Pull to refresh
77
0
Марат @Bormoglotx

Сетевой инженер

Send message

Ну что могу сказать — все претензии в NIST ибо это их определение.

Тут я поставил 1450 так как у меня было ограничение в стенде. В реальных инсталляциях на портах гипервизоров и свичах не менее 1600 ставить надо. Кстати были проблемы с ceph при таком MTU, поэтому у меня везде стояло 9000.

Ну так зачем какому-то-там-надзору заниматься реальными проблемами? Они лучше linkedin заблочат или к телеграмму пристанут.
На сколько я помню OVS умеет только статический VxLAN, во всяком случае когда тестил, как заставить его работать через мультикаст я не нашел (имею ввиду конфигурации, если это все же работает и есть ссылочка на конфиги — будет здорово).

По поводу объяснения — я описывал с точки зрения провайдера, поэтому именно такое построение статьи.

Ну а про маршруты типа 5 — это по сути надо отдельную статью, так как добавление этого в данную статью очень сильно ее удлинило бы. Но про маршруты типа 5 будет статейка, так как эта тема очень интересна, но мало где описана, правда чуть позже. Много работы сейчас.
Они были бы неактивны, если бы ASBR сохранял оригинальный next-hop eBGP-пира в UPDATE в сторону PE, я писал о том, что этого не происходит, он автоматически меняет его на свой даже без политики. В выводе видно, что в секции BGP у меня нет политики NHS, но при этом метка и next-hop меняются.


Да, на сколько я помню, для LU сессии это так и работает, но по привычке на iBGP вешаю NHS. Ничего в этом страшного нет.

По поводу PE — можно делать сессию и с inet.0 и c inet.3. Как вам удобнее. Лично я использовал описанное в статье решение, вы можете использовать другое. У каждого свои грабли)
в данном случае РЕ-ки пирятся по BGP и если сделать как вы предлагаете — пиринг не поднимется, так как маршрута не будет в inet.0, в итоге между автономками не будут передаваться VPNv4 маршурты — не будет связности. Тоже самое если бы был рефлектор — между рефлеторами нужна связность через inet.0. Придется делать риб группы на PE-ках, чего не очень хочется.

В данном кейсе отдавать лубпек ASBR нет особой необходимости, в реальности же у вас ASBR и PE будут в одном флаконе и отдавать лупбек в соседнюю автономку будет нужно.

NHS была нужна, так как маршурта до стыковочной сетки между ASBR нет внутри автономок — маршруты были бы неактивны без этой политики. Можно было бы интерфейс в сторону соседнего ASBR засунуть в igp и сделать его пассивным — кому что нравится.
Про conntrack одно предложение, а собственно это один из самых важных компонентов iptables, без понимания которого тяжело понять как работает например nat.
Добрый день! Да, читал про эту фичу, но еще ни разу не использовал. Возможно будет время — потестирую, так как вещь вроде интересная.
Добрый ден. Эта статья задумывалась не как туториал, а как теоретическое объяснение принципа работы этих опций.

По факту, ваша опция может привести к плохим последствиям, если ее бездумно включить (меняются best path в rib). В тестовой лабе (конкретно этой) использовалась опция mpls forwarding. Скоро опубликую отдельную статью по данной теме, так как в JunOS есть несколько нюансов касаемо opt.C.

Следует упомянуть, что кактус может работать только с php версии не выше 5.6. В противном случае карту нарисовать получится, а вот посмотреть ее нет.

Свич SW-1 в данном сценарии получит бродкатный пакет из интерфейса ae0 и не должен снова отправлять его обратно в интерфейс ae0. Тоже самое и с mc-lag — со стороны свича это один и тот же интерфейс. Я подозреваю, что ваш сценарий возможен, если со стороны свича будет не один агрегат, а два физических интерфейса в сторону PE-шек (то есть например ge-0/0/1 в сторону PE1 и ge-0/0/2 в сторону PE2, находящие в одном бридж домене). Тогда такая петля возможна, но в этом будет виновата не технология, а инженеры, которые собрали некорректную схему. Вот что написано в RFC:

If a bridged network is multihomed to more than one PE in an EVPN
network via switches, then the support of All-Active redundancy mode
requires the bridged network to be connected to two or more PEs using
a LAG.

If a bridged network does not connect to the PEs using a LAG, then
only one of the links between the bridged network and the PEs must be
the active link for a given <ES, VLAN> or <ES, VLAN bundle>. In this
case, the set of Ethernet A-D per ES routes advertised by each PE
MUST have the «Single-Active» bit in the flags of the ESI Label
extended community set to 1.

В конце статьи я писал, как свич должен подключаться к PE-кам. Кстати тот сценарий, который я описал тут я воспроизводил — шторм контроль не отрабатывал (мало трафика и до трешхолда не доходило), а вот кучу dulicate пакетов при пинге я периодически получал.

Надеюсь ответил на ваш вопрос?
Помню был год назад на презентации циско по SR. Собственно без магического контроллера решение работать в продакшене не сможет — на любой наш вопрос лектор отвечал — это будет решать контроллер. По статье — надо было бы показать как это на практике работает. XRv это поддерживает, если не ошибаюсь.
Тогда уж и про merge надо упомянуть.
А я бы еще предложил добавить обязательный комментарий для минусующих статью. Просто складывается такое впечатление, что чаще всего люди ставят минус либо изза того, что не понимают автора (недостаточно знаний у читающего), либо просто из вредности, потому что когда спрашиваешь — что не так — в ответ либо молчание, либо какой то невнятный комментарий с вопросом, ответ на который есть в статье (уже не один раз такое было). Если сделать так, чтобы тот, кто ставит минус был обязан написать комментарий (за который он может впоследствии получить минусы от других читающих если будет не прав), с описание того, что не так, где ошибка или что не понравилось, то я думаю авторам будет проще совершенствоваться, зная что не устраивает читателя, а минусующие будут включать мозг, перед тем, как поставить минус.
Лично я из самой статьи сделал вывод, что коммутаторы предоставляют только L2, фильтруя на вход трафик по полю ethertype и защищая от штормов. А выделенный сервер работает как рефлектор маршрутов — все партнеры по IX строят с ним сессию и обмениваются с ним необходимыми маршрутами (сервер в самой сессии производит фильтрацию например по AS-PATH, что бы например кто-то из провайдеров-участников IX случайно или намеренно не выдал FV в пиринговый стык). Сам же роут-сервер держит только кучу BGP сессий и не форвардит трафик — ставить ради этих целей какой то еще выделенный маршрутизатор уровня MX240 — пустая трата денег.
Добрый день!

1. Когда появляется маршрут MAC+IP в EVPN, то данный маршрут сразу же появляется в связанном vrf как маршрут EVPN:

10.0.0.3/32        *[EVPN/7] 00:00:06
                    > via irb.777


Маршрут до хоста виден через irb интерфейс, который находится и в vrf и в evpn инстансах. Так как маршрут появляется в vrf, то он автоматически улетает по BGP в виде vpnv4 префикса (если вы конечно не зарежете его политикой экспорта из vrf, что делать естественно не стоит). Для того, что бы появлялся маршрут /32 в vrf необходимо только связать vrf и evpn (добавить irb интрефейс в оба инстанса).

2. Грабли были с опцией В, проблему решили, но неприятный осадок остался.

+1 По себе сужу — после написания статьи, особенно если глубоко копать, то автору технология становится понятна и прозрачна и он уже теряет способность оценить сложность материала, так для него эта информация уже элементарна.
Здравствуйте. Платы DPC построены на старом чипе I-CHIP (такой стоит в М-серии), естественно данный чипсет имеет меньшую производительность. Данные платы не поддерживаются фабрикой коммутации SCBE2.

При установке различных плат (DPC и MPC) в одно шасси (если используется не SCBE2), то проблем быть не должно.
При работе составе одного шасси с фабрикой SCB платы DPC поддерживают работу 2+1, но если в это же шасси добавить плату MPC, то фабрики переключатся в работу в режиме 3+0.

Ну и не менее важным является то, что платы DPC уже не поддерживаются вендором.

Здравствуйте. Отдельного демона, как в quagga в Junos вы не встретите, то есть вы не увидите отдельно isisd или ospfd. Работу всех протоколов контролирует исколючительно rpd. А вот rpd процессов может быть несоклько если вы используете logical-systems: на кажду logical-systems запускается одельный rpd.
Это смотря на сколько глубоко копать. Если по архитектуре софта и железа, то она будет сходной — то тот же SRX5800 имеет и SCB и RE и интерфейсные карты, и их назанчение будут такими же, как описано в статье.

Но если разбираться с работой SRX по обработке пакета — то разница буде большой, так как SRX, в отличии от М/Т/МХ серии работает с потоками и сессиями (как это свойственно фаерволу), в то время как М/Т/МХ серия скаждым пакетом индивидуально.

Information

Rating
Does not participate
Location
Санкт-Петербург, Санкт-Петербург и область, Россия
Date of birth
Registered
Activity