Jump to content
Калькуляторы

Оборудование Juniper Network. Отзывы, реальная производительность. Особенности, плюсы, минусы

Есть Juniper SRX1400
JunOS 12.1X46-D35.1

 

Снимаю netflow v5.
Одно время оно работало.
Потом в какой-то момент перестало сливаться. Я не сразу заметил когда (чтобы можно было понять что повлияло) т.к. смотрю netflow редко.

Конфигурация выглядит так:

set forwarding-options sampling input rate 10
set forwarding-options sampling input run-length 0
set forwarding-options sampling family inet output flow-server 10.77.88.1 port 9999
set forwarding-options sampling family inet output flow-server 10.77.88.1 source-address 10.77.88.254
set forwarding-options sampling family inet output flow-server 10.77.88.1 version 5

set interfaces ae0 unit 88 vlan-id 88
set interfaces ae0 unit 88 family inet address 10.77.88.254/24

set interfaces ge-0/0/0 unit 0 family inet sampling input
set interfaces ge-0/0/0 unit 0 family inet sampling output
set interfaces ge-0/0/1 unit 0 family inet sampling input
set interfaces ge-0/0/1 unit 0 family inet sampling output
set interfaces ge-0/0/3 unit 0 family inet sampling input
set interfaces ge-0/0/3 unit 0 family inet sampling output

Трафик через все эти ge интерфейсы бегает.

На сервере 10.77.88.1 tcpdump ничего не показывает:

tcpdump -i eth0 -nn 'port 9999'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel

Я пробовал всю конфигурацию, касающуюся flow удалить и заново вбить - не помогло.
Конфигурация рабочая, я на лабе проверял - там netflow сливается.

# run show chassis routing-engine
Routing Engine status:
  Slot 0:
    Current state                  Master
    Election priority              Master (default)
    DRAM                      1023 MB
    Memory utilization          87 percent
    CPU utilization:
      User                       2 percent
      Background                 0 percent
      Kernel                     4 percent
      Interrupt                  1 percent
      Idle                      94 percent
    Model                          RE-SRX1400
    Start time                     2015-08-27 00:11:39 GMT-3
    Uptime                         931 days, 11 hours, 19 minutes, 40 seconds
    Last reboot reason             Router rebooted after a normal shutdown.
    Load averages:                 1 minute   5 minute  15 minute
                                       0.02       0.18       0.23

                                     
Что можно сделать и как починить? Уже не знаю куда копать.

Share this post


Link to post
Share on other sites

А кому позволено скачивать с сайта Juniper vMX и vSRX? Партнерам, особо крупным заказчикам или еще кому?

Share this post


Link to post
Share on other sites

@micho 

vsrx скачивается даже с моим аккаунтом, который без контракта в данный момент. vmx - нет

Share this post


Link to post
Share on other sites

@vvertexx 

И правда, vSRX скачивает, а vMX нет. Интересно, это так задумано или косяк? И если косяк, то в чем, в том что vSRX дает скачать или в том что vMX не дает?

Share this post


Link to post
Share on other sites

Коллеги, 

Подскажите, пожалуйста. На QFX5100 кто то использует Selective Q-In-Q.

Необходимо в зависимости от C-VLAN метить соответствующими S-VLAN, т.е. Multiple S-VLANs port-based selective QinQ.

Share this post


Link to post
Share on other sites
On 27.03.2018 at 10:28 AM, sind said:

Коллеги, 

Подскажите, пожалуйста. На QFX5100 кто то использует Selective Q-In-Q.

Необходимо в зависимости от C-VLAN метить соответствующими S-VLAN, т.е. Multiple S-VLANs port-based selective QinQ.

Примерно так должно работать:

 

клиентская сторона:

 

flexible-vlan-tagging;
native-vlan-id 1;
encapsulation extended-vlan-bridge;
unit 1497 {
    vlan-id-list 1-1497;
    input-vlan-map push;
    output-vlan-map pop;
}
unit 1498 {
    vlan-id-list 1498-2048;
    input-vlan-map push;
    output-vlan-map pop;
}

 

аплинковая сторона:

 

flexible-vlan-tagging;
mtu 9216;
encapsulation flexible-ethernet-services;
unit 0 {
    family ethernet-switching {
        interface-mode trunk;
        vlan {
            members all;
        }
    }
}
unit 1497 {
    encapsulation vlan-bridge;
    vlan-id 1497;                       
}                                       
unit 1498 {
    encapsulation vlan-bridge;
    vlan-id 1498;
}

ну и, собственно, бридж между клиентской и аплинковой сторонами

 

vlan NNN {
  interface ${client-facing}.1497;
  interface ${uplink-facing}.1497;
}

 

Важно:

а) не забывать, что в vlan NNN ни в коем случае не должен быть указан vlan-id

б) перед первым применением flexible-ethernet-services в сторону аплинка проверять в лабе (ну или на свободном интерфейсе)

или оно действительно на этой версии JunOS и этом свитче работает (например, на 5110 в 15.1Xчто-то в результате применения

этой команды аплинк просто падал нафиг. в 17.4R1 - работает).

в) забыть про большую часть protocol-tunneling'ов (пропустить lacp/lldp/.. не получится, cdp/stp/vtp - только начиная с 17.4R1).

 

Share this post


Link to post
Share on other sites

@snar Спасибо большое за ответ!

 

Я протестировал у себя в лабе следующую схему и конфигурацию. Правда не с 5100, т.к. его нет в лабе.

 

Scheme: [PC1 eth no tag] -> [ge-0/0/5 add single tag, EX3200, ge-0/0/23 trunk] -> [ge-0/0/38 vlan-map, QFX3500, ge-0/0/40] -> [ge-1/1/2 stacked-vlans, MX10] -> world

 

root@QFX3500> show configuration interfaces ge-0/0/38 | display set 
set interfaces ge-0/0/38 description -=EX3200=-
set interfaces ge-0/0/38 flexible-vlan-tagging
set interfaces ge-0/0/38 encapsulation extended-vlan-bridge
set interfaces ge-0/0/38 unit 3205 vlan-id-list 3205
set interfaces ge-0/0/38 unit 3205 input-vlan-map push
set interfaces ge-0/0/38 unit 3205 input-vlan-map vlan-id 5
set interfaces ge-0/0/38 unit 3205 output-vlan-map pop
set interfaces ge-0/0/38 unit 3210 vlan-id-list 3210
set interfaces ge-0/0/38 unit 3210 input-vlan-map push
set interfaces ge-0/0/38 unit 3210 input-vlan-map vlan-id 10
set interfaces ge-0/0/38 unit 3210 output-vlan-map pop

root@QFX3500> show configuration interfaces ge-0/0/40 | display set        
set interfaces ge-0/0/40 description -=MX=-
set interfaces ge-0/0/40 flexible-vlan-tagging
set interfaces ge-0/0/40 encapsulation extended-vlan-bridge
set interfaces ge-0/0/40 unit 3205 vlan-id 5
set interfaces ge-0/0/40 unit 3210 vlan-id 10

root@QFX3500> show configuration vlans | display set 
set vlans Customer_L2VPN interface ge-0/0/38.3210
set vlans Customer_L2VPN interface ge-0/0/40.3210
set vlans DHCP_Subscribers_1 interface ge-0/0/38.3205
set vlans DHCP_Subscribers_1 interface ge-0/0/40.3205

root@MXdemo> show configuration interfaces ge-1/1/2 | display set 
set interfaces ge-1/1/2 description -=TEST-Segment-Sel_Q-In-Q=-
set interfaces ge-1/1/2 stacked-vlan-tagging
set interfaces ge-1/1/2 auto-configure stacked-vlan-ranges dynamic-profile VLAN-Q-IN-Q accept dhcp-v4
set interfaces ge-1/1/2 auto-configure stacked-vlan-ranges dynamic-profile VLAN-Q-IN-Q ranges any,any
set interfaces ge-1/1/2 encapsulation flexible-ethernet-services
set interfaces ge-1/1/2 unit 3210 vlan-tags outer 10
set interfaces ge-1/1/2 unit 3210 vlan-tags inner 3210
set interfaces ge-1/1/2 unit 3210 family inet address 100.100.100.1/24

 

Share this post


Link to post
Share on other sites
On 29.03.2018 at 6:10 PM, snar said:

 

Важно:

а) не забывать, что в vlan NNN ни в коем случае не должен быть указан vlan-id

б) перед первым применением flexible-ethernet-services в сторону аплинка проверять в лабе (ну или на свободном интерфейсе)

или оно действительно на этой версии JunOS и этом свитче работает (например, на 5110 в 15.1Xчто-то в результате применения

этой команды аплинк просто падал нафиг. в 17.4R1 - работает).

в) забыть про большую часть protocol-tunneling'ов (пропустить lacp/lldp/.. не получится, cdp/stp/vtp - только начиная с 17.4R1).

 

Еще есть трабл, с тем, что если создать на коммутаторе vlan из диапазона, что мы в q-in-q уже упаковали, q-in-q превращается в тыкву.

По крайней мере так себя ведет QFX5100 с рекомендованным Junos 14.1X53-D46 софтом.

 

Share this post


Link to post
Share on other sites
On 23.05.2018 at 2:25 AM, ktoto said:

Еще есть трабл, с тем, что если создать на коммутаторе vlan из диапазона, что мы в q-in-q уже упаковали, q-in-q превращается в тыкву.

По крайней мере так себя ведет QFX5100 с рекомендованным Junos 14.1X53-D46 софтом.

 

14.1X53-D46.7,  на одном из портов в QinQ пакуются все vlan'ы (вообще все):

flexible-vlan-tagging;
native-vlan-id 1;
mtu 9216;
encapsulation extended-vlan-bridge;
unit 0 {
    vlan-id-list 1-4094;
    input-vlan-map {
        push;
        vlan-id 734;
    }
    output-vlan-map pop;
}

вполне работает. При этом на свитче, разумеется, ещё пара сотен vlan'ов есть.

Или имелся в виду какой-то другой конфиг ? Или я не понял, что именно не работает ?

 

PS: не, если на свитче дополнительно к QinQ vlan'у, создать ещё и vlan с vlan-id 734 и разрешить его на аплинке (например, имплицитно, vlan members all) - да, тут может получиться тыква, но это всё-таки из разряда "сам себе злобный буратина".

 

Share this post


Link to post
Share on other sites
В 23.05.2018 в 02:25, ktoto сказал:

Еще есть трабл, с тем, что если создать на коммутаторе vlan из диапазона, что мы в q-in-q уже упаковали, q-in-q превращается в тыкву.

По крайней мере так себя ведет QFX5100 с рекомендованным Junos 14.1X53-D46 софтом.

 

Каким образом у вас qinq влан создан? он имеет явный vlan-id в иерархии vlans? добавляете еще через vlans <vlan> interface xe-0/0/x.<unit> и на клиентский порт и на аплинк отдельным юнитом или иначе как?

7 часов назад, snar сказал:

14.1X53-D46.7,  на одном из портов в QinQ пакуются все vlan'ы (вообще все):


flexible-vlan-tagging;
native-vlan-id 1;
mtu 9216;
encapsulation extended-vlan-bridge;
unit 0 {
    vlan-id-list 1-4094;
    input-vlan-map {
        push;
        vlan-id 734;
    }
    output-vlan-map pop;
}

вполне работает. При этом на свитче, разумеется, ещё пара сотен vlan'ов есть.

Или имелся в виду какой-то другой конфиг ? Или я не понял, что именно не работает ?

 

PS: не, если на свитче дополнительно к QinQ vlan'у, создать ещё и vlan с vlan-id 734 и разрешить его на аплинке (например, имплицитно, vlan members all) - да, тут может получиться тыква, но это всё-таки из разряда "сам себе злобный буратина".

 

Аналогичный вопрос: у влана, привязанного к этому IFL, явно прописан vlan-id? как сам влан на qinq интферфейс и на аплинк привязан?

Share this post


Link to post
Share on other sites
On 02.06.2018 at 12:51 AM, Mystray said:

Аналогичный вопрос: у влана, привязанного к этому IFL, явно прописан vlan-id? как сам влан на qinq интферфейс и на аплинк привязан?

Мой конфиг чуть выше по триду приведён (ответ от 29 марта).

IFL'ей создаётся два, один в сторону downstream с vlan push/pop (собственно QinQ), один в сторону uplink с указанием vlan-id на ifl.

Описание vlan'а на уровне set vlan ... содержит только IFL'и, но ни в коем случае не vlan-id.

 

Share this post


Link to post
Share on other sites
1 час назад, snar сказал:

Мой конфиг чуть выше по триду приведён (ответ от 29 марта).

IFL'ей создаётся два, один в сторону downstream с vlan push/pop (собственно QinQ), один в сторону uplink с указанием vlan-id на ifl.

Описание vlan'а на уровне set vlan ... содержит только IFL'и, но ни в коем случае не vlan-id.

 

Ясно, спасибо.

Смутили изменения в 14.1X53-D40:

Цитата

Support for IRB interfaces on Q-in-Q VLANs (QFX5100 switches and QFX5100 Virtual Chassis)—Starting with Junos OS Release 14.1X53-D40, integrated routing and bridging (IRB) interfaces are supported on Q-in-Q VLANs—you can configure the IRB interface on the same interface as one used by an S-VLAN, and you can use the same VLAN ID for both the VLAN used by the IRB interface and for the VLAN used as an S-VLAN.

Надеялся, что разрешили qinq вланам быть номерными, но похоже вместо этого разрешили l3-interface на неномерных, завтра смогу проверить все предположения на D47.

Share this post


Link to post
Share on other sites

Добрый день, кто-то запускал netflow на qfx3500 ? Что-то как не настраивай, ничего не шлёт...

Share this post


Link to post
Share on other sites

Ребят привет. Скажите реальную производительность srx650. Имеем uplink где то в 1.8 Гб/сек. На устройстве поднят NAT и BGP с вышестоящим оператором по default route+22к префиксов. Проблема в том, что CPU PFE грузится как собака бешенная, но в процессах нет ничего, что могло его грузить. Грузится вместе с увеличением трафика. На 1.7 Гб/с проц может доходить до 99%, что естественно ни в какие ворота не входит. Идей почему это происходит нет, перепробовали все на что ума хватало

juniper.png

upload.png

Share this post


Link to post
Share on other sites

Кмк похоже что уперлись в потолок трансляций.

Количество сессий для него заявлено 512к.

Share this post


Link to post
Share on other sites

Если посмотреть на графики(нижний левый) там показано красной линией текущее кол-во сессий и оно не превышало за все время 250к. Так что это не сессии

Share this post


Link to post
Share on other sites
В 18.09.2018 в 08:31, psih сказал:

Если посмотреть на графики(нижний левый) там показано красной линией текущее кол-во сессий и оно не превышало за все время 250к. Так что это не сессии

сори, я чето значение MAX перепутал с фактическими

 

А что по фаерволу?

Без конфига оч тяжело гадать.

Edited by GrandPr1de

Share this post


Link to post
Share on other sites
On 9/17/2018 at 7:49 PM, psih said:

Ребят привет. Скажите реальную производительность srx650. Имеем uplink где то в 1.8 Гб/сек. На устройстве поднят NAT и BGP с вышестоящим оператором по default route+22к префиксов. Проблема в том, что CPU PFE грузится как собака бешенная, но в процессах нет ничего, что могло его грузить. Грузится вместе с увеличением трафика. На 1.7 Гб/с проц может доходить до 99%, что естественно ни в какие ворота не входит. Идей почему это происходит нет, перепробовали все на что ума хватало

juniper.png

upload.png

Ну в таких вопросах вам либо в jtac, либо есл инет саппорта , подбирать софт. Вероятнее всего словили что-нить, но без доступа к железу,логам,и прочее этого не понять.

Share this post


Link to post
Share on other sites

Коллеги вопрос. Есть обычный ae1 в транке, между двумя qfx, которые в свою очередь в стеке. прописаны вланы и все работает. Понадобилось пустить эти вланы в другом линке - ae2, собственно что сделано, на стороне А продублировали настройки ae, на стороне Б на ae1 удалили вле вланы, оставив один (заглушка), на ae2 добавили эти вланы. Применили все одним коммитом и все работает, кроме мультикаста от сырцов, который просто идет со стримеров во влане. Пока не вернули этот влан в старый ae1 - мультик не лился.

QFX-5110-48s 17.4R1.16

Старый ae1 выключался вообще, сырцы не появилялись

show route protocol pim terse было только то, что приходило не со стороны ae1/ae2, был правда одна группа, маршрут до которой пришел уже по L3 и канал работал.

 

Share this post


Link to post
Share on other sites
В 15.11.2018 в 12:55, iValera сказал:

Коллеги вопрос. Есть обычный ae1 в транке, между двумя qfx, которые в свою очередь в стеке. прописаны вланы и все работает. Понадобилось пустить эти вланы в другом линке - ae2, собственно что сделано, на стороне А продублировали настройки ae, на стороне Б на ae1 удалили вле вланы, оставив один (заглушка), на ae2 добавили эти вланы. Применили все одним коммитом и все работает, кроме мультикаста от сырцов, который просто идет со стримеров во влане. Пока не вернули этот влан в старый ae1 - мультик не лился.

QFX-5110-48s 17.4R1.16

Старый ae1 выключался вообще, сырцы не появилялись

show route protocol pim terse было только то, что приходило не со стороны ae1/ae2, был правда одна группа, маршрут до которой пришел уже по L3 и канал работал.

 

Если кому интересно, требовалось удалить полностью влан, поудалять с интерфейсов и затем создать заново.

По рекомендации от jtac.

 

Обычно ожиждаешь подобного на старых длинках, у которых аптайм по 2000 дней, но не на новом джуне..или я чего-то об этом новом для меня вендоре еще не знаю.

Share this post


Link to post
Share on other sites

Ох уж этот жунипер...

Никто не сталкивался со след кейсом?
QFX5110 добавляю в существующий LAG 1 или 2 порта (значение не имеет), порт в лаге виден все ок, трафик бегает, но есть проблема с мультикастом. Дизайн таков, что сначала в этом лаге бегут сырцы в сторону RP, а потом в этом же лаге возвращаются обратно уже по pim в другом влане. Так вот в новых портах лага трафик ходит только в одну сторону, в сторону RP, а по pim уже 0 kpps. В связи с этим наблюдаем потерю части  мультикаст групп.

Выключаешь эти новые 1 или 2 порта и всё нормализуется. 17.4R1.16

Share this post


Link to post
Share on other sites
17 hours ago, iValera said:

Ох уж этот жунипер...

Никто не сталкивался со след кейсом?
QFX5110 добавляю в существующий LAG 1 или 2 порта (значение не имеет), порт в лаге виден все ок, трафик бегает, но есть проблема с мультикастом. Дизайн таков, что сначала в этом лаге бегут сырцы в сторону RP, а потом в этом же лаге возвращаются обратно уже по pim в другом влане. Так вот в новых портах лага трафик ходит только в одну сторону, в сторону RP, а по pim уже 0 kpps. В связи с этим наблюдаем потерю части  мультикаст групп.

Выключаешь эти новые 1 или 2 порта и всё нормализуется. 17.4R1.16

 

Откройте кейс в jtac, сделайте дооброе всем тем кто еще не столкнулся с вашим кейсом. Или так и будете сидеть плакать по форумам и перебирать софт в надежде, что кто-то поймал подобный кейс и его пофиксили ? 

P.S. А все из-за банального нежелания платить за саппорт, но виноват во всем конечно вендор :)

Share this post


Link to post
Share on other sites
6 часов назад, orlik сказал:

Откройте кейс в jtac, сделайте дооброе всем тем кто еще не столкнулся с вашим кейсом. Или так и будете сидеть плакать по форумам и перебирать софт в надежде, что кто-то поймал подобный кейс и его пофиксили ? 

P.S. А все из-за банального нежелания платить за саппорт, но виноват во всем конечно вендор :)

Так и будете сидеть - это вы про кого? Тут мои последние 2 сообщения с багами, по первому я отписался по результату, где написал что рекомендация от jtac, по последнему тикет тоже создан и ожидает пока бангалоровцы соизволят вникнуть, обычно на это уходит 2-3 дня.

 

ps: а все из-за банального нежелания писать по делу, неужели вам телеграмма нехватает.

Share this post


Link to post
Share on other sites
12 minutes ago, iValera said:

Так и будете сидеть - это вы про кого? Тут мои последние 2 сообщения с багами, по первому я отписался по результату, где написал что рекомендация от jtac, по последнему тикет тоже создан и ожидает пока бангалоровцы соизволят вникнуть, обычно на это уходит 2-3 дня.

 

ps: а все из-за банального нежелания писать по делу, неужели вам телеграмма нехватает.

На кой тогда писать тут подобное, неужели думаете много кто подобные схему использует ?

P.S. еще меньше смысла в первой вашей фразе .

P.P.S. вы хотите ограничить меня в свободах и контролировать где и что мне можно писать ? 

Share this post


Link to post
Share on other sites
8 минут назад, orlik сказал:

На кой тогда писать тут подобное, неужели думаете много кто подобные схему использует ?

P.S. еще меньше смысла в первой вашей фразе .

P.P.S. вы хотите ограничить меня в свободах и контролировать где и что мне можно писать ? 

если схемы обобщить, то становится понятно что явно есть баги с мультикастом в VC с использованием LAG. Оба топика перекликаются.

ps: ограничивать не хочу, но хотелось бы рекомендовать писать по делу, а флудить продолжайте в телеграме :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now