micho Опубликовано 6 июня, 2017 · Жалоба Как удалить ssh- ключи хранящиеся в /var/home/mts/.ssh/known_hosts без обращения к системным командам вроде start shell или system request? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 6 июня, 2017 · Жалоба Можно файл целиком удалить, file delete /var/home/mts/.ssh/known_hosts Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 15 июня, 2017 · Жалоба Коллеги, а кто-нибудь поднимал OSPF между Quagga и JunOS? Конфиг Quagga: interface vlan16 ip ospf network point-to-point ! router ospf network 192.168.1.0/30 area 0.0.0.0 neighbor 192.168.1.2 ! На JunOS: area 0.0.0.0 { interface lo0.0 { interface-type p2p; passive; } interface ae1.15 { interface-type p2p; metric 10; neighbor 192.168.1.1; } Проблем в том, что соседство не устанавливается, т.к. Quagga шлёт Mask 0.0.0.0, а Junos - 255.255.255.252. Это можно как-то обойти, или придётся использовать broadcast? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 15 июня, 2017 · Жалоба neighbor 192.168.1.2 neighbor 192.168.1.1; Соседей обычно указывают на NBMA интерфейсах вместе с указанием соответствующего network-type (и тогда пакеты OSPF посылаются юникастом). На обычных P2P линках соседей указывать по адресам не надо. Возможно поэтому Quagga шлет такую маску сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 15 июня, 2017 · Жалоба v_r нет, не помогает. Пробовал и с neighbor и без. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 17 июня, 2017 · Жалоба Вопрос больше в сторону Quagga, поведение у J согласно стандарту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 20 июня, 2017 · Жалоба Сегодня прилетел из мира такой вот апдейт: BGP routing table entry for 186.177.130.0/24 Paths: (1 available, best #1, table Default-IP-Routing-Table) ... 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 262197 Last update: Tue Jun 20 09:15:55 2017 Квагги на бордерах молча прожевали и передали дальше, но вот судя по количеству отвалившихся сессий, то ли квагги апдейт сломали, то ли джуны не могут такое проглотить, все джуны в сети повываливались с такой руганью: Jun 20 09:26:34 rr2 rpd[4367]: %DAEMON-3: BGP ERROR: Insufficient data for the packet Jun 20 09:26:34 rr2 rpd[4367]: %DAEMON-4: bgp_read_v4_update:12184: NOTIFICATION sent to 10.0.0.1 (Internal AS 64515): code 3 (Update Message Error) subcode 1 (invalid attribute list) Jun 20 09:26:34 rr2 rpd[4367]: %DAEMON-3: Received malformed update from 10.0.0.1 (Internal AS 64515) Jun 20 09:26:34 rr2 rpd[4367]: %DAEMON-3: Family inet-unicast, prefix 186.177.130.0/24 Jun 20 09:26:34 rr2 rpd[4367]: %DAEMON-3: Malformed Attribute AS_PATH(2) flag 0x40 length 3298. Jun 20 09:26:34 rr2 rpd[4367]: %DAEMON-4-RPD_BGP_NEIGHBOR_STATE_CHANGED: BGP peer 10.0.0.1 (Internal AS 64515) changed state from Established to Idle (event RecvUpdate) (instance master) Некоторая часть клиентских сессий тоже, хотя не уверен, что у клиентов именно джуны. Кто-то еще столкнулся? Как такое возможно предотвратить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 20 июня, 2017 · Жалоба регулярками ограничивать длину аспас Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 20 июня, 2017 · Жалоба регулярками ограничивать длину аспас Есть подозрение, что не поможет, т.к.: BGP ERROR: Insufficient data for the packet P.S.: У себя такой проблемы не наблюдал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 22 июня, 2017 · Жалоба Сегодня прилетел из мира такой вот апдейт: BGP routing table entry for 186.177.130.0/24 Paths: (1 available, best #1, table Default-IP-Routing-Table) ... 262197 262197 262197 262197 262197 262197 262197 262197 Last update: Tue Jun 20 09:15:55 2017 Квагги на бордерах молча прожевали и передали дальше, но вот судя по количеству отвалившихся сессий, то ли квагги апдейт сломали, то ли джуны не могут такое проглотить, все джуны в сети повываливались с такой руганью: Jun 20 09:26:34 rr2 rpd[4367]: %DAEMON-3: BGP ERROR: Insufficient data for the packet Jun 20 09:26:34 rr2 rpd[4367]: %DAEMON-4: bgp_read_v4_update:12184: NOTIFICATION sent to 10.0.0.1 (Internal AS 64515): code 3 (Update Message Error) subcode 1 (invalid attribute list) Jun 20 09:26:34 rr2 rpd[4367]: %DAEMON-3: Received malformed update from 10.0.0.1 (Internal AS 64515) Jun 20 09:26:34 rr2 rpd[4367]: %DAEMON-3: Family inet-unicast, prefix 186.177.130.0/24 Jun 20 09:26:34 rr2 rpd[4367]: %DAEMON-3: Malformed Attribute AS_PATH(2) flag 0x40 length 3298. Jun 20 09:26:34 rr2 rpd[4367]: %DAEMON-4-RPD_BGP_NEIGHBOR_STATE_CHANGED: BGP peer 10.0.0.1 (Internal AS 64515) changed state from Established to Idle (event RecvUpdate) (instance master) Некоторая часть клиентских сессий тоже, хотя не уверен, что у клиентов именно джуны. Кто-то еще столкнулся? Как такое возможно предотвратить? софт какой ? у нас таких проблем небыло От какого оператора прилетел апдейт ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 22 июня, 2017 · Жалоба софт какой ? у нас таких проблем небыло От какого оператора прилетел апдейт ? 16.1R4.7 пострадал на разных платформах (olive, mx80), железки с 14.1 и 13 не зацепило, видимо дело конкретно в 16 версии. До нас долетело по такой цепочке: "28917 174 12956 262206 262206 262197 262197 262197 262197 262197 262197 262197 ...", на bgplay это веселье запислось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 23 июня, 2017 · Жалоба Странно, на 16.1r4-s2 тоже нсть, но там все было нормально Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 5 июля, 2017 · Жалоба А скрытый раздел по джуну еще есть? Сегодня написал на juniper@nag.ru вопрос, как туда попасть - и тишина в ответ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 5 июля, 2017 · Жалоба martin74 жди, отвечают не сразу. Раздел есть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 7 июля, 2017 · Жалоба А вообще отвечают? ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 10 августа, 2017 · Жалоба Коллеги, а кто-нибудь делал SPAN на MX? Возникла проблема - на зеркале вижу только ingress трафик. Настраиваю так: show forwarding-options analyzer MIRROR-UPLINK { input { ingress { interface ae1.15; interface xe-2/0/0.16; } egress { interface ae1.15; interface xe-2/0/0.16; } } output { interface xe-2/0/1.0; } } show interfaces xe-2/0/1 description MIRROR; disable; mtu 9192; encapsulation ethernet-bridge; unit 0; show bridge-domains MIRROR { interface xe-2/0/1.0; } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 1 ноября, 2017 (изменено) · Жалоба Коллеги приветствую. А кто-нибудь использует MS-MIC для ната? Пытаюсь настроить, но что-то не получается. Сейчас конфигурация выглядит так:show chassis fpc 1 pic 0 { inline-services { bandwidth 10g; } adaptive-services { service-package layer-3; } } show interfaces ms-1/0/0 unit 10 { family inet; service-domain inside; } unit 20 { family inet; service-domain outside; } show services nat pool NAT { address 1.1.1.0/24; port { automatic { random-allocation; } secured-port-block-allocation block-size 1024 max-blocks-per-address 4 active-block-timeout 300; } address-allocation round-robin; } rule NAT-1 { match-direction input; term t1 { from { source-address { 10.228.8.0/22; } } then { translated { source-pool NAT; translation-type { napt-44; } address-pooling paired; } } } } show firewall family inet filter NAT interface-specific; term 10 { from { source-address { 10.228.8.0/22; } destination-address { 10.228.0.0/16; } } then accept; } term 100 { from { source-address { 10.228.8.0/22; } } then { routing-instance NAT; } } term 200 { then accept; } show dynamic-profiles NAT interfaces { "$junos-interface-ifd-name" { unit "$junos-underlying-interface-unit" { family inet { filter { input NAT precedence 100; } } } } } show routing-instances NAT instance-type virtual-router; interface ms-1/0/0.10; routing-options { static { route 0.0.0.0/0 next-hop ms-1/0/0.10; route 10.228.8.0/24 next-table inet.0; } } Абонент с профилем NAT: run show subscribers Interface IP Address/VLAN ID User Name LS:RI demux0.3221225496 1000 default:default demux0.3221225496 10.228.10.254 ge-0/0/1:1000&000403E80018&010B7465737473776974636832 default:default Service Session ID: 12 Service Session Name: NAT Service Session Version: 1 State: Active Family: inet IPv4 Input Filter Name: NAT-demux0.3221225478-in Service Activation time: 2017-11-01 17:53:05 EET Со всеми этими настройками нат не случается. Точнее так . Нат происходит. На бордере при пинге 8.8.8.8 есть пакет исходящий из пула 1.1.1.0/24 на 8.8.8.8. От 8.8.8.8 есть ответ, а до клиента он не доходит. Проблема решена. Ошибся в маске в routing-instance. Изменено 1 ноября, 2017 пользователем purecopper Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 3 ноября, 2017 · Жалоба В 10.08.2017 в 16:59, purecopper сказал: Коллеги, а кто-нибудь делал SPAN на MX? Возникла проблема - на зеркале вижу только ingress трафик. Настраиваю так: show forwarding-options analyzer MIRROR-UPLINK { input { ingress { interface ae1.15; interface xe-2/0/0.16; } egress { interface ae1.15; interface xe-2/0/0.16; } } output { interface xe-2/0/1.0; } } show interfaces xe-2/0/1 description MIRROR; disable; mtu 9192; encapsulation ethernet-bridge; unit 0; show bridge-domains MIRROR { interface xe-2/0/1.0; } Удалось завести зеркало? Я тут тоже спрашивал и еще недавно на хабре описывали подробно https://habrahabr.ru/post/336978/ Но я больше не пробовал, зеркалю на EX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 7 ноября, 2017 · Жалоба hsvt Приветствую. Сделал fake ip + static arp. Всё работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mmajorov Опубликовано 15 ноября, 2017 · Жалоба Сразу хочу оговориться. С Джуниперами дел не имел. Но приглянулась мне железка - QFX5100-48S Задача: Подбираю коммутатор для узлов агрегации/ядра. В ближайших планах отказ от QinQ и классического etherneta (RSTP/MSTP) и переход IP. С последующим внедрением MPLS или VXLAN. В документации на коммутатор куча всего описано. Этот прекрасный коммутатор без QFX-JSL-EDGE-ADV1 (QFX Series advanced feature license for Border Gateway Protocol (BGP), Intermediate System-to-Intermediate System (IS-IS), Multi-protocol Label Switching (MPLS), and Virtual Extensible Local Area Network (VXLAN), and Open vSwitch Database (OVSDB)) не умеет многого. Расскажите, кто сталкивался, как эти лицензии работают и к чему привязываются? Срок действия? Как активировать? Как оно привязываться к железу? Можно ли поменять железку? Ну и попутно как у них с обновлениями софта если брать с вторичного рынка? Мутно или нет? Ну и если есть по теме задачи рекомендации по железу, буду рад услышать ваше мнение.... Я еще посматриваю в сторону HPE 5920AF-24XG Switch (JG296A) - написано красиво и цена ощутимо дешевле..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 15 ноября, 2017 · Жалоба 4 часа назад, mmajorov сказал: Сразу хочу оговориться. С Джуниперами дел не имел. Но приглянулась мне железка - QFX5100-48S Задача: Подбираю коммутатор для узлов агрегации/ядра. В ближайших планах отказ от QinQ и классического etherneta (RSTP/MSTP) и переход IP. С последующим внедрением MPLS или VXLAN. В документации на коммутатор куча всего описано. Этот прекрасный коммутатор без QFX-JSL-EDGE-ADV1 (QFX Series advanced feature license for Border Gateway Protocol (BGP), Intermediate System-to-Intermediate System (IS-IS), Multi-protocol Label Switching (MPLS), and Virtual Extensible Local Area Network (VXLAN), and Open vSwitch Database (OVSDB)) не умеет многого. Расскажите, кто сталкивался, как эти лицензии работают и к чему привязываются? Срок действия? Как активировать? Как оно привязываться к железу? Можно ли поменять железку? Ну и попутно как у них с обновлениями софта если брать с вторичного рынка? Мутно или нет? Ну и если есть по теме задачи рекомендации по железу, буду рад услышать ваше мнение.... Я еще посматриваю в сторону HPE 5920AF-24XG Switch (JG296A) - написано красиво и цена ощутимо дешевле..... У 5100 лицензии RTU: ругается, но едет. С VXLAN и MPLS все неоднозначно. То завезут фич, то сломают базовый функционал. Надо брать на тест пару-тройку железок, вкатывать предполагаемый конфиг, крутить да тестить нужные фичи. VPLS в любом проявлении нет и не будет. EVPN/VXLAN со своими камнями (типа того, что на одном порту не может быть "обычных" вланов и vxlan). Если найдете человека с доступом к разделу скачивания на сайте или найдете нужную версию на торрентах - проблем с обновлением не будет. С QinQ тоже не все так просто, как и с *STP: то сломают, то починят, то что-то новое завезут, то наткнетесь на странности логики(типа того, что qinq access может быть только на не-номерном vlan, хотя вроде бы в последних релизах на эту тему что-то крутили). В целом по логике оно больше напоминает очень странный роутер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 15 ноября, 2017 · Жалоба QFX5100 построен на чипсете Trident2, на нем же построены Nexus 3132, Force10 S6000 и тому подобные свитчи. Trident 2 в свою очередь - усовершенствованный Trident+ на котором построены QFX3500, Nexus 3064, Force10 S4810. Чудес от железа ждать не стоит, буферы сравнительно с маршрутизаторами очень маленькие, количество маршрутов ограничено, свитчи больше подходят для коммутации/маршрутизации трафика на больших скоростях чем для высокотехнологичных фич. Хотя JunOS по многим фичам обгоняет Nexus и тем более Force10 (насколько знаю на Нексусах 3000 серий поддержка MPLS очень базовая), многие ограничение типа количества MPLS меток вытекают из ограничений чипсета. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mmajorov Опубликовано 16 ноября, 2017 (изменено) · Жалоба А если сравнивать EX4600 и QFX5100? Они довольно похожи.... Правда ценник EX4600 повыше точно.... Может это не в эту тему, но есть еще HPE 5920AF-24XG Switch (JG296A)..... Изменено 16 ноября, 2017 пользователем mmajorov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 16 ноября, 2017 · Жалоба 1 час назад, mmajorov сказал: А если сравнивать EX4600 и QFX5100? железо одинаковое , софт немного отличается Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fiber2k Опубликовано 27 ноября, 2017 · Жалоба В 16.11.2017 в 09:32, mmajorov сказал: А если сравнивать EX4600 и QFX5100? Они довольно похожи.... Правда ценник EX4600 повыше точно.... Может это не в эту тему, но есть еще HPE 5920AF-24XG Switch (JG296A)..... Может стоит посмотреть в сторону ACX5048, там фич MPLS побольше Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...