Jump to content
Калькуляторы

Коммутаторы Extreme Summit / BlackDiamond. Отзывы, реальная производительность. Особенности, плюсы, минусы

Для тех, кто не имеет доступа к закрытому разделу, проблема связана с тем, что при обновлении до 15.4.1.х сбрасываются snmp community, и коммутаторы становятся уязвимимы для атак извне по дефолтным community public/private (которые, никто не проверяет после обновлении софта).

 

спасибо.

Share this post


Link to post
Share on other sites

Это должно значить, что пакеты короче 384 байт свитчуются методом store-and-forward

Я это понимаю, поэтому и расписал размеры, что для большинства случаев подойдёт.

Share this post


Link to post
Share on other sites

ThreeDHead

принимается решение куда и как слать и начинается передача с одновременным приемом хвоста пакета.

это и объясняет невозможность использовать буфер пакетов.

Share this post


Link to post
Share on other sites

Приветствую, Коллеги.

 

Кто настраивал мультикаст в vrf у x480 ? есть ли поддержка MDT (Multicast Disribution Tree)?

 

Спасибо. )

Share this post


Link to post
Share on other sites

Подскажите, как-бы составить фильтр с условием "из сети 10/8 в сеть НЕ 10/8"

Ну типа как "!" в iptables, к примеру:

entry localnet_to_internet {
if {
   source-address 10.0.0.0/8;
   destination-address !10.0.0.0/8;
} then {
   permit;
}
}

Share this post


Link to post
Share on other sites

м?

entry e1 {
if {
   source-address 10.0.0.0/8;
   destination-address 10.0.0.0/8;
} then {
   deny
}
}
entry e2 {
if {
   source-address 10.0.0.0/8;
} then {
   permit;
}
}

Share this post


Link to post
Share on other sites

м?

entry e1 {
if {
   source-address 10.0.0.0/8;
   destination-address 10.0.0.0/8;
} then {
   deny
}
}
entry e2 {
if {
   source-address 10.0.0.0/8;
} then {
   permit;
}
}

Возможно. Сейчас проверю.

У меня после длинка, боязнь подобный конструкций.

Share this post


Link to post
Share on other sites

А еще вот такой вопрос: тестирую счетчики (count, packet-count, byte-count), создаю подобное правило:

entry e1 {
if match all {
   source-address 10.1.2.3/32 ;
   destination-address 1.2.3.4/32 ;
   protocol 1;
}
then {
   count test_count ;
   permit ;
}
}

entry e2 {
if match all {
   source-address 10.1.2.3/32 ;
   destination-address 1.2.3.4/32 ;
   protocol 1;
}
then {
   packet-count test_packet_count ;
   permit ;
}
}

entry e3 {
if match all {
   source-address 10.1.2.3/32 ;
   destination-address 1.2.3.4/32 ;
   protocol 1;
}
then {
   byte-count test_byte_count ;
   permit ;
}
}

 

А срабатывает только первый счетчик:

* BD-8810.65 # sh access-list counter
Policy Name       Vlan Name        Port   Direction
   Counter Name                   Packet Count         Byte Count
==================================================================
test_counter      *                3:41   ingress
   test_byte_count                                     0
   test_count                     1
   test_packet_count              0

 

Пробовал и пермиты убирать, бестолку.

Или надо делать не один, а три полиси-файла, и в каждом описать свой счетчик?

Share this post


Link to post
Share on other sites

распихал "ентри" по разным полиси-файлам (test_counter, test_counter_packet, test_counter_byte).

 

Первое сработало:

* BD-8810.84 # configure access-list test_counter ports 3:41
done!

Второе, нет:

* BD-8810.85 # configure access-list test_counter_packet ports 3:41
ERROR: ACL is already configured on port 3:41 !
Configuration failed on backup MSM, command execution aborted!

 

Странно всё это. Получается что счетчиков может быть на полиси-файл всего какой-нибудь один?

 

P.S. Разобрался:

Byte counters and packet counters cannot be used at the same time in the same rule.

Share this post


Link to post
Share on other sites

darkagent, не получается с денаем ничего, дропается весь трафик от 10.1.2.3 в 10/8, но считается...

 

configure access-list test_counter ports 3:41

 

test_counter.pol

entry e1 {
if {
   source-address 10.1.2.3/32;
   destination-address 10.0.0.0/8;
} then {
   deny ;
}
}

entry e2 {
if match all {
   source-address 10.1.2.3/32;
}
then {
   count test_count ;
   permit ;
}
}

Share this post


Link to post
Share on other sites

Вот так получилось:

entry e1 {
if {
   source-address 10.1.2.3/32 ;
   destination-address 10.0.0.0/8 ;
} then {
   count test_count_local ;
   permit ;
}
}

entry e2 {
if match all {
   source-address 10.1.2.3/32 ;
}
then {
   count test_count ;
   permit ;
}
}

 

Оба счетчика считаются:

* BD-8810.146 # show access-list counter
Policy Name       Vlan Name        Port   Direction
   Counter Name                   Packet Count         Byte Count
==================================================================
test_counter      *                3:41   ingress
   test_count                     2371
   test_count_local               1179

 

Собственно это и нужно было.

Share this post


Link to post
Share on other sites

В последнем варианте, логичней будет match all указать в e1 нежели в e2.

Share this post


Link to post
Share on other sites

В последнем варианте, логичней будет match all указать в e1 нежели в e2.

Да, вы правы. Я столько вариантов уже перепробовал, мог и ошибиться.

 

Хотя:

match all - All the match conditions must be true for a match to occur. This is the default.

Ну, поэтому и работает.

Share this post


Link to post
Share on other sites

Товарищи.

Помогите организовать vlan_mapping (vlan_translation) на x670.

 

Имеется два коммутатора x670, два других коммутатора (другой вендор) подключены к ним средствами MLAG. Нужно чтобы входные тегированные VLANы 401-413 транслировались в 71-83. Схема во вложении.

 

Нашел две конструкции:

1. config vlan v71 vlan-translation add member-vlan 401

2. configure vman XXX add ports 45 cep cvid 401-413 translate 71-83

 

Не очень понятно какая конструкция подходит для моих целей и какие VLANы должны быть добавлены в ISC-линк между двумя x670.

post-121669-069924900 1406116550_thumb.png

Share this post


Link to post
Share on other sites

обе конструкции крайне капризные, лучше всего начать пробовать с 2й.

Share this post


Link to post
Share on other sites

Есть еще одна интересная задача :)

 

Исходные:

  • Абонент - 192.168.1.2/24, vlan:user id:2 tagged, подключен в порт А
  • Порт А - vlan:user id:2 tagged, 192.168.1.1/24
  • Порт Б - подключен патчкордом в порт В
  • Порт В - соответственно подключен в порт Б

Задача: Принять от абонента пакет, и "выкинуть" его через порт Б, и встретить на порту В, терминировать его на L3 и отправить дальше согласно таблиц маршрутизации.

Основная цель - пропустить трафик абонента через линк Б-В.

 

Создаем полиси-файл:

# edit policy abonent_over_b_c
entry e1 {
if {
   source-address 192.168.1.2/32 ;
}
then {
   redirect-port "Б" ;
}
}

Навешиваем полиси на порт терминации абонента:

configure access-list abonent_over_b_c ports "А" ingress

Согласно документации, порт, в который делаем "redirect-port", должен быть в том же влане:

configure vlan "user" add ports "Б" tagged

 

Итак, трафик от абонента приходит в порт А, ловится аксесслистом, и отправляется из порта Б, приходит на порт В, терминируется на L3 и трафик побежал, всё прекрасно работает.

 

Но! Порт В - не принадлежит ни одному влану.

 

Какое есть предположение, почему конструкция работает?

Share this post


Link to post
Share on other sites

Какое есть предположение, почему конструкция работает?

дай угадаю,

sh ipconfig  | i Origin
Originated Packets : Don't require ipforwarding

совпадает? ;)

Share this post


Link to post
Share on other sites

совпадает? ;)

Собсно, да, совпадает. Только к чему это?

 

Если отмести информацию откуда взялся пакет, то мы просто видим что на порт В пришел некий пакет, но так как на этом порту нет вланов, пакет доложен сброситься и всё.

Share this post


Link to post
Share on other sites

Ну собсна магия тут вот в чем:

- твое полиси фактически является L2-redirect'ом:

Layer 2 Policy-Based Redirect

This feature allows matching packets to override the normal forwarding decision and be Layer 2

switched to the specified physical port. This is accomplished using an additional packet ACL lookup.

While similar to the Layer 3 Policy-Based Redirectfeature, it differs in that the packet is not modified

for Layer 3 routing based on a new IP redirect next-hop. Instead, the packet uses the packet format

based on the forwarding decision. When the packet is Layer 2-switched, the packet egresses the

redirect port unmodified. When the packet is Layer 3-switched, the packet egresses with the Layer 3

packet modifications of the next-hop found by the normal Layer 3 forwarding lookups.

 

т.е. фактически, порт В становится loopback портом для прилетающего пакета, ну а т.к. в пакете остается все необходимое для его дальнейшей жизни, он форвардится/роутится как задано системой, и системе крайне посрать на его происхождение, ибо

срабатывает мягкое динамо:

conf ipforwarding originated-packets
 dont-require-ipforwarding  IP forwarding need not be enabled on outbound VLAN for packets to be routed

Share this post


Link to post
Share on other sites

Название портов: А, Б, В - кириллицей!

 

Правильно, прилетевший на порт А пакет, без модификаций улетит через порт Б. Но это не означает что он "родился" в недрах системы.

И где вы видите в конфигурации описание третьего порта (В)? Я сказал что на нем нет ни единого влана.

Я этот патчкорд переключу с порта В в порт Г, на котором тоже не единого влана - тоже будет работать, почему?

 

пс: счетчики TX на порту Б растут, счетчики RX на порту В, тоже растут в унисон. Пакет бегает через патчкорд Б-В.

Share this post


Link to post
Share on other sites

есть коробочка 670ая. хочется роутликинг между глобалом и врфом. беглый просмотр гугла выявил, что самый простой вариант с колечком физическим может не сработать из-за одинаковости маков на интерфейсах.. возможно ли как-нить решить проблему? направьте в нужную сторону.

Share this post


Link to post
Share on other sites

По возможности пользуйтесь Policy Base Routing. Мы более 1000 маршрутов сжали в 270 и они хорошо поместились в alc, а когда вешаешь на порты, а не на кланы, то используется та же памать в TCAM.

Сейчас только через другую L3 железку. Слышал, что в feature request есть route leaking.

Share this post


Link to post
Share on other sites

Слышал, что в feature request есть route leaking.

Собсна сам когда-то этот fr и катал. Однако, набираясь жизненного опыта, пришел к выводу, что потребность в route-leaking говорит об ущербном дизайне. Как бы надо понимать, что здоровому организму костыли то не нужны ;)

простой вариант с колечком физическим может не сработать из-за одинаковости маков на интерфейсах

На самом деле, парочкой постами ранее описан случай, когда происходит пофигистический форвардинг. Можно попробовать применить на петле ;)

Share this post


Link to post
Share on other sites

Слышал, что в feature request есть route leaking.

Собсна сам когда-то этот fr и катал. Однако, набираясь жизненного опыта, пришел к выводу, что потребность в route-leaking говорит об ущербном дизайне. Как бы надо понимать, что здоровому организму костыли то не нужны ;)

простой вариант с колечком физическим может не сработать из-за одинаковости маков на интерфейсах

На самом деле, парочкой постами ранее описан случай, когда происходит пофигистический форвардинг. Можно попробовать применить на петле ;)

петля не работает. в первую очередь из-за невозможности сойтись протоколам динамической маршрутизации. пробовал 1.5-2 года назад. сомневаюсь, что что-то изменилось.

Share this post


Link to post
Share on other sites

Уважаемые! помогите настроить System Type: X670-48x

 

нужно настроить LACP между ним и Dlink DSG-3420-28TC, на Длинке настроено так:

 

# LACP

config link_aggregation algorithm ip_source_dest
create link_aggregation group_id 1 type lacp
config link_aggregation group_id 1 master_port 27 ports 27-28 state enable
config lacp_port 27-28 mode active

 

подскажите как должен выглядеть конфиг X670-48x?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now