Перейти к содержимому
Калькуляторы

Оборудование Juniper Network. Отзывы, реальная производительность. Особенности, плюсы, минусы

Есть Juniper SRX1400
JunOS 12.1X46-D35.1

 

Снимаю netflow v5.
Одно время оно работало.
Потом в какой-то момент перестало сливаться. Я не сразу заметил когда (чтобы можно было понять что повлияло) т.к. смотрю netflow редко.

Конфигурация выглядит так:

set forwarding-options sampling input rate 10
set forwarding-options sampling input run-length 0
set forwarding-options sampling family inet output flow-server 10.77.88.1 port 9999
set forwarding-options sampling family inet output flow-server 10.77.88.1 source-address 10.77.88.254
set forwarding-options sampling family inet output flow-server 10.77.88.1 version 5

set interfaces ae0 unit 88 vlan-id 88
set interfaces ae0 unit 88 family inet address 10.77.88.254/24

set interfaces ge-0/0/0 unit 0 family inet sampling input
set interfaces ge-0/0/0 unit 0 family inet sampling output
set interfaces ge-0/0/1 unit 0 family inet sampling input
set interfaces ge-0/0/1 unit 0 family inet sampling output
set interfaces ge-0/0/3 unit 0 family inet sampling input
set interfaces ge-0/0/3 unit 0 family inet sampling output

Трафик через все эти ge интерфейсы бегает.

На сервере 10.77.88.1 tcpdump ничего не показывает:

tcpdump -i eth0 -nn 'port 9999'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel

Я пробовал всю конфигурацию, касающуюся flow удалить и заново вбить - не помогло.
Конфигурация рабочая, я на лабе проверял - там netflow сливается.

# run show chassis routing-engine
Routing Engine status:
  Slot 0:
    Current state                  Master
    Election priority              Master (default)
    DRAM                      1023 MB
    Memory utilization          87 percent
    CPU utilization:
      User                       2 percent
      Background                 0 percent
      Kernel                     4 percent
      Interrupt                  1 percent
      Idle                      94 percent
    Model                          RE-SRX1400
    Start time                     2015-08-27 00:11:39 GMT-3
    Uptime                         931 days, 11 hours, 19 minutes, 40 seconds
    Last reboot reason             Router rebooted after a normal shutdown.
    Load averages:                 1 minute   5 minute  15 minute
                                       0.02       0.18       0.23

                                     
Что можно сделать и как починить? Уже не знаю куда копать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А кому позволено скачивать с сайта Juniper vMX и vSRX? Партнерам, особо крупным заказчикам или еще кому?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@micho 

vsrx скачивается даже с моим аккаунтом, который без контракта в данный момент. vmx - нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@vvertexx 

И правда, vSRX скачивает, а vMX нет. Интересно, это так задумано или косяк? И если косяк, то в чем, в том что vSRX дает скачать или в том что vMX не дает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, 

Подскажите, пожалуйста. На QFX5100 кто то использует Selective Q-In-Q.

Необходимо в зависимости от C-VLAN метить соответствующими S-VLAN, т.е. Multiple S-VLANs port-based selective QinQ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
On 27.03.2018 at 10:28 AM, sind said:

Коллеги, 

Подскажите, пожалуйста. На QFX5100 кто то использует Selective Q-In-Q.

Необходимо в зависимости от C-VLAN метить соответствующими S-VLAN, т.е. Multiple S-VLANs port-based selective QinQ.

Примерно так должно работать:

 

клиентская сторона:

 

flexible-vlan-tagging;
native-vlan-id 1;
encapsulation extended-vlan-bridge;
unit 1497 {
    vlan-id-list 1-1497;
    input-vlan-map push;
    output-vlan-map pop;
}
unit 1498 {
    vlan-id-list 1498-2048;
    input-vlan-map push;
    output-vlan-map pop;
}

 

аплинковая сторона:

 

flexible-vlan-tagging;
mtu 9216;
encapsulation flexible-ethernet-services;
unit 0 {
    family ethernet-switching {
        interface-mode trunk;
        vlan {
            members all;
        }
    }
}
unit 1497 {
    encapsulation vlan-bridge;
    vlan-id 1497;                       
}                                       
unit 1498 {
    encapsulation vlan-bridge;
    vlan-id 1498;
}

ну и, собственно, бридж между клиентской и аплинковой сторонами

 

vlan NNN {
  interface ${client-facing}.1497;
  interface ${uplink-facing}.1497;
}

 

Важно:

а) не забывать, что в vlan NNN ни в коем случае не должен быть указан vlan-id

б) перед первым применением flexible-ethernet-services в сторону аплинка проверять в лабе (ну или на свободном интерфейсе)

или оно действительно на этой версии JunOS и этом свитче работает (например, на 5110 в 15.1Xчто-то в результате применения

этой команды аплинк просто падал нафиг. в 17.4R1 - работает).

в) забыть про большую часть protocol-tunneling'ов (пропустить lacp/lldp/.. не получится, cdp/stp/vtp - только начиная с 17.4R1).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@snar Спасибо большое за ответ!

 

Я протестировал у себя в лабе следующую схему и конфигурацию. Правда не с 5100, т.к. его нет в лабе.

 

Scheme: [PC1 eth no tag] -> [ge-0/0/5 add single tag, EX3200, ge-0/0/23 trunk] -> [ge-0/0/38 vlan-map, QFX3500, ge-0/0/40] -> [ge-1/1/2 stacked-vlans, MX10] -> world

 

root@QFX3500> show configuration interfaces ge-0/0/38 | display set 
set interfaces ge-0/0/38 description -=EX3200=-
set interfaces ge-0/0/38 flexible-vlan-tagging
set interfaces ge-0/0/38 encapsulation extended-vlan-bridge
set interfaces ge-0/0/38 unit 3205 vlan-id-list 3205
set interfaces ge-0/0/38 unit 3205 input-vlan-map push
set interfaces ge-0/0/38 unit 3205 input-vlan-map vlan-id 5
set interfaces ge-0/0/38 unit 3205 output-vlan-map pop
set interfaces ge-0/0/38 unit 3210 vlan-id-list 3210
set interfaces ge-0/0/38 unit 3210 input-vlan-map push
set interfaces ge-0/0/38 unit 3210 input-vlan-map vlan-id 10
set interfaces ge-0/0/38 unit 3210 output-vlan-map pop

root@QFX3500> show configuration interfaces ge-0/0/40 | display set        
set interfaces ge-0/0/40 description -=MX=-
set interfaces ge-0/0/40 flexible-vlan-tagging
set interfaces ge-0/0/40 encapsulation extended-vlan-bridge
set interfaces ge-0/0/40 unit 3205 vlan-id 5
set interfaces ge-0/0/40 unit 3210 vlan-id 10

root@QFX3500> show configuration vlans | display set 
set vlans Customer_L2VPN interface ge-0/0/38.3210
set vlans Customer_L2VPN interface ge-0/0/40.3210
set vlans DHCP_Subscribers_1 interface ge-0/0/38.3205
set vlans DHCP_Subscribers_1 interface ge-0/0/40.3205

root@MXdemo> show configuration interfaces ge-1/1/2 | display set 
set interfaces ge-1/1/2 description -=TEST-Segment-Sel_Q-In-Q=-
set interfaces ge-1/1/2 stacked-vlan-tagging
set interfaces ge-1/1/2 auto-configure stacked-vlan-ranges dynamic-profile VLAN-Q-IN-Q accept dhcp-v4
set interfaces ge-1/1/2 auto-configure stacked-vlan-ranges dynamic-profile VLAN-Q-IN-Q ranges any,any
set interfaces ge-1/1/2 encapsulation flexible-ethernet-services
set interfaces ge-1/1/2 unit 3210 vlan-tags outer 10
set interfaces ge-1/1/2 unit 3210 vlan-tags inner 3210
set interfaces ge-1/1/2 unit 3210 family inet address 100.100.100.1/24

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
On 29.03.2018 at 6:10 PM, snar said:

 

Важно:

а) не забывать, что в vlan NNN ни в коем случае не должен быть указан vlan-id

б) перед первым применением flexible-ethernet-services в сторону аплинка проверять в лабе (ну или на свободном интерфейсе)

или оно действительно на этой версии JunOS и этом свитче работает (например, на 5110 в 15.1Xчто-то в результате применения

этой команды аплинк просто падал нафиг. в 17.4R1 - работает).

в) забыть про большую часть protocol-tunneling'ов (пропустить lacp/lldp/.. не получится, cdp/stp/vtp - только начиная с 17.4R1).

 

Еще есть трабл, с тем, что если создать на коммутаторе vlan из диапазона, что мы в q-in-q уже упаковали, q-in-q превращается в тыкву.

По крайней мере так себя ведет QFX5100 с рекомендованным Junos 14.1X53-D46 софтом.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
On 23.05.2018 at 2:25 AM, ktoto said:

Еще есть трабл, с тем, что если создать на коммутаторе vlan из диапазона, что мы в q-in-q уже упаковали, q-in-q превращается в тыкву.

По крайней мере так себя ведет QFX5100 с рекомендованным Junos 14.1X53-D46 софтом.

 

14.1X53-D46.7,  на одном из портов в QinQ пакуются все vlan'ы (вообще все):

flexible-vlan-tagging;
native-vlan-id 1;
mtu 9216;
encapsulation extended-vlan-bridge;
unit 0 {
    vlan-id-list 1-4094;
    input-vlan-map {
        push;
        vlan-id 734;
    }
    output-vlan-map pop;
}

вполне работает. При этом на свитче, разумеется, ещё пара сотен vlan'ов есть.

Или имелся в виду какой-то другой конфиг ? Или я не понял, что именно не работает ?

 

PS: не, если на свитче дополнительно к QinQ vlan'у, создать ещё и vlan с vlan-id 734 и разрешить его на аплинке (например, имплицитно, vlan members all) - да, тут может получиться тыква, но это всё-таки из разряда "сам себе злобный буратина".

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 23.05.2018 в 02:25, ktoto сказал:

Еще есть трабл, с тем, что если создать на коммутаторе vlan из диапазона, что мы в q-in-q уже упаковали, q-in-q превращается в тыкву.

По крайней мере так себя ведет QFX5100 с рекомендованным Junos 14.1X53-D46 софтом.

 

Каким образом у вас qinq влан создан? он имеет явный vlan-id в иерархии vlans? добавляете еще через vlans <vlan> interface xe-0/0/x.<unit> и на клиентский порт и на аплинк отдельным юнитом или иначе как?

7 часов назад, snar сказал:

14.1X53-D46.7,  на одном из портов в QinQ пакуются все vlan'ы (вообще все):


flexible-vlan-tagging;
native-vlan-id 1;
mtu 9216;
encapsulation extended-vlan-bridge;
unit 0 {
    vlan-id-list 1-4094;
    input-vlan-map {
        push;
        vlan-id 734;
    }
    output-vlan-map pop;
}

вполне работает. При этом на свитче, разумеется, ещё пара сотен vlan'ов есть.

Или имелся в виду какой-то другой конфиг ? Или я не понял, что именно не работает ?

 

PS: не, если на свитче дополнительно к QinQ vlan'у, создать ещё и vlan с vlan-id 734 и разрешить его на аплинке (например, имплицитно, vlan members all) - да, тут может получиться тыква, но это всё-таки из разряда "сам себе злобный буратина".

 

Аналогичный вопрос: у влана, привязанного к этому IFL, явно прописан vlan-id? как сам влан на qinq интферфейс и на аплинк привязан?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
On 02.06.2018 at 12:51 AM, Mystray said:

Аналогичный вопрос: у влана, привязанного к этому IFL, явно прописан vlan-id? как сам влан на qinq интферфейс и на аплинк привязан?

Мой конфиг чуть выше по триду приведён (ответ от 29 марта).

IFL'ей создаётся два, один в сторону downstream с vlan push/pop (собственно QinQ), один в сторону uplink с указанием vlan-id на ifl.

Описание vlan'а на уровне set vlan ... содержит только IFL'и, но ни в коем случае не vlan-id.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, snar сказал:

Мой конфиг чуть выше по триду приведён (ответ от 29 марта).

IFL'ей создаётся два, один в сторону downstream с vlan push/pop (собственно QinQ), один в сторону uplink с указанием vlan-id на ifl.

Описание vlan'а на уровне set vlan ... содержит только IFL'и, но ни в коем случае не vlan-id.

 

Ясно, спасибо.

Смутили изменения в 14.1X53-D40:

Цитата

Support for IRB interfaces on Q-in-Q VLANs (QFX5100 switches and QFX5100 Virtual Chassis)—Starting with Junos OS Release 14.1X53-D40, integrated routing and bridging (IRB) interfaces are supported on Q-in-Q VLANs—you can configure the IRB interface on the same interface as one used by an S-VLAN, and you can use the same VLAN ID for both the VLAN used by the IRB interface and for the VLAN used as an S-VLAN.

Надеялся, что разрешили qinq вланам быть номерными, но похоже вместо этого разрешили l3-interface на неномерных, завтра смогу проверить все предположения на D47.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день, кто-то запускал netflow на qfx3500 ? Что-то как не настраивай, ничего не шлёт...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ребят привет. Скажите реальную производительность srx650. Имеем uplink где то в 1.8 Гб/сек. На устройстве поднят NAT и BGP с вышестоящим оператором по default route+22к префиксов. Проблема в том, что CPU PFE грузится как собака бешенная, но в процессах нет ничего, что могло его грузить. Грузится вместе с увеличением трафика. На 1.7 Гб/с проц может доходить до 99%, что естественно ни в какие ворота не входит. Идей почему это происходит нет, перепробовали все на что ума хватало

juniper.png

upload.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кмк похоже что уперлись в потолок трансляций.

Количество сессий для него заявлено 512к.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если посмотреть на графики(нижний левый) там показано красной линией текущее кол-во сессий и оно не превышало за все время 250к. Так что это не сессии

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 18.09.2018 в 08:31, psih сказал:

Если посмотреть на графики(нижний левый) там показано красной линией текущее кол-во сессий и оно не превышало за все время 250к. Так что это не сессии

сори, я чето значение MAX перепутал с фактическими

 

А что по фаерволу?

Без конфига оч тяжело гадать.

Изменено пользователем GrandPr1de

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
On 9/17/2018 at 7:49 PM, psih said:

Ребят привет. Скажите реальную производительность srx650. Имеем uplink где то в 1.8 Гб/сек. На устройстве поднят NAT и BGP с вышестоящим оператором по default route+22к префиксов. Проблема в том, что CPU PFE грузится как собака бешенная, но в процессах нет ничего, что могло его грузить. Грузится вместе с увеличением трафика. На 1.7 Гб/с проц может доходить до 99%, что естественно ни в какие ворота не входит. Идей почему это происходит нет, перепробовали все на что ума хватало

juniper.png

upload.png

Ну в таких вопросах вам либо в jtac, либо есл инет саппорта , подбирать софт. Вероятнее всего словили что-нить, но без доступа к железу,логам,и прочее этого не понять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги вопрос. Есть обычный ae1 в транке, между двумя qfx, которые в свою очередь в стеке. прописаны вланы и все работает. Понадобилось пустить эти вланы в другом линке - ae2, собственно что сделано, на стороне А продублировали настройки ae, на стороне Б на ae1 удалили вле вланы, оставив один (заглушка), на ae2 добавили эти вланы. Применили все одним коммитом и все работает, кроме мультикаста от сырцов, который просто идет со стримеров во влане. Пока не вернули этот влан в старый ae1 - мультик не лился.

QFX-5110-48s 17.4R1.16

Старый ae1 выключался вообще, сырцы не появилялись

show route protocol pim terse было только то, что приходило не со стороны ae1/ae2, был правда одна группа, маршрут до которой пришел уже по L3 и канал работал.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 15.11.2018 в 12:55, iValera сказал:

Коллеги вопрос. Есть обычный ae1 в транке, между двумя qfx, которые в свою очередь в стеке. прописаны вланы и все работает. Понадобилось пустить эти вланы в другом линке - ae2, собственно что сделано, на стороне А продублировали настройки ae, на стороне Б на ae1 удалили вле вланы, оставив один (заглушка), на ae2 добавили эти вланы. Применили все одним коммитом и все работает, кроме мультикаста от сырцов, который просто идет со стримеров во влане. Пока не вернули этот влан в старый ae1 - мультик не лился.

QFX-5110-48s 17.4R1.16

Старый ae1 выключался вообще, сырцы не появилялись

show route protocol pim terse было только то, что приходило не со стороны ae1/ae2, был правда одна группа, маршрут до которой пришел уже по L3 и канал работал.

 

Если кому интересно, требовалось удалить полностью влан, поудалять с интерфейсов и затем создать заново.

По рекомендации от jtac.

 

Обычно ожиждаешь подобного на старых длинках, у которых аптайм по 2000 дней, но не на новом джуне..или я чего-то об этом новом для меня вендоре еще не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас