drag0mir Опубликовано 12 февраля, 2018 · Жалоба 6 минут назад, dmvy сказал: Смотри загрузку CPU, логи # sh cpu-monitoring CPU Utilization Statistics - Monitored every 5 seconds ----------------------------------------------------------------------- Process 5 10 30 1 5 30 1 Max Total secs secs secs min mins mins hour User/System util util util util util util util util CPU Usage (%) (%) (%) (%) (%) (%) (%) (%) (secs) ----------------------------------------------------------------------- В загрузке проца не нашел ничего криминального. Но потери пропали после того как выключил в этом влане IGMP глобально disable igmp vlan mng В остальных вланах потери остались до этого коммутатора соответственно. Потери появляются когда коммутатор отправляет igmp query на 224.0.0.1 Странно конечно... но факт остается фактом.... в догонку хочу обновить прошивку на нем (х670) на какую нибудь по свежее сейчас стоит ExtremeXOS version 16.1.3.6 16.1.3.6-patch1-7 by release-manager посоветуйте что нибудь из нового, но по стабильнее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 12 февраля, 2018 · Жалоба можно включить полный дебаг. conf log filter "DefaultFilter" add events all severity debug-verbose en log debug-mode Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 12 февраля, 2018 · Жалоба 3 часа назад, drag0mir сказал: посоветуйте что нибудь из нового, но по стабильнее Можно смело хоть последнюю из 16й ветки. У экстримов жизненный цикл софта достаточно предсказуемый - мажорный релиз отвечает за новый функционал, минорный - за работу над ошибками. Если боязно - на сайте экстрима есть дока по рекомендуемым версиям софта, но там все так же практически самые последние версии софта предлагают - дока обновляется с запозданием в пару недель. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 23 февраля, 2018 · Жалоба Проблема с MTU при QinQ Топология: [subscriber] --> [vlan104 untag (доступ) vlan104 tag] --> [UNI:vlan2911 untag (аггрегация DGS-3120) vlan2911 tag:NNI] --> [(3:41)vman2911-01 tag (BD-8810) vman2911-01 tag(8:2)] --> [BRAS] configure vman ethertype 0x8100 create vman "vman29-01" configure vman vman29-01 tag 2911 configure vman vman29-01 add ports 3:41, 8:2 tagged enable jumbo-frame ports 3:41 enable jumbo-frame ports 8:2 Пакет от пользователя на BD-8810 прилетает с двойным тегом 2911.104 и далее так-же летит на BRAS. Если на клиенте делаю ICMP-ping с размером 1468, то пакет долетает до BRAS, всё хорошо. Если на клиенте делаю ICMP-ping с размером 1470, то пакет долетает до BD-8810 и якобы вылетает в порт BRAS. Но BRAS его не видит. Почему "якобы"? 1. Расставил полиси со счетчиками на порт 3:41 и на порт 8:2. Счетчики тикают при любом размере ICMP, казалось бы что проблема в BRAS'е. 2. Отзеркалировал порт 8:2 на сенсор (порт с включенными джамбами), ICMP-ping с размером 1468 вижу, а с размером 1470 нет. Тут же, абоненты с одинарным тегом, работают хорошо при ICMP-ping с размером 1472. Что еще посмотреть для решения этой проблемы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 23 февраля, 2018 · Жалоба Проблема решена, сетевая BRAS'а откидывала пакет из-за малого SnapLen. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Phobos600 Опубликовано 3 апреля, 2018 · Жалоба Используем 460 и 670, хорошие железки после DGS-3627. ) Случайно появилcя x620-16x и с ним возникла проблема с 1Gb оптическими линками: sh ports 3-4 Port Summary Monitor Tue Apr 3 10:57:44 2018 Port Display VLAN Name Port Link Speed Duplex # String (or # VLANs) State State Actual Actual ======================================================================= 3 E A 1000 FULL 4 E A 1000 FULL ##################################################################### sh ports 3-4 transceiver information Port Temp TxPower RxPower TxBiasCurrent Voltage-Aux1/ Voltage-Aux2 (Celsius) (dBm) (dBm) (mA) Vcc (Volts) (Volts) ================================================================================ 3 Transceiver is not present on this port 4 Transceiver is not present on this port ##################################################################### debug hal show optic-info port 3 Port 3 SFP or SFP+: SFP Signal: present TX Fault: no SFP/SFP+ Vendor: OEM SFP/SFP+ Part Number: SFP-CWDM-1490 SFP/SFP+ Serial Number: CWD800049002 SFP/SFP+ Manufacture Date: 091210 SFP/SFP+ Type: SFP/SFP+ Connector: LC GE Compliance: UNKNOWN (0x0) Wavelength: 1490 GBIC supports DDMI. MonitorType: 58 debug hal show optic-info port 4 Port 4 SFP or SFP+: SFP Signal: present TX Fault: no SFP/SFP+ Vendor: OEM SFP/SFP+ Part Number: SFPCWDM1.25G-37D SFP/SFP+ Serial Number: SBAS570008 SFP/SFP+ Manufacture Date: 111101 SFP/SFP+ Type: SFP/SFP+ Connector: LC GE Compliance: UNKNOWN (0x0) Wavelength: 1370 GBIC supports DDMI. MonitorType: 58 ################################################################### show version detail Switch : 800629-00-10 1644N-40763 Rev 10.0 BootROM: 1.0.1.8 IMG: 21.1.1.4 FPGA: 1.1.44.0 PLD1: 2.0.14.0 PLD2: 2.0.14.0 PSU-1 : Internal PSU-1 800515-00-05 1640E-40434 PSU-2 : Internal PSU-2 Image : ExtremeXOS version 21.1.1.4 21.1.1.4-patch1-5 by release-manager on Thu Jun 16 14:19:33 EDT 2016 BootROM : 1.0.1.8 Diagnostics : 5.4 Switch PCB Info: EVTBF16X2A1G Subsystem PCB Info: EVTBF16X2A1G ########################################################################### Пробовали обе, поведение одинаковое. Current State: OPERATIONAL Image Selected: primary Image Booted: primary Primary ver: 21.1.1.4 patch1-5 Secondary ver: 22.3.1.4 Порты поднимаются на X620-16X, но с другой стороны линка нет. Модули естественно исправны и в другом свитче всё работает корректно. Эти же модули в x670 работают нормально, есть мысли что и в 460 будет всё хорошо. Пробовали другие модули 1GB Нетлинк, одноглазики - проблема такая же. С 10G модулями проблем нет! Они работают. Проблема только с 1G модулями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergii Khoroshko Опубликовано 11 июня, 2018 · Жалоба Здравствуйте, люди добрые=)) Поделитесь пожалуйста EXOS 15.3.5.2-patch1-17 и EXOS 15.3.5.2-patch1-17-ssh. Нужно x450a-24t обновить. Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artom_12 Опубликовано 19 июня, 2018 · Жалоба появилась задача (для будущего планирования сети) агрегировать районные узлы с 1Г линий на 10Г линии, 48 портов много, если рассматривать "Коммутатор Extreme Summit X620-10x" в сравнении с "Коммутатор Extreme Summit X670-48x" (12К маков нам хватит) ктото ставил у себя? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 20 июня, 2018 · Жалоба X620 не для этих задач от слова совсем. Проблемы будут, и много. Это исключительно top-of-rack для подключения серверов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 20 июня, 2018 · Жалоба BD-8810 15.5.2.9 patch1-5 Отзеркаливается две 10ки на СОРМ, хочу убрать оттуда трафик от GGC. Но "Only VLAN and VLAN/port “filters” are currently implemented as filters." В какой версии софта появился (появился ли вообще) нужный мне функционал? Типа ACL для зеркалирования. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artom_12 Опубликовано 20 июня, 2018 · Жалоба ок, а вообще в Extreme есть что-то с кол-вом портов 12-24? SFP+? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 20 июня, 2018 · Жалоба 7 минут назад, Artom_12 сказал: ок, а вообще в Extreme есть что-то с кол-вом портов 12-24? SFP+? Конкретно на exos не осталось. Можно посмотреть в сторону того же huawei s6320, там есть моделька на 24 sfp+ / 2 qsfp (с mpls) по цене вдвое дешевле чистого x670-48x. Правда, после экстрима будет сильно не привычно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artom_12 Опубликовано 20 июня, 2018 · Жалоба вот именно этого и хотелось бы избежать :)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 21 июня, 2018 · Жалоба 22 часа назад, ThreeDHead сказал: BD-8810 15.5.2.9 patch1-5 Отзеркаливается две 10ки на СОРМ, хочу убрать оттуда трафик от GGC. Но "Only VLAN and VLAN/port “filters” are currently implemented as filters." В какой версии софта появился (появился ли вообще) нужный мне функционал? Типа ACL для зеркалирования. с 15.3 активно используем acl mirror на x670 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s2n Опубликовано 21 июня, 2018 · Жалоба Подтверждаю, работает нормально, но работает только на ingress и только с одним mirror instance. При большом кол-ве вланов, чтобы не писать километровую полиси, использую такой вариант, как миррорить весь трафик с нужным портов, а затем на destination порту фильтровать egress ACL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 21 июня, 2018 · Жалоба 3 часа назад, dmvy сказал: с 15.3 активно используем acl mirror на x670 Можно подробнее? Кусок конфига к примеру. 1 час назад, s2n сказал: Подтверждаю, работает нормально, но работает только на ingress и только с одним mirror instance. Порт-источник (порт А) миррорите наружу (через порт Б), заворачиваете его обратно (на порт В), его-то и миррорите на коллектор через порт (Г) На порту В делаете ingress ACL Правильно понял? Цитата При большом кол-ве вланов, чтобы не писать километровую полиси, использую такой вариант, как миррорить весь трафик с нужным портов, а затем на destination порту фильтровать egress ACL. Как? Вообще, тупо ACL на порт (destination) в сторону сенсора? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s2n Опубликовано 21 июня, 2018 · Жалоба 27 минут назад, ThreeDHead сказал: Правильно понял? Неправильно. entry v127udp53 { if match all { vlan-id 127 ; protocol udp ; destination-port 53 ; } then { mirror DPI ; } } entry v127tcp80 { if match all { vlan-id 127 ; protocol tcp ; destination-port 80 ; } then { mirror DPI ; } } и т.д. Такую ACL можно повесить только на ingress и использовать только 1 mirror (во всяком случае на x670) 27 минут назад, ThreeDHead сказал: Как? Вообще, тупо ACL на порт (destination) в сторону сенсора? Так точно. Если нужно зеркалировать 2-3 тыс. вланов, кроме десятка служебных (управление, мультикаст и т.п) - проще, чем писать правило на каждый влан. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 21 июня, 2018 · Жалоба @s2n , я так понимаю, что если я повешу правило на detstination-mirror-порт. После этого все action, mirror <mirror_name> будут разрешать миррорить трафик, а все что не попало в этот action, что с ним будет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 21 июня, 2018 · Жалоба entry 01_mirror { if match all { source-address 0.0.0.0/0; } then { mirror sorm2-1; } } policy to_sorm # configure access-list to_sorm ports 7:3 egress Error: ACL install operation failed - vlan *, port 7:3, rule "01_mirror", Feature unavailable Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s2n Опубликовано 21 июня, 2018 · Жалоба это я 2 разных варианта описал: 1. action mirror, он может быть только в ingress policy 2. зеркалировать весь трафик с source, а фильтровать на destination через action deny в egress policy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 21 июня, 2018 · Жалоба # sho policy to_sorm Policies at Policy Server: Policy: to_sorm entry 01_src_GGC { if match all { source-address X.Y.Z.0/26 ; } then { deny ; } } entry 02_dst_GGC { if match all { destination-address X.Y.Z.0/26 ; } then { deny ; } } entry 03_mirror { if match all { source-address 0.0.0.0/0 ; } then { permit ; } } Number of clients bound to policy: 1 Client: acl bound once configure access-list to_sorm ports 7:3 egress configure access-list to_sorm ports 7:4 egress Вроде объем трафика уменьшился, посчитать пока не могу, счетчики в правила вставлял, но они не отображаются при show access-list counters port 7:3-4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s2n Опубликовано 21 июня, 2018 · Жалоба Последнее правило не нужно, по-умолчанию разрешается (на x670, как на BD не помню надо смотреть мануал). Счетчики возможно надо еще где-то enable, и еще не забывать при изменениях refresh policy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 21 июня, 2018 · Жалоба 3 часа назад, s2n сказал: Последнее правило не нужно, по-умолчанию разрешается (на x670, как на BD не помню надо смотреть мануал). Счетчики возможно надо еще где-то enable, и еще не забывать при изменениях refresh policy Последнее правило у меня присутствует везде, чтобы было явное действие, и там как правило помещаются счетчики, чтобы знать что из правил реально работает. Никаких енейблов не надо, рефреш после модификации нужен, после чека полиси. В любом случае, большое спасибо за помощь! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 25 июня, 2018 · Жалоба можно делать это и на ветке 16.х.х, но в ней сделали переработку ACL с внедрением virtual slices, что позволяет быстрее производить операции модификации ACL, но нужно читать и впитывать мануал, как и именно работают ACL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 4 июля, 2018 · Жалоба Коллеги, а есть где-нибудь действующий сертификат соответствия на Summit X670-48x и X670G2-48x-4q? Вот этот прокис пару дней назад. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...