SoHm Опубликовано 15 марта, 2018 · Жалоба Есть Juniper SRX1400 JunOS 12.1X46-D35.1 Снимаю netflow v5. Одно время оно работало. Потом в какой-то момент перестало сливаться. Я не сразу заметил когда (чтобы можно было понять что повлияло) т.к. смотрю netflow редко. Конфигурация выглядит так: set forwarding-options sampling input rate 10 set forwarding-options sampling input run-length 0 set forwarding-options sampling family inet output flow-server 10.77.88.1 port 9999 set forwarding-options sampling family inet output flow-server 10.77.88.1 source-address 10.77.88.254 set forwarding-options sampling family inet output flow-server 10.77.88.1 version 5 set interfaces ae0 unit 88 vlan-id 88 set interfaces ae0 unit 88 family inet address 10.77.88.254/24 set interfaces ge-0/0/0 unit 0 family inet sampling input set interfaces ge-0/0/0 unit 0 family inet sampling output set interfaces ge-0/0/1 unit 0 family inet sampling input set interfaces ge-0/0/1 unit 0 family inet sampling output set interfaces ge-0/0/3 unit 0 family inet sampling input set interfaces ge-0/0/3 unit 0 family inet sampling output Трафик через все эти ge интерфейсы бегает. На сервере 10.77.88.1 tcpdump ничего не показывает: tcpdump -i eth0 -nn 'port 9999' tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes ^C 0 packets captured 0 packets received by filter 0 packets dropped by kernel Я пробовал всю конфигурацию, касающуюся flow удалить и заново вбить - не помогло. Конфигурация рабочая, я на лабе проверял - там netflow сливается. # run show chassis routing-engine Routing Engine status: Slot 0: Current state Master Election priority Master (default) DRAM 1023 MB Memory utilization 87 percent CPU utilization: User 2 percent Background 0 percent Kernel 4 percent Interrupt 1 percent Idle 94 percent Model RE-SRX1400 Start time 2015-08-27 00:11:39 GMT-3 Uptime 931 days, 11 hours, 19 minutes, 40 seconds Last reboot reason Router rebooted after a normal shutdown. Load averages: 1 minute 5 minute 15 minute 0.02 0.18 0.23 Что можно сделать и как починить? Уже не знаю куда копать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micho Опубликовано 16 марта, 2018 · Жалоба А кому позволено скачивать с сайта Juniper vMX и vSRX? Партнерам, особо крупным заказчикам или еще кому? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 16 марта, 2018 · Жалоба @micho vsrx скачивается даже с моим аккаунтом, который без контракта в данный момент. vmx - нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micho Опубликовано 16 марта, 2018 · Жалоба @vvertexx И правда, vSRX скачивает, а vMX нет. Интересно, это так задумано или косяк? И если косяк, то в чем, в том что vSRX дает скачать или в том что vMX не дает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sind Опубликовано 27 марта, 2018 · Жалоба Коллеги, Подскажите, пожалуйста. На QFX5100 кто то использует Selective Q-In-Q. Необходимо в зависимости от C-VLAN метить соответствующими S-VLAN, т.е. Multiple S-VLANs port-based selective QinQ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snar Опубликовано 29 марта, 2018 · Жалоба On 27.03.2018 at 10:28 AM, sind said: Коллеги, Подскажите, пожалуйста. На QFX5100 кто то использует Selective Q-In-Q. Необходимо в зависимости от C-VLAN метить соответствующими S-VLAN, т.е. Multiple S-VLANs port-based selective QinQ. Примерно так должно работать: клиентская сторона: flexible-vlan-tagging; native-vlan-id 1; encapsulation extended-vlan-bridge; unit 1497 { vlan-id-list 1-1497; input-vlan-map push; output-vlan-map pop; } unit 1498 { vlan-id-list 1498-2048; input-vlan-map push; output-vlan-map pop; } аплинковая сторона: flexible-vlan-tagging; mtu 9216; encapsulation flexible-ethernet-services; unit 0 { family ethernet-switching { interface-mode trunk; vlan { members all; } } } unit 1497 { encapsulation vlan-bridge; vlan-id 1497; } unit 1498 { encapsulation vlan-bridge; vlan-id 1498; } ну и, собственно, бридж между клиентской и аплинковой сторонами vlan NNN { interface ${client-facing}.1497; interface ${uplink-facing}.1497; } Важно: а) не забывать, что в vlan NNN ни в коем случае не должен быть указан vlan-id б) перед первым применением flexible-ethernet-services в сторону аплинка проверять в лабе (ну или на свободном интерфейсе) или оно действительно на этой версии JunOS и этом свитче работает (например, на 5110 в 15.1Xчто-то в результате применения этой команды аплинк просто падал нафиг. в 17.4R1 - работает). в) забыть про большую часть protocol-tunneling'ов (пропустить lacp/lldp/.. не получится, cdp/stp/vtp - только начиная с 17.4R1). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sind Опубликовано 30 марта, 2018 · Жалоба @snar Спасибо большое за ответ! Я протестировал у себя в лабе следующую схему и конфигурацию. Правда не с 5100, т.к. его нет в лабе. Scheme: [PC1 eth no tag] -> [ge-0/0/5 add single tag, EX3200, ge-0/0/23 trunk] -> [ge-0/0/38 vlan-map, QFX3500, ge-0/0/40] -> [ge-1/1/2 stacked-vlans, MX10] -> world root@QFX3500> show configuration interfaces ge-0/0/38 | display set set interfaces ge-0/0/38 description -=EX3200=- set interfaces ge-0/0/38 flexible-vlan-tagging set interfaces ge-0/0/38 encapsulation extended-vlan-bridge set interfaces ge-0/0/38 unit 3205 vlan-id-list 3205 set interfaces ge-0/0/38 unit 3205 input-vlan-map push set interfaces ge-0/0/38 unit 3205 input-vlan-map vlan-id 5 set interfaces ge-0/0/38 unit 3205 output-vlan-map pop set interfaces ge-0/0/38 unit 3210 vlan-id-list 3210 set interfaces ge-0/0/38 unit 3210 input-vlan-map push set interfaces ge-0/0/38 unit 3210 input-vlan-map vlan-id 10 set interfaces ge-0/0/38 unit 3210 output-vlan-map pop root@QFX3500> show configuration interfaces ge-0/0/40 | display set set interfaces ge-0/0/40 description -=MX=- set interfaces ge-0/0/40 flexible-vlan-tagging set interfaces ge-0/0/40 encapsulation extended-vlan-bridge set interfaces ge-0/0/40 unit 3205 vlan-id 5 set interfaces ge-0/0/40 unit 3210 vlan-id 10 root@QFX3500> show configuration vlans | display set set vlans Customer_L2VPN interface ge-0/0/38.3210 set vlans Customer_L2VPN interface ge-0/0/40.3210 set vlans DHCP_Subscribers_1 interface ge-0/0/38.3205 set vlans DHCP_Subscribers_1 interface ge-0/0/40.3205 root@MXdemo> show configuration interfaces ge-1/1/2 | display set set interfaces ge-1/1/2 description -=TEST-Segment-Sel_Q-In-Q=- set interfaces ge-1/1/2 stacked-vlan-tagging set interfaces ge-1/1/2 auto-configure stacked-vlan-ranges dynamic-profile VLAN-Q-IN-Q accept dhcp-v4 set interfaces ge-1/1/2 auto-configure stacked-vlan-ranges dynamic-profile VLAN-Q-IN-Q ranges any,any set interfaces ge-1/1/2 encapsulation flexible-ethernet-services set interfaces ge-1/1/2 unit 3210 vlan-tags outer 10 set interfaces ge-1/1/2 unit 3210 vlan-tags inner 3210 set interfaces ge-1/1/2 unit 3210 family inet address 100.100.100.1/24 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ktoto Опубликовано 22 мая, 2018 · Жалоба On 29.03.2018 at 6:10 PM, snar said: Важно: а) не забывать, что в vlan NNN ни в коем случае не должен быть указан vlan-id б) перед первым применением flexible-ethernet-services в сторону аплинка проверять в лабе (ну или на свободном интерфейсе) или оно действительно на этой версии JunOS и этом свитче работает (например, на 5110 в 15.1Xчто-то в результате применения этой команды аплинк просто падал нафиг. в 17.4R1 - работает). в) забыть про большую часть protocol-tunneling'ов (пропустить lacp/lldp/.. не получится, cdp/stp/vtp - только начиная с 17.4R1). Еще есть трабл, с тем, что если создать на коммутаторе vlan из диапазона, что мы в q-in-q уже упаковали, q-in-q превращается в тыкву. По крайней мере так себя ведет QFX5100 с рекомендованным Junos 14.1X53-D46 софтом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snar Опубликовано 1 июня, 2018 · Жалоба On 23.05.2018 at 2:25 AM, ktoto said: Еще есть трабл, с тем, что если создать на коммутаторе vlan из диапазона, что мы в q-in-q уже упаковали, q-in-q превращается в тыкву. По крайней мере так себя ведет QFX5100 с рекомендованным Junos 14.1X53-D46 софтом. 14.1X53-D46.7, на одном из портов в QinQ пакуются все vlan'ы (вообще все): flexible-vlan-tagging; native-vlan-id 1; mtu 9216; encapsulation extended-vlan-bridge; unit 0 { vlan-id-list 1-4094; input-vlan-map { push; vlan-id 734; } output-vlan-map pop; } вполне работает. При этом на свитче, разумеется, ещё пара сотен vlan'ов есть. Или имелся в виду какой-то другой конфиг ? Или я не понял, что именно не работает ? PS: не, если на свитче дополнительно к QinQ vlan'у, создать ещё и vlan с vlan-id 734 и разрешить его на аплинке (например, имплицитно, vlan members all) - да, тут может получиться тыква, но это всё-таки из разряда "сам себе злобный буратина". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 1 июня, 2018 · Жалоба В 23.05.2018 в 02:25, ktoto сказал: Еще есть трабл, с тем, что если создать на коммутаторе vlan из диапазона, что мы в q-in-q уже упаковали, q-in-q превращается в тыкву. По крайней мере так себя ведет QFX5100 с рекомендованным Junos 14.1X53-D46 софтом. Каким образом у вас qinq влан создан? он имеет явный vlan-id в иерархии vlans? добавляете еще через vlans <vlan> interface xe-0/0/x.<unit> и на клиентский порт и на аплинк отдельным юнитом или иначе как? 7 часов назад, snar сказал: 14.1X53-D46.7, на одном из портов в QinQ пакуются все vlan'ы (вообще все): flexible-vlan-tagging; native-vlan-id 1; mtu 9216; encapsulation extended-vlan-bridge; unit 0 { vlan-id-list 1-4094; input-vlan-map { push; vlan-id 734; } output-vlan-map pop; } вполне работает. При этом на свитче, разумеется, ещё пара сотен vlan'ов есть. Или имелся в виду какой-то другой конфиг ? Или я не понял, что именно не работает ? PS: не, если на свитче дополнительно к QinQ vlan'у, создать ещё и vlan с vlan-id 734 и разрешить его на аплинке (например, имплицитно, vlan members all) - да, тут может получиться тыква, но это всё-таки из разряда "сам себе злобный буратина". Аналогичный вопрос: у влана, привязанного к этому IFL, явно прописан vlan-id? как сам влан на qinq интферфейс и на аплинк привязан? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snar Опубликовано 3 июня, 2018 · Жалоба On 02.06.2018 at 12:51 AM, Mystray said: Аналогичный вопрос: у влана, привязанного к этому IFL, явно прописан vlan-id? как сам влан на qinq интферфейс и на аплинк привязан? Мой конфиг чуть выше по триду приведён (ответ от 29 марта). IFL'ей создаётся два, один в сторону downstream с vlan push/pop (собственно QinQ), один в сторону uplink с указанием vlan-id на ifl. Описание vlan'а на уровне set vlan ... содержит только IFL'и, но ни в коем случае не vlan-id. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 3 июня, 2018 · Жалоба 1 час назад, snar сказал: Мой конфиг чуть выше по триду приведён (ответ от 29 марта). IFL'ей создаётся два, один в сторону downstream с vlan push/pop (собственно QinQ), один в сторону uplink с указанием vlan-id на ifl. Описание vlan'а на уровне set vlan ... содержит только IFL'и, но ни в коем случае не vlan-id. Ясно, спасибо. Смутили изменения в 14.1X53-D40: Цитата Support for IRB interfaces on Q-in-Q VLANs (QFX5100 switches and QFX5100 Virtual Chassis)—Starting with Junos OS Release 14.1X53-D40, integrated routing and bridging (IRB) interfaces are supported on Q-in-Q VLANs—you can configure the IRB interface on the same interface as one used by an S-VLAN, and you can use the same VLAN ID for both the VLAN used by the IRB interface and for the VLAN used as an S-VLAN. Надеялся, что разрешили qinq вланам быть номерными, но похоже вместо этого разрешили l3-interface на неномерных, завтра смогу проверить все предположения на D47. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
factor Опубликовано 15 августа, 2018 · Жалоба Добрый день, кто-то запускал netflow на qfx3500 ? Что-то как не настраивай, ничего не шлёт... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
psih Опубликовано 17 сентября, 2018 · Жалоба Ребят привет. Скажите реальную производительность srx650. Имеем uplink где то в 1.8 Гб/сек. На устройстве поднят NAT и BGP с вышестоящим оператором по default route+22к префиксов. Проблема в том, что CPU PFE грузится как собака бешенная, но в процессах нет ничего, что могло его грузить. Грузится вместе с увеличением трафика. На 1.7 Гб/с проц может доходить до 99%, что естественно ни в какие ворота не входит. Идей почему это происходит нет, перепробовали все на что ума хватало Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 17 сентября, 2018 · Жалоба Кмк похоже что уперлись в потолок трансляций. Количество сессий для него заявлено 512к. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
psih Опубликовано 18 сентября, 2018 · Жалоба Если посмотреть на графики(нижний левый) там показано красной линией текущее кол-во сессий и оно не превышало за все время 250к. Так что это не сессии Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 19 сентября, 2018 (изменено) · Жалоба В 18.09.2018 в 08:31, psih сказал: Если посмотреть на графики(нижний левый) там показано красной линией текущее кол-во сессий и оно не превышало за все время 250к. Так что это не сессии сори, я чето значение MAX перепутал с фактическими А что по фаерволу? Без конфига оч тяжело гадать. Изменено 19 сентября, 2018 пользователем GrandPr1de Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 19 сентября, 2018 · Жалоба On 9/17/2018 at 7:49 PM, psih said: Ребят привет. Скажите реальную производительность srx650. Имеем uplink где то в 1.8 Гб/сек. На устройстве поднят NAT и BGP с вышестоящим оператором по default route+22к префиксов. Проблема в том, что CPU PFE грузится как собака бешенная, но в процессах нет ничего, что могло его грузить. Грузится вместе с увеличением трафика. На 1.7 Гб/с проц может доходить до 99%, что естественно ни в какие ворота не входит. Идей почему это происходит нет, перепробовали все на что ума хватало Ну в таких вопросах вам либо в jtac, либо есл инет саппорта , подбирать софт. Вероятнее всего словили что-нить, но без доступа к железу,логам,и прочее этого не понять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 15 ноября, 2018 · Жалоба Коллеги вопрос. Есть обычный ae1 в транке, между двумя qfx, которые в свою очередь в стеке. прописаны вланы и все работает. Понадобилось пустить эти вланы в другом линке - ae2, собственно что сделано, на стороне А продублировали настройки ae, на стороне Б на ae1 удалили вле вланы, оставив один (заглушка), на ae2 добавили эти вланы. Применили все одним коммитом и все работает, кроме мультикаста от сырцов, который просто идет со стримеров во влане. Пока не вернули этот влан в старый ae1 - мультик не лился. QFX-5110-48s 17.4R1.16 Старый ae1 выключался вообще, сырцы не появилялись show route protocol pim terse было только то, что приходило не со стороны ae1/ae2, был правда одна группа, маршрут до которой пришел уже по L3 и канал работал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 19 ноября, 2018 · Жалоба В 15.11.2018 в 12:55, iValera сказал: Коллеги вопрос. Есть обычный ae1 в транке, между двумя qfx, которые в свою очередь в стеке. прописаны вланы и все работает. Понадобилось пустить эти вланы в другом линке - ae2, собственно что сделано, на стороне А продублировали настройки ae, на стороне Б на ae1 удалили вле вланы, оставив один (заглушка), на ae2 добавили эти вланы. Применили все одним коммитом и все работает, кроме мультикаста от сырцов, который просто идет со стримеров во влане. Пока не вернули этот влан в старый ae1 - мультик не лился. QFX-5110-48s 17.4R1.16 Старый ae1 выключался вообще, сырцы не появилялись show route protocol pim terse было только то, что приходило не со стороны ae1/ae2, был правда одна группа, маршрут до которой пришел уже по L3 и канал работал. Если кому интересно, требовалось удалить полностью влан, поудалять с интерфейсов и затем создать заново. По рекомендации от jtac. Обычно ожиждаешь подобного на старых длинках, у которых аптайм по 2000 дней, но не на новом джуне..или я чего-то об этом новом для меня вендоре еще не знаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 18 января, 2019 · Жалоба Ох уж этот жунипер... Никто не сталкивался со след кейсом? QFX5110 добавляю в существующий LAG 1 или 2 порта (значение не имеет), порт в лаге виден все ок, трафик бегает, но есть проблема с мультикастом. Дизайн таков, что сначала в этом лаге бегут сырцы в сторону RP, а потом в этом же лаге возвращаются обратно уже по pim в другом влане. Так вот в новых портах лага трафик ходит только в одну сторону, в сторону RP, а по pim уже 0 kpps. В связи с этим наблюдаем потерю части мультикаст групп. Выключаешь эти новые 1 или 2 порта и всё нормализуется. 17.4R1.16 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 19 января, 2019 · Жалоба 17 hours ago, iValera said: Ох уж этот жунипер... Никто не сталкивался со след кейсом? QFX5110 добавляю в существующий LAG 1 или 2 порта (значение не имеет), порт в лаге виден все ок, трафик бегает, но есть проблема с мультикастом. Дизайн таков, что сначала в этом лаге бегут сырцы в сторону RP, а потом в этом же лаге возвращаются обратно уже по pim в другом влане. Так вот в новых портах лага трафик ходит только в одну сторону, в сторону RP, а по pim уже 0 kpps. В связи с этим наблюдаем потерю части мультикаст групп. Выключаешь эти новые 1 или 2 порта и всё нормализуется. 17.4R1.16 Откройте кейс в jtac, сделайте дооброе всем тем кто еще не столкнулся с вашим кейсом. Или так и будете сидеть плакать по форумам и перебирать софт в надежде, что кто-то поймал подобный кейс и его пофиксили ? P.S. А все из-за банального нежелания платить за саппорт, но виноват во всем конечно вендор :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 19 января, 2019 · Жалоба 6 часов назад, orlik сказал: Откройте кейс в jtac, сделайте дооброе всем тем кто еще не столкнулся с вашим кейсом. Или так и будете сидеть плакать по форумам и перебирать софт в надежде, что кто-то поймал подобный кейс и его пофиксили ? P.S. А все из-за банального нежелания платить за саппорт, но виноват во всем конечно вендор :) Так и будете сидеть - это вы про кого? Тут мои последние 2 сообщения с багами, по первому я отписался по результату, где написал что рекомендация от jtac, по последнему тикет тоже создан и ожидает пока бангалоровцы соизволят вникнуть, обычно на это уходит 2-3 дня. ps: а все из-за банального нежелания писать по делу, неужели вам телеграмма нехватает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 19 января, 2019 · Жалоба 12 minutes ago, iValera said: Так и будете сидеть - это вы про кого? Тут мои последние 2 сообщения с багами, по первому я отписался по результату, где написал что рекомендация от jtac, по последнему тикет тоже создан и ожидает пока бангалоровцы соизволят вникнуть, обычно на это уходит 2-3 дня. ps: а все из-за банального нежелания писать по делу, неужели вам телеграмма нехватает. На кой тогда писать тут подобное, неужели думаете много кто подобные схему использует ? P.S. еще меньше смысла в первой вашей фразе . P.P.S. вы хотите ограничить меня в свободах и контролировать где и что мне можно писать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 19 января, 2019 · Жалоба 8 минут назад, orlik сказал: На кой тогда писать тут подобное, неужели думаете много кто подобные схему использует ? P.S. еще меньше смысла в первой вашей фразе . P.P.S. вы хотите ограничить меня в свободах и контролировать где и что мне можно писать ? если схемы обобщить, то становится понятно что явно есть баги с мультикастом в VC с использованием LAG. Оба топика перекликаются. ps: ограничивать не хочу, но хотелось бы рекомендовать писать по делу, а флудить продолжайте в телеграме :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...