Jump to content
Калькуляторы

Коммутаторы Extreme Summit / BlackDiamond. Отзывы, реальная производительность. Особенности, плюсы, минусы

Гм. Возникла сложность и с flow-redirect, думал что она решится с помощью Inactive Nexthops: Forward, однако это означает не то что пакет таки будет направлен по DOWN маршруту, а смаршрутизируется согласно основных правил маршрутизации. СКАТ не отвечает на ICMP, т.к. созданный P2P - фейк.

Статическая ARP-запись для flow-redirect тоже пустой звук :(

BD-8810.2 # sho flow-redirect "skat1-in1"
Name             : skat1-in1             VR Name          : VR-Default
Inactive Nexthops: Forward               Health Check     : ARP
Nexthop Count    : 1
Active IP Address : 0.0.0.0
Index    State      Priority  IP Address          Status Interval Miss
======================================================================
0        Enabled    1         10.0.1.154          DOWN   2        2

ND: Neighbor Discovery

Что можно придумать?

Share this post


Link to post
Share on other sites

Забыл добавить запись в fdb

create vlan "skat1-in1"
configure vlan skat1-in1 tag 80
configure vlan skat1-in1 add ports 8:1 tagged
configure vlan skat1-in1 ipaddress 10.0.1.153 255.255.255.252
enable ipforwarding vlan skat1-in1
create fdbentry 90:e2:ba:87:15:c4 vlan "skat1-in1" port 8:1
configure iparp add 10.0.1.154 vr VR-Default 90:e2:ba:87:15:c4
create flow-redirect skat1-in1
configure flow-redirect skat1-in1 health-check arp
configure flow-redirect skat1-in1 add nexthop 10.0.1.154 priority 1

Поднялся flow-redirect:

Name             : skat1-in1             VR Name          : VR-Default
Inactive Nexthops: Forward               Health Check     : ARP
Nexthop Count    : 1
Active IP Address : 10.0.1.154
Index    State      Priority  IP Address          Status Interval Miss
======================================================================
0        Enabled    1         10.0.1.154          UP     2        2

ND: Neighbor Discovery

 

Share this post


Link to post
Share on other sites

В первый раз столкнулся с пробросом мультикаст ТВ  трафика и что то отказывается работать. 

Схема подключения

Ростелеком ->(vlan_TV)-> (1)x620(2) ->(vlan_TV)->(1)x460(2)->ТВ приставка

От Ростелекома приходит транк с vlan_TV с ТВ мультикастом на 1 порт x620 ко 2 порту подключен x460 и к нему уже подключена ТВ приставка в access .

Что еще прописать на 620 и 460 для проброса мультикаста до приставки.

На 620 настроено

enable mvr vr VR-Default
configure mvr add vlan vlan_TV
configure mvr vlan vlan_TV  mvr-address none
configure mvr vlan vlan_TV static group none
conf mvr vlan vlan_TV add receiver ports 2

На 460

disable igmp
enable igmp snooping vlan_TV
configure igmp snooping vlan vlan_TV ports 1 add static router

 

В такой конфигурации отказывается работать

Share this post


Link to post
Share on other sites
18 часов назад, dmvy сказал:

а зачем MVR? обычным vlan кидайте.

Обычным vlan'ом нет работает. По крайней мере установщики от провайдера не смогли приставку настроить.

Edited by vav001

Share this post


Link to post
Share on other sites

Частично заработало в такой конфигурации

disable igmp

disable igmp proxy-query

disable igmp snooping

enable igmp proxy-query vlan "VLAN_TV"

enable igmp snooping vlan "VLAN_TV"

 

Но картинка периодически рассыпается, приставка не видит обновления, и через какой то промежуток времени  все отваливается, помогает введение выше написанных команд, но ненадолго.

Share this post


Link to post
Share on other sites

При попытки добавления IPv6-адреса в next-hop во flow-redirect, выходит ошибка "ERROR: IPv6 flow-redirect cannot be configured on this system. Please use 8900 series or newer cards."

Тут чуть более подробно написано что в системе не должно стоять ни одной карты ревизии < 8900. У меня одна такая плата стояла, раскидал с неё линки, но ошибка сохраняется и видимо из-за лайнкард которые установлены непосредственно в процессорные модули. От них тоже придется избавиться...

# show slot
Slots    Type                 Configured           State       Ports  Flags
-------------------------------------------------------------------------------
Slot-1   8900-G48T-xl         8900-G48T-xl         Operational   48   MB
Slot-2   8900-G48X-xl         8900-G48X-xl         Operational   48   MB
Slot-3   8900-G48X-xl         8900-G48X-xl         Operational   48   MB
Slot-4                                             Empty          0
Slot-5   10G2Xc               10G2Xc               Operational    2   MB
Slot-6   10G2Xc               10G2Xc               Operational    2   MB
Slot-7                                             Empty          0
Slot-8   8900-10G8X-xl        8900-10G8X-xl        Operational    8   MB
Slot-9   8900-10G8X-xl        8900-10G8X-xl        Operational    8   MB
Slot-10                                            Empty          0
MSM-A    8900-MSM128                               Operational    0
MSM-B    8900-MSM128                               Operational    0

 

Share this post


Link to post
Share on other sites

уважаемые! подскажите

есть x670-48x

есть 1 активный порт (с реальным трафиком) нужно добавить еще 1 порт (т.е. сделать sharing) с Address Based - L3_L4

соседний порт вообще не настроен (полностью пустой и чистый, без настроек) как сделать sharing портов так чтобы ничего не отломать?

 

сначала надо добавить теже вланы на новый порт или навешивать без вланов? мастер портом будет старый (действующий) порт

Share this post


Link to post
Share on other sites
7 часов назад, Artom_12 сказал:

соседний порт вообще не настроен (полностью пустой и чистый, без настроек) как сделать sharing портов так чтобы ничего не отломать?

Нужно создать портгруппу с теми же вланами и добавить в нее действующий порт.

 

7 часов назад, Artom_12 сказал:

сначала надо добавить теже вланы на новый порт или навешивать без вланов?

При создании группы, настройки для группы обнулятся (не будет вланов, QoS и пр.), о чем честно предупредит Warning, поэтому вланы на порту после его включения в sharing ничего значить не будут.

 

7 часов назад, Artom_12 сказал:

мастер портом будет старый (действующий) порт

Чтобы ничего не отломать, нужно создавать sharing из одного, пустого порта (линка на нем быть не должно, или должен быть disabled), который как раз таки будет мастером. После чего навесить на мастер вланы и добавить в sharing активный порт. Если будете использовать LACP - внимательнее с active/passive mode.

 

Это, чтобы без прерывания или с минимальными потерями сделать, так вижу.

Share this post


Link to post
Share on other sites

Камрады привет!

 

BD-8810. Есть policy, в нем через flow-redirect маршрутизируется сеть 10/8.

Также есть список ip-адресов (~512, разные, из сети 10/8), которых надо смаршрутизировать через иной flow-redirect. Эти ip-адреса иногда меняются/добавляются/удаляются. Каждый раз переписывать policy для этого - считаю дурным тоном. Более того, есть подозрение что такое количество не влезет в матрицу (слайсы или как оно там зовется).

 

Может я не знаю какой-нибудь возможности устройства, подскажите что еще можно предпринять.

Share this post


Link to post
Share on other sites
Привет всем, У меня есть старый X450e для обновления.
Может кто-нибудь любезно поделиться последней прошивкой EXOS 15.3.5.2-patch1-19? Можно ли использовать его с bootrom 2.0.1.7?
Спасибо за поддержку!

Share this post


Link to post
Share on other sites
1 час назад, darkagent сказал:

puoi cm hp

Фантастическое спасибо большое!
 

Share this post


Link to post
Share on other sites

Коллеги, добрый день.

Есть знатоки в области mirror на X670-48X?

Необходимо зеркалировать трафик с нескольких портов в группу портов (агрегация) с фильтрацией части трафика по source и destination IP.

Для этого имеем:

1-8 порт - источник трафика

25-32 - агрегация

 

configure sharing address-based custom hash-algorithm crc-16
enable sharing 25 grouping 25-32 algorithm address-based custom

 

настраиваем зеркало (пока без acl):

 

create mirror "test"
configure mirror test to port-list 25 loopback-port 41
enable mirror test
configure mirror test add port 1-8 ingress

 

При этом указывается loopback-port, ресурсы которого будут использоваться для mirror.

 

В итоге получам ограничение по полосе в зеркали 10G - пропускная способность loopback-port.

 

Рисуем загрузку портов.

Видем интересную картинку:

Входящий трафик 1-8 по 2,5G (итого 20G).

Трафик на портах 25-32 по 1,1-1,3G (суммарно в районе 10G).

На 41 порту (loopback-port) отрисовывается in и out по 10G.

 

Задать в качестве loopback-port несколько портов, либо sharing группу не возможно (коммутатор не воспринимает такие команды).

 

Вопрос, каким образом зеркалировать большие объемы трафика (20, 30, 40 G) из нескольких источников в группу портов?

Share this post


Link to post
Share on other sites
6 минут назад, cooljon сказал:

каким образом зеркалировать большие объемы трафика (20, 30, 40 G) из нескольких источников в группу портов?

тапками/сплиттерами, и только. 

миррорить емкости более 10G средствами коммутатора чревато.

Share this post


Link to post
Share on other sites
1 hour ago, darkagent said:

тапками/сплиттерами, и только. 

миррорить емкости более 10G средствами коммутатора чревато.

Со сплиттеров трафик подаётся на 1-8 порт. Его нужно обработать, вырезав лишнее, и подать на dpi

Share this post


Link to post
Share on other sites
44 минуты назад, cooljon сказал:

Со сплиттеров трафик подаётся на 1-8 порт. Его нужно обработать, вырезав лишнее, и подать на dpi

Так стандартно - обычный vlan + disable learning + port isolation на 1-8 порты

 

Share this post


Link to post
Share on other sites
4 hours ago, necrozz said:

Так стандартно - обычный vlan + disable learning + port isolation на 1-8 порты

 

Такой вариант понятен, интересно, можно ли добиться результата через mirror, или Extreme ограничен полосой 10g.

Share this post


Link to post
Share on other sites
В 18.01.2019 в 23:39, cooljon сказал:

или Extreme ограничен полосой 10g.

Раньше, вроде, писали даже в доке, что да, ограничен.

Share this post


Link to post
Share on other sites
В 18.01.2019 в 17:10, darkagent сказал:

миррорить емкости более 10G средствами коммутатора чревато.

Миррорим пару десяток в пару других. 

Чем чревато то? Недозаркалит пакеты? На таких объемах проверить это практически невозможно, только теоритезировать.

 

1 час назад, snvoronkov сказал:

Раньше, вроде, писали даже в доке, что да, ограничен.

Нет такого в документации. Только ограничения по инстансам. Думаю эти ограничения вызваны аппаратной реализацией, а раз так то реализовано в железе, а раз в железе то снова - чем чревато?

Share this post


Link to post
Share on other sites
27 минут назад, ThreeDHead сказал:

Нет такого в документации.

??? Из "Concepts Guide 15.3"

Цитата

The port-list is a list of monitor ports that transmit identical copies of mirrored packets.

Или я что-то упустил?

Share this post


Link to post
Share on other sites
1 час назад, snvoronkov сказал:

??? Из "Concepts Guide 15.3"

EXOS_Concepts_Guide_15_4.pdf

 

В 18.01.2019 в 18:45, cooljon сказал:

Со сплиттеров трафик подаётся на 1-8 порт. Его нужно обработать, вырезав лишнее, и подать на dpi

Точнее так: его надо отзеркалить, а на egress-портах (DPI/СОРМ) прописать полиси, которая дропнет ненужное. Но боюсь что egress-трафик не каждая железяка позволит обрабатывать. Но и тут выход есть - СКАТ в качестве предфильтра.

Share this post


Link to post
Share on other sites

Добрый день, если кто-то сможет поделиться 16.1.3.6 для X440, буду очень признателен. Спасибо.

Share this post


Link to post
Share on other sites

Есть два сервера, IPv6 интерфейсы: 2a06:6780:0:1::1 и 2a06:6780:0:2::2

Каждый из серверов подключен к BD-8810, на порту каждого есть один и тот же ingress policy, приблизительно с вот таким содержанием:

# To our IPv6
entry 06_to_our_ipv6 {
if {
        destination-address 2a06:6780::/29;
}
then {
        count 06_to_our_ipv6;
        permit;
}
}

# To world IPv6
entry 07_from_ipv6 {
if {
       source-address 2a06:6780::/29;
}
then {
        count 07_from_ipv6;
        redirect-name uplink6;
}
}

 

Вроде связность между серверами по IPv6 есть, но подозрительно большим оказался пинг между ними ~20мс. К слову ~10мс - это первый шлюз аплинка.

Начал разбираться, трафик с сервера на сервер ходит через аплинк (uplink6).

Для наглядности изменил policy на такое:

# To our IPv6
entry 06_to_our_ipv6 {
if {
        source-address 0::/0;
}
then {
        count 06_to_our_ipv6;
        permit;
}
}

# To world IPv6
entry 07_from_ipv6 {
if {
        source-address 0::/0;
}
then {
        count 07_from_ipv6;
        redirect-name uplink6;
}
}

 

Каким оказалось моё удивление, что оба счетчика растут в унисон!

# sho access-list counter ports 1:34
Policy Name       Vlan Name        Port   Direction
    Counter Name                   Packet Count         Byte Count
==================================================================
from_ipv4_ipv6    *                1:34   ingress
...
    06_to_our_ipv6                 624
    07_from_ipv6                   624

Как такое вообще может быть?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now