на ICMP, т.к. созданный P2P - фейк. Статическая ARP-запись для flow-redirect тоже пустой звук :( BD-8810.2 # sho flow-redirect "skat1-in1" Name : skat1-in1 VR Name : VR-Default Inactive Nexthops: Forward Health Check : ARP Nexthop Count : 1 Active IP Address : 0.0.0.0 Index State Priority IP Address Status Interval Miss ====================================================================== 0 Enabled 1 10.0.1.154 DOWN 2 2 ND: Neighbor Discovery Что можно придумать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 2 октября, 2018 · Жалоба Забыл добавить запись в fdb create vlan "skat1-in1" configure vlan skat1-in1 tag 80 configure vlan skat1-in1 add ports 8:1 tagged configure vlan skat1-in1 ipaddress 10.0.1.153 255.255.255.252 enable ipforwarding vlan skat1-in1 create fdbentry 90:e2:ba:87:15:c4 vlan "skat1-in1" port 8:1 configure iparp add 10.0.1.154 vr VR-Default 90:e2:ba:87:15:c4 create flow-redirect skat1-in1 configure flow-redirect skat1-in1 health-check arp configure flow-redirect skat1-in1 add nexthop 10.0.1.154 priority 1 Поднялся flow-redirect: Name : skat1-in1 VR Name : VR-Default Inactive Nexthops: Forward Health Check : ARP Nexthop Count : 1 Active IP Address : 10.0.1.154 Index State Priority IP Address Status Interval Miss ====================================================================== 0 Enabled 1 10.0.1.154 UP 2 2 ND: Neighbor Discovery Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vav001 Опубликовано 8 октября, 2018 · Жалоба В первый раз столкнулся с пробросом мультикаст ТВ трафика и что то отказывается работать. Схема подключения Ростелеком ->(vlan_TV)-> (1)x620(2) ->(vlan_TV)->(1)x460(2)->ТВ приставка От Ростелекома приходит транк с vlan_TV с ТВ мультикастом на 1 порт x620 ко 2 порту подключен x460 и к нему уже подключена ТВ приставка в access . Что еще прописать на 620 и 460 для проброса мультикаста до приставки. На 620 настроено enable mvr vr VR-Default configure mvr add vlan vlan_TV configure mvr vlan vlan_TV mvr-address none configure mvr vlan vlan_TV static group none conf mvr vlan vlan_TV add receiver ports 2 На 460 disable igmp enable igmp snooping vlan_TV configure igmp snooping vlan vlan_TV ports 1 add static router В такой конфигурации отказывается работать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 8 октября, 2018 · Жалоба а зачем MVR? обычным vlan кидайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vav001 Опубликовано 9 октября, 2018 (изменено) · Жалоба 18 часов назад, dmvy сказал: а зачем MVR? обычным vlan кидайте. Обычным vlan'ом нет работает. По крайней мере установщики от провайдера не смогли приставку настроить. Изменено 9 октября, 2018 пользователем vav001 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vav001 Опубликовано 9 октября, 2018 · Жалоба Частично заработало в такой конфигурации disable igmp disable igmp proxy-query disable igmp snooping enable igmp proxy-query vlan "VLAN_TV" enable igmp snooping vlan "VLAN_TV" Но картинка периодически рассыпается, приставка не видит обновления, и через какой то промежуток времени все отваливается, помогает введение выше написанных команд, но ненадолго. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 23 ноября, 2018 · Жалоба Кто-нибудь пробовал IPv6 в flow-redirect использовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 28 ноября, 2018 · Жалоба При попытки добавления IPv6-адреса в next-hop во flow-redirect, выходит ошибка "ERROR: IPv6 flow-redirect cannot be configured on this system. Please use 8900 series or newer cards." Тут чуть более подробно написано что в системе не должно стоять ни одной карты ревизии < 8900. У меня одна такая плата стояла, раскидал с неё линки, но ошибка сохраняется и видимо из-за лайнкард которые установлены непосредственно в процессорные модули. От них тоже придется избавиться... # show slot Slots Type Configured State Ports Flags ------------------------------------------------------------------------------- Slot-1 8900-G48T-xl 8900-G48T-xl Operational 48 MB Slot-2 8900-G48X-xl 8900-G48X-xl Operational 48 MB Slot-3 8900-G48X-xl 8900-G48X-xl Operational 48 MB Slot-4 Empty 0 Slot-5 10G2Xc 10G2Xc Operational 2 MB Slot-6 10G2Xc 10G2Xc Operational 2 MB Slot-7 Empty 0 Slot-8 8900-10G8X-xl 8900-10G8X-xl Operational 8 MB Slot-9 8900-10G8X-xl 8900-10G8X-xl Operational 8 MB Slot-10 Empty 0 MSM-A 8900-MSM128 Operational 0 MSM-B 8900-MSM128 Operational 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artom_12 Опубликовано 16 декабря, 2018 · Жалоба уважаемые! подскажите есть x670-48x есть 1 активный порт (с реальным трафиком) нужно добавить еще 1 порт (т.е. сделать sharing) с Address Based - L3_L4 соседний порт вообще не настроен (полностью пустой и чистый, без настроек) как сделать sharing портов так чтобы ничего не отломать? сначала надо добавить теже вланы на новый порт или навешивать без вланов? мастер портом будет старый (действующий) порт Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s2n Опубликовано 17 декабря, 2018 · Жалоба 7 часов назад, Artom_12 сказал: соседний порт вообще не настроен (полностью пустой и чистый, без настроек) как сделать sharing портов так чтобы ничего не отломать? Нужно создать портгруппу с теми же вланами и добавить в нее действующий порт. 7 часов назад, Artom_12 сказал: сначала надо добавить теже вланы на новый порт или навешивать без вланов? При создании группы, настройки для группы обнулятся (не будет вланов, QoS и пр.), о чем честно предупредит Warning, поэтому вланы на порту после его включения в sharing ничего значить не будут. 7 часов назад, Artom_12 сказал: мастер портом будет старый (действующий) порт Чтобы ничего не отломать, нужно создавать sharing из одного, пустого порта (линка на нем быть не должно, или должен быть disabled), который как раз таки будет мастером. После чего навесить на мастер вланы и добавить в sharing активный порт. Если будете использовать LACP - внимательнее с active/passive mode. Это, чтобы без прерывания или с минимальными потерями сделать, так вижу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 19 декабря, 2018 · Жалоба Камрады привет! BD-8810. Есть policy, в нем через flow-redirect маршрутизируется сеть 10/8. Также есть список ip-адресов (~512, разные, из сети 10/8), которых надо смаршрутизировать через иной flow-redirect. Эти ip-адреса иногда меняются/добавляются/удаляются. Каждый раз переписывать policy для этого - считаю дурным тоном. Более того, есть подозрение что такое количество не влезет в матрицу (слайсы или как оно там зовется). Может я не знаю какой-нибудь возможности устройства, подскажите что еще можно предпринять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
midnigh1986 Опубликовано 9 января, 2019 · Жалоба Привет всем, У меня есть старый X450e для обновления. Может кто-нибудь любезно поделиться последней прошивкой EXOS 15.3.5.2-patch1-19? Можно ли использовать его с bootrom 2.0.1.7? Спасибо за поддержку! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 9 января, 2019 · Жалоба можно. см лс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
midnigh1986 Опубликовано 9 января, 2019 · Жалоба 1 час назад, darkagent сказал: puoi cm hp Фантастическое спасибо большое! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cooljon Опубликовано 18 января, 2019 · Жалоба Коллеги, добрый день. Есть знатоки в области mirror на X670-48X? Необходимо зеркалировать трафик с нескольких портов в группу портов (агрегация) с фильтрацией части трафика по source и destination IP. Для этого имеем: 1-8 порт - источник трафика 25-32 - агрегация configure sharing address-based custom hash-algorithm crc-16 enable sharing 25 grouping 25-32 algorithm address-based custom настраиваем зеркало (пока без acl): create mirror "test" configure mirror test to port-list 25 loopback-port 41 enable mirror test configure mirror test add port 1-8 ingress При этом указывается loopback-port, ресурсы которого будут использоваться для mirror. В итоге получам ограничение по полосе в зеркали 10G - пропускная способность loopback-port. Рисуем загрузку портов. Видем интересную картинку: Входящий трафик 1-8 по 2,5G (итого 20G). Трафик на портах 25-32 по 1,1-1,3G (суммарно в районе 10G). На 41 порту (loopback-port) отрисовывается in и out по 10G. Задать в качестве loopback-port несколько портов, либо sharing группу не возможно (коммутатор не воспринимает такие команды). Вопрос, каким образом зеркалировать большие объемы трафика (20, 30, 40 G) из нескольких источников в группу портов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 18 января, 2019 · Жалоба 6 минут назад, cooljon сказал: каким образом зеркалировать большие объемы трафика (20, 30, 40 G) из нескольких источников в группу портов? тапками/сплиттерами, и только. миррорить емкости более 10G средствами коммутатора чревато. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cooljon Опубликовано 18 января, 2019 · Жалоба 1 hour ago, darkagent said: тапками/сплиттерами, и только. миррорить емкости более 10G средствами коммутатора чревато. Со сплиттеров трафик подаётся на 1-8 порт. Его нужно обработать, вырезав лишнее, и подать на dpi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
necrozz Опубликовано 18 января, 2019 · Жалоба 44 минуты назад, cooljon сказал: Со сплиттеров трафик подаётся на 1-8 порт. Его нужно обработать, вырезав лишнее, и подать на dpi Так стандартно - обычный vlan + disable learning + port isolation на 1-8 порты Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cooljon Опубликовано 18 января, 2019 · Жалоба 4 hours ago, necrozz said: Так стандартно - обычный vlan + disable learning + port isolation на 1-8 порты Такой вариант понятен, интересно, можно ли добиться результата через mirror, или Extreme ограничен полосой 10g. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 21 января, 2019 · Жалоба В 18.01.2019 в 23:39, cooljon сказал: или Extreme ограничен полосой 10g. Раньше, вроде, писали даже в доке, что да, ограничен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 21 января, 2019 · Жалоба В 18.01.2019 в 17:10, darkagent сказал: миррорить емкости более 10G средствами коммутатора чревато. Миррорим пару десяток в пару других. Чем чревато то? Недозаркалит пакеты? На таких объемах проверить это практически невозможно, только теоритезировать. 1 час назад, snvoronkov сказал: Раньше, вроде, писали даже в доке, что да, ограничен. Нет такого в документации. Только ограничения по инстансам. Думаю эти ограничения вызваны аппаратной реализацией, а раз так то реализовано в железе, а раз в железе то снова - чем чревато? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 21 января, 2019 · Жалоба 27 минут назад, ThreeDHead сказал: Нет такого в документации. ??? Из "Concepts Guide 15.3" Цитата The port-list is a list of monitor ports that transmit identical copies of mirrored packets. Или я что-то упустил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 21 января, 2019 · Жалоба 1 час назад, snvoronkov сказал: ??? Из "Concepts Guide 15.3" EXOS_Concepts_Guide_15_4.pdf В 18.01.2019 в 18:45, cooljon сказал: Со сплиттеров трафик подаётся на 1-8 порт. Его нужно обработать, вырезав лишнее, и подать на dpi Точнее так: его надо отзеркалить, а на egress-портах (DPI/СОРМ) прописать полиси, которая дропнет ненужное. Но боюсь что egress-трафик не каждая железяка позволит обрабатывать. Но и тут выход есть - СКАТ в качестве предфильтра. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
marengo Опубликовано 30 января, 2019 · Жалоба Добрый день, если кто-то сможет поделиться 16.1.3.6 для X440, буду очень признателен. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 13 февраля, 2019 · Жалоба Есть два сервера, IPv6 интерфейсы: 2a06:6780:0:1::1 и 2a06:6780:0:2::2 Каждый из серверов подключен к BD-8810, на порту каждого есть один и тот же ingress policy, приблизительно с вот таким содержанием: # To our IPv6 entry 06_to_our_ipv6 { if { destination-address 2a06:6780::/29; } then { count 06_to_our_ipv6; permit; } } # To world IPv6 entry 07_from_ipv6 { if { source-address 2a06:6780::/29; } then { count 07_from_ipv6; redirect-name uplink6; } } Вроде связность между серверами по IPv6 есть, но подозрительно большим оказался пинг между ними ~20мс. К слову ~10мс - это первый шлюз аплинка. Начал разбираться, трафик с сервера на сервер ходит через аплинк (uplink6). Для наглядности изменил policy на такое: # To our IPv6 entry 06_to_our_ipv6 { if { source-address 0::/0; } then { count 06_to_our_ipv6; permit; } } # To world IPv6 entry 07_from_ipv6 { if { source-address 0::/0; } then { count 07_from_ipv6; redirect-name uplink6; } } Каким оказалось моё удивление, что оба счетчика растут в унисон! # sho access-list counter ports 1:34 Policy Name Vlan Name Port Direction Counter Name Packet Count Byte Count ================================================================== from_ipv4_ipv6 * 1:34 ingress ... 06_to_our_ipv6 624 07_from_ipv6 624 Как такое вообще может быть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...