[darkagent]

подскажите как должен выглядеть конфиг X670-48x?

живой пример:

configure sharing address-based custom ipv4 source-and-destination

enable sharing 38 grouping 37-38 algorithm address-based L3_L4 lacp

[xxxupg]

x670.4 # show sharing
Load Sharing Monitor
Config    Current    Agg       Ld Share    Ld Share  Agg   Link    Link Up
Master    Master     Control   Algorithm   Group     Mbr   State   Transitions
==============================================================================
   47               LACP      L2          47         -      R        0
                              L2          48         -      R        0
==============================================================================
Link State: A-Active, D-Disabled, R-Ready, NP-Port not present, L-Loopback
Load Sharing Algorithm: (L2) Layer 2 address based, (L3) Layer 3 address based
                       (L3_L4) Layer 3 address and Layer 4 port based
                       (custom) User-selected address-based configuration
Custom Algorithm Configuration: ipv4 source-and-destination, crc-16
Number of load sharing trunks: 1
x670.5 #

 

 

получается порты 47 и 48 верно щас объединены?

[darkagent]

за тем лишь исключением, что балансировка по L2 ;)

а так да, 47 - мастер, 48 мембер, вся дальнейшая конфигурация проводится только с 47 портом - мемберы выпадают из "логики", акромя работы с физикой (ena/dis port; conf port ; elsm).

[xxxupg]

разобрался, спасибо!

[i.dimitriev]

кто нибудь настраивал pim-sm на 670х mlag пирах в отдельном vr?

при настройке в vr-default проблем нет

при попытке настроить в пользовательском vr возникла проблема,

показывает только часть каналов. при этом если на одно 670м выключить pim, то начинает показывать другая половина...

ощущение как будто часть каналов блочится. в пользовательской вр пробовал включать все возможные протоколы, толку ноль...

[darkagent]

sh forward conf

и версия софта?

[dmvy]

Mlag для l2-трафика. Pim - это l3. У вас в mlag трафик уходит с балансиолвкой по ip. Половина на один экстрим, половина на второй. Один принимает, другой нет. Ещё схему бы, как vlan работают и терминируются.

[i.dimitriev]

sh forward conf

и версия софта?

 

sho forwarding configuration

 

L2 and L3 Forwarding table hash algorithm:

Configured hash algorithm: crc32

Current hash algorithm: crc32

 

L3 Dual-Hash configuration:

Configured setting: on

Current setting: on

Dual-Hash Recursion Level: 1

 

Hash criteria for IP unicast traffic for L2 load sharing and ECMP route sharing

Sharing criteria: L3_L4

 

IP multicast:

Group Table Compression: on

Lookup-Key: (SourceIP, GroupIP, VlanId)

 

Switch Settings:

Switching mode: store-and-forward

 

L2 Protocol:

Fast convergence: on

 

Fabric Flow Control:

Fabric Flow Control: auto

[i.dimitriev]

Половина на один экстрим, половина на второй. Один принимает, другой нет. Ещё схему бы, как vlan работают и терминируются.

 

если все тоже самое делать в vr-default - все прекрасно работает. схема такая

CATALYST

/ \

670-ISC-670

|\ /|

460 460

 

итак. Каталист подключен млагом. во влане 3386 PIM-SM интерфейс с обоими 670.

на 670 поднят PIM-SM во влане 3387, который так же млагом идет на 460е, на одном из котором в этом влане мы и пытаемся смотреть мультикаст.

 

так вот. если все это дело поднимать в vr-default все четко работает, проблем нет.

если создаем свою пользовательску vr-multi (в ней включен только протокол PIM, хотя и все остальное пробовали включать - тогда работает часть каналов, другая часть не работает).

да верно, трафик судя по всему мультикаст трафик идет только с одного 670, с другого блочится. потому как если на том с которого вещают каналы выключить пим(disable pim), начинают работать каналы с другого 670...

 

ну и плюс в пределах одного 670 все работает, т.е. если мы втыкаемся буком непосредственно в 670(любой, во влан 3387), все отлично показывает.

[darkagent]

про версию софта так и не сказано. попробуйте так:

conf forwarding ipmc lookup-key mixed-mode

- как показывает практика, в 99% случаях лечит проблемы с мультикастом.

 

upd...

судя по описанию проблемы, это

PD4-3842583955

Peer ingress VLAN appears as unknown for 6 out of 12 (S;G)s on both MLAG peers after the port corresponding to the SPT path is disabled.

на текущий момент проблема не решена.

можно периодически поглядывать на выкладываемые release notes

http://esupportkb.extremenetworks.com/dox/RN/

на 04.08.2014, проблема остается актуальной с пометкой known behaviors.

[ThreeDHead]

Вернусь к своей задачке

 

Значит так, redirect-port в ACL не работает при включенном "iparp distributed-mode". Должны были сформировать BR, жду решения.

 

А задачку-таки решить надо сейчас. Пытаюсь решить через L3 ACL-redirect.

 

Задача: пропустить отматченный аксесслистом трафик, через патчкорд подключенный порта А в порт Б, нашей системы.

 

Как сделать такое?

[ThreeDHead]

Как я устал уже, руки опускаются.

port-redirect - не работает, но заявлен.

Связать VRF патчкордом с основной системой - не работает, сами не знают почему.

Казалось бы, тупой PBR - и тот работает не более 5 часов на 10G порту, потом всё разваливается к чертям.

 

Поменяли DLink на "DLink"...

[Butch3r]

Как я устал уже, руки опускаются.

port-redirect - не работает, но заявлен.

Связать VRF патчкордом с основной системой - не работает, сами не знают почему.

Казалось бы, тупой PBR - и тот работает не более 5 часов на 10G порту, потом всё разваливается к чертям.

 

Поменяли DLink на "DLink"...

:) :) :) :) :)

[dmvy]

Вернусь к своей задачке

 

Значит так, redirect-port в ACL не работает при включенном "iparp distributed-mode". Должны были сформировать BR, жду решения.

 

А задачку-таки решить надо сейчас. Пытаюсь решить через L3 ACL-redirect.

 

Задача: пропустить отматченный аксесслистом трафик, через патчкорд подключенный порта А в порт Б, нашей системы.

 

Как сделать такое?

а что у вас за модульная коробка? точно ли Вам нужен distributed-mode?

попробуйте помимо redirect-port добавить действие cpu-deny, т.к. трафик с mac-dst этой коробки и может еще обрабатываться в CPU. Если вернуться к порту "В", то у вас возможно постоянное перестроение fdb-таблицы, т.к. пакет с mac-src с начала приходит в порт А, а затем через кольцо в порт В. Еще, у вас на порту В нет vlan, хотя из Б вы отправили его с тэгом и хотите терминировать на L3...

 

Все ради того, чтобы пропустить через L2-DPI?

 

Как я устал уже, руки опускаются.

port-redirect - не работает, но заявлен.

Связать VRF патчкордом с основной системой - не работает, сами не знают почему.

Казалось бы, тупой PBR - и тот работает не более 5 часов на 10G порту, потом всё разваливается к чертям.

 

Поменяли DLink на "DLink"...

 

Уже писал почему нельзя просто так взять и соединить два порта с разными VRF патч-кордом.

Что у Вас с PBR не так? Как настраиваете? есть ли ARP для next-hop?

[ThreeDHead]

а что у вас за модульная коробка?

BD-8810

 

точно ли Вам нужен distributed-mode?

Нужен, точно и однозначно.

 

попробуйте помимо redirect-port добавить действие cpu-deny, т.к. трафик с mac-dst этой коробки и может еще обрабатываться в CPU. Если вернуться к порту "В", то у вас возможно постоянное перестроение fdb-таблицы, т.к. пакет с mac-src с начала приходит в порт А, а затем через кольцо в порт В. Еще, у вас на порту В нет vlan, хотя из Б вы отправили его с тэгом и хотите терминировать на L3...

Не работает и не будет, при включенном распределенном ARP.

 

Все ради того, чтобы пропустить через L2-DPI?

Типа того. Но уже абсолютно без разницы L2 это будет или L3.

 

Уже писал почему нельзя просто так взять и соединить два порта с разными VRF патч-кордом.

Уже и мы это знаем. Только вот на Cisco так работает, а на DLink'е BD нет.

 

Что у Вас с PBR не так? Как настраиваете? есть ли ARP для next-hop?

ARP есть.

Всё так, настраиваем как положено для PBR, отправляем на внешний маршрутизатор. Работает как положено несколько часов, потом начинаются таинства с пропаданием трафика, то отмаченного, то пропадание полной связности.

[dmvy]

пробовали делать не redirect xx.xx.xx.xx а через redirect-name [flow-redirect] по поводу последней проблемы? так можно попробовать отследить активно ли redirect в данный момент. мы используем x460 и x670 - проблем нет. ваши баги скорее всего ограничения модульности коробки + попытка экономии TCAM опцией distributed-mode

[ThreeDHead]

пробовали делать не redirect xx.xx.xx.xx пробовали делать не redirect xx.xx.xx.xx а через redirect-name [flow-redirect] по поводу последней проблемы?

Начали с redirect - не взлетело, мы подумали что неверно трактовали документацию. Техподдержка указала на то что надо делать через flow-redirect. Сделали на нём - взлетело, сейчас на нём работаем, но испытываем проблемы.

 

так можно попробовать отследить активно ли redirect в данный момент.

Можно, активен, состояние "UP".

 

ваши баги скорее всего ограничения модульности коробки + попытка экономии TCAM опцией distributed-mode

Или ошибка выбора вендора.

 

p.s. Дело в том, что продаваны, во время предпрадажных переговоров, на каждый наш вопрос отвечали - "Да, может!"; - "Да, справится!"; - "Да, влезет!"; - "Да, поставите еще плату, и еще больше сможете!".

[darkagent]

во время предпрадажных переговоров

Не знаю как у них с политикой в отношении больших коробок, но пицца-боксы, прежде чем покупать, я брал на очень длительное тестирование (670 у меня месяца 2 в серверной крутился без оплаты), гонял под разными лицензиями (базовая->trial), даже нагло заводил в продакшн, приставал к представителям по любым даже самым банальным или каверзным вопросам, и если меня все устраивало - мы выкупали тестовый образец, который к тому моменту хорошо приживался в недрах транспортной сети. Да в целом-то по любой проходящей мимо меня железки, все проходит по такому алгоритму. Если что-то не нравилось на этапах тестирования - железка возвращалась к владельцу.

А то что на словах у всех все хорошо - этому я не верю еще с тех времен, когда меня длинк убеждал в непогрешимости DGS-3612G/DGS-3627G, и что все мои проблемы от не правильных настроек.

Единственное но - в свое время я полностью отказался от pbr и vrf route-leaking.

[ThreeDHead]

darkagent, с большими коробками такой финт не пройдёт, а у нас в Казахстане, такой финт не пройдет вообще ни с каким оборудованием.

По большому счету, пока в продакшн не сунешь, вообще говорить о приобретении не стоит.

[telecom]

во время предпрадажных переговоров

Не знаю как у них с политикой в отношении больших коробок, но пицца-боксы, прежде чем покупать, я брал на очень длительное тестирование (670 у меня месяца 2 в серверной крутился без оплаты), гонял под разными лицензиями (базовая->trial), даже нагло заводил в продакшн, приставал к представителям по любым даже самым банальным или каверзным вопросам, и если меня все устраивало - мы выкупали тестовый образец, который к тому моменту хорошо приживался в недрах транспортной сети. Да в целом-то по любой проходящей мимо меня железки, все проходит по такому алгоритму. Если что-то не нравилось на этапах тестирования - железка возвращалась к владельцу.

А то что на словах у всех все хорошо - этому я не верю еще с тех времен, когда меня длинк убеждал в непогрешимости DGS-3612G/DGS-3627G, и что все мои проблемы от не правильных настроек.

Единственное но - в свое время я полностью отказался от pbr и vrf route-leaking.

+1

[zhenya`]

чочо я выше вроде видел запилили /31 сети? подскажите минимальный софт?

[darkagent]

не запилили.

460x48.1 # create vlan test
460x48.2 # conf vlan test ipaddress 10.11.22.1/31
Error: Address is broadcast address!
460x48.3 # sh ver | i Image
Image   : ExtremeXOS version 15.5.2.9 v1552b9-patch1-1 by release-manager

[ThreeDHead]

PBR - и тот работает не более 5 часов на 10G порту, потом всё разваливается к чертям.

Заменили на новые все SFP-модули, имеющие отношение к проблемному PBR - проблема решилась. Причем модули под подозрение не попадали.

Ну ладно, теперь PBR работает как положено.

[Artem Enborisov]

чочо я выше вроде видел запилили /31 сети? подскажите минимальный софт?

Поддержка /31 будет реализована в ветке 15.7, релиз планируется на второй квартал 2015 года.

[ThreeDHead]

Поддержка /31 будет реализована в ветке 15.7, релиз планируется на второй квартал 2015 года.

А сейчас какая стабильная версия?