Изотропность

[dadv]

Забавный случай.

Имеется vlan, внутри которого идёт клиентский трафик, в частности FTP.

Если клиент использует FTP пассивного режима - файлы льются нормально. Если активный - соединение для передачи данных не устанавливается, причем пакеты с 20-го порта сервера на динамический порт FTP-клиента уходят, но wireshark на стороне клиента показывает, что они туда не приходят.

Локализовал проблему до двух коммутаторов последней мили, уже в L2-сети. Один из них - Catalyst 3750G на распределении, отзеркалировал трафик с исходящего в сторону коммутатора доступа порта - пакеты эти вижу. Между этим каталистом и клиентом один единственный коммутатор доступа - D-Link DES 3200/10 (firmware 4.35.B016). Проверка локальным зеркалированием на нём показала, что с аплинка эти пакеты в свич приходят, но клиенту свич их не выдаёт.

Очевидно, что виноват D-Link. Удалили из его конфигурации все ACL - не помогло, перезагрузка после этого тоже не помогла. Обновление софта до свежей верии 4.36B009 ничего не изменило, как и последующий даунгрейд до 4.33.

Поменяли свич на AT-8000S/24 и проблема ушла.

Comments

[dmartynov.livejournal.com]

Вот и верь теперь, что свичи работают на канальном уровне :))

[fuflolog.livejournal.com]

Эта музыка будет вечной. "Ой, у Сиски свитчи дорогие, давайте лучше купим 3Com, Black diamond, HP, D-Link..." "Ой, у Сиски раутеры дорогие, давайте соберем сами из говна и палок на линуксе..." Результат немного предсказуем.

[http://users.livejournal.com/_dyr/]

Пффф...да-да, конечно - есть лишь одна сетевая компания, и имя ей Cisco.

[fuflolog.livejournal.com]

Нет ничего плохого в покупке оборудования лучше сискинского. Но покупать что-либо хуже Сиски - это себя не уважать.

[dadv.livejournal.com]

Ровно с тем же успехом могу сказать - покупать Cisco это себя не уважать :-)

[fuflolog.livejournal.com]

Конторы, покупающие Сиски, обычно богаче контор, покупающих длинки. Надежность сискок обычно выше, чем надежность длинков. Если контора раскошелилась на железо, раскошелится и на инженегра. Итого, соотношение зарплата/геморрой выше для сисок. Именно отсюда вытекает, что соглашаться на длинки - себя не уважать.

[dadv.livejournal.com]

Только если ковыряние в багах цисок/длинков/прочего для тебя геморрой.

[fuflolog.livejournal.com]

Если что-то просто должно работать, а оно вдруг ломается в самый неподходящий момент, и надо быстро принимать какие-то меры - да, я расцениваю это как геморрой.

[dadv.livejournal.com]

Это неправильное отношение, с оттенком идеализма. Если всегда всё делать по инструкции и никогда не натыкаться на глюки - не прокачаешь навыки, не натренируешь понимание того, как оно внутри устроено. Останешься тупым полевым инженером, который становится в ступор при любой не описанной в инструкции сложности. Я стараюсь к таким случаям относиться позитивно, как к ещё одной возможности "прокачаться".

[fuflolog.livejournal.com]

Предпочитаю проектирование и внедрение. Работа интересная, в смысле - разнообразная, и оплачивается лучше, чем техподдержка. В идеале - строжайше по инструкции aka best recommended practices. На практике приходится обрабатывать напильником.

> как оно внутри устроено

Внутри - кучка интерфейсов, чипов, кастрированного линукса и глюков. Я это все в разных комбинациях видел уже столько раз, что мне уже не интересно. Решения предлагать, проблемы решать - интересно. А техподдержка в итоге сводится к выявлению и обходу глюков софта, а это мне надоело еще в мире Виндовс.

[http://users.livejournal.com/_dyr/]

Длинк, судя по вашим словам, хуже цисковского...что не мешает ему пребывать в количестве 1800 штук на сети автора. ;)

[fuflolog.livejournal.com]

А у меня в сети - тысяч под семь сисок всех видов.

[http://users.livejournal.com/_dyr/]

То есть сравнить с длинками в работе не можете. ОК )

[fuflolog.livejournal.com]

Видел я длинки в работе, видел.

[http://users.livejournal.com/_dyr/]

Видеть и работать разные вещи.

[dadv.livejournal.com]

Проблема в том, что и цискины свичи вовсе не серебрянная пуля. Пока я набирал ответы к этому посту, один из двух свичей 3750 в офисном стеке тупо вывалился из стека, погасив все порты. И потребовалось ДВА ребута его, чтобы он ожил. Питание с APC 7500, IOS 12.2(58)SE.

Сопровождалось это трапом в мониторинг:

ciscoMgmt.10.1.3.0.4
ciscoMgmt.10.1.1.2.1.3.1
ciscoMgmt.10.1.1.2.1.7.1

A ciscoFlashDeviceChangeTrap is sent whenever a removable Flash device is inserted or removed.

Раньше никаких проблем с этим стеком не было. Всё случается когда-то впервые.

[dadv.livejournal.com]

s/3750/3750G/

[dadv.livejournal.com]

Nov 1 13:59:35: %BIT-4-OUTOFRANGE: bit 57005 is not in the expected range of 0 to 1015
-Traceback= 22996D8z 10317CCz 10318E8z 169CBD0z 169CE40z 1840BB8z 183B32Cz 183B0C8z 1A5E3C8z 1A5E55Cz 11240A8z 1A65190z 11240A8z 1A72FECz 1A64B70z 1124110z
Nov 1 13:59:40: %SYS-2-FREEFREE: Attempted to free unassigned memory at 85B7A4, alloc 357FB18, dealloc 357FC54
-Traceback= 22996D8z 315C548z 35817A8z 169CD7Cz 169CE40z 1840BB8z 183B32Cz 183B0C8z 1A5E3C8z 1A5E55Cz 11240A8z 1A65190z 11240A8z 1A72FECz 1A64B70z 1124110z
Nov 1 13:59:40: %SYS-6-MTRACE: mallocfree: addr, pc
59E51C,22568C8 59E51C,40000294 56F6290,22568AC 56F6290,3000022E
85B7A4,169CD78 593934,169CD78 947E9C,169CC3C 947E9C,30000010
Nov 1 13:59:40: %SYS-6-MTRACE: mallocfree: addr, pc
947E9C,169CD78 9DCF40,169CC3C 9DCF40,30000016 40965AC,169CD78
599B88,169CC3C 599B88,3000003A 9DCF40,169CD78 58BBD8,169CC3C
Nov 1 13:59:40: %SYS-6-BLKINFO: Attempt to free a block that is in use blk 85B77C, words 30, alloc 357FB18, Free, dealloc 357FC54, rfcnt 0
-Traceback= 22996D8z 312C3E0z 315C560z 35817A8z 169CD7Cz 169CE40z 1840BB8z 183B32Cz 183B0C8z 1A5E3C8z 1A5E55Cz 11240A8z 1A65190z 11240A8z 1A72FECz 1A64B70z
Nov 1 13:59:40: %SYS-6-MEMDUMP: 0x85B77C: 0xAB1234CD 0x13C0000 0x1460DB 0x3FD951C
Nov 1 13:59:40: %SYS-6-MEMDUMP: 0x85B78C: 0x357FB18 0x85B7E0 0x85B73C 0x1E
Nov 1 13:59:40: %SYS-6-MEMDUMP: 0x85B79C: 0x0 0x357FC54 0x0 0x0

=== Start of Crashinfo Collection (13:59:40 NOVT Fri Nov 1 2013) ===

[fuflolog.livejournal.com]

Гм. Я не знаю, как тебе это удалось. Я этих стеков на 3750 десятки наинсталлировал - и хоть бы хны. Там внутри и ломаться-то нечему - простая печатная плата, на которую напаяны интерфейсы. IOS 12.2(58)SE выглядит подозрительно знакомой. Может, просто перегрев, и у флешки отошли контакты? Кстати, родная флешка-то?

[dadv.livejournal.com]

Когда мастер вылетает из стека, его flash1: становится недоступным стеку, поэтому такой трап. Сам флеш я потом потестировал - он полностью живой.

[fuflolog.livejournal.com]

Если мне не изменяет мой склероз, у стека нет своих собственных мозгов, все делается на мастере. В общем, я бы этому свитчу приоритет понизил и/или второму свитчу приоритет бы поднял. И пусть второй побудет мастером. Ну и на NMS бы выставил мониторинг температуры, RAM и т.п.

[dadv.livejournal.com]

Я же показывал трейсбеки - проблема чисто софтовая, в менеджере памяти. Перезагрузка заглючевшего свича не помогла, а вот полная перезагрузка обоих всё сразу оживила. Буду IOS поднимать.

[fuflolog.livejournal.com]

Путаешься в показаниях:

> "И потребовалось ДВА ребута его, чтобы он ожил."
> "полная перезагрузка обоих"

На сайте сиски caveats смотрел? А то смена IOS может и не помочь.

Кстати, интересно, в чем разница между твоими свитчами и моими. Может, ты на своих раутинг подняли или еще что? Мои тупо на Layer 2 работают.

[dadv.livejournal.com]

> На сайте сиски caveats смотрел?

Смотрел. Стопроцентных попаданий нет, но есть очень похожие.

> А то смена IOS может и не помочь.

При темных проблемах в менеджере памяти других вариантов-то и нет. Разве что протирать стекла и по колесам пинать.

> Мои тупо на Layer 2 работают.

Тут тоже. Ну и еще у нас в сети IPv6 есть немножно, но на самом свиче не включено.

[dadv.livejournal.com]

http://habrahabr.ru/post/216287/

[fuflolog.livejournal.com]

С неделю назад, как только сискино извещение получил, как раз вспоминал твой случай. ;-)

[orao.livejournal.com]

У Сиски роутеры, да и свитчи, не то чтобы просто дорогие, а еще и хреновые.
К сожалению, качество продукции основных вендоров за последние годы существенно снизилось. Качество поддержки упало ниже некуда.
Касательно роутеров, вендорам нет конкуренции на скоростях 20+, ниже - надо всегда рассматривать желуди и спички как более удобную, надежную, поддерживаемую и т.д. альтернативу, касательно fw/vpn gw надо всегда стараться избегать вендоров (особенно если ssl vpn) касательно коммутаторов, очень часто длинки значительно удобнее младших каталистов и надежнее джунов ex.
Так что бабушка надвое сказала.
Пожалуй пока из цискиной продукции мне более -менее нравятся только 6500 и asr9k

[fuflolog.livejournal.com]

> У Сиски роутеры, да и свитчи, не то чтобы просто дорогие, а еще и хреновые.

В чем хреновые или по сравнению с чем?

> качество продукции основных вендоров за последние годы существенно снизилось. Качество поддержки упало ниже некуда.

Справедливое замечание. Так и есть.

> надо всегда рассматривать желуди и спички как более удобную, надежную, поддерживаемую

Я видел раутеры, собранные на десктопе да на линуксе. Ни удобства, ни надежности, поддержка осуществлялась мальчиком-сборщиком.

> касательно fw/vpn gw надо всегда стараться избегать вендоров

Кому надо? По-моему, как раз наоборот, купил железяку, настроил один раз и забыл.

> касательно коммутаторов, очень часто длинки значительно удобнее младших каталистов

Что значит - удобнее?

> более -менее нравятся только 6500

6500 - это сискина вершина. До этой вершины Нексусам еще как до Китая раком. Но там, где реально скорость нужна или эта хренова виртуализация, 6500 уже не тянет, так что рано или поздно все будет нексусами уставлено.

[orao.livejournal.com]

>В чем хреновые или по сравнению с чем?
В удобстве поддержки (ios xr только скачок вперед), функциональности, производительности, масштабируемости. Аппаратной надежности, наконец! Что-то часто попадаются последнее время рутера, в которых кулеры болтаются в корпусе.
По сути (архитектура и реализация) это куда большие желуди и спички чем юникс-бокс, только сделаны вендором. В эпоху ethernet проблемы зоопарка типов интерфейсов нет, соответственно единственное преимущество вендора - это скорость, где она нужна. Где она не нужна, не стоит применять наследия прошлого.


Fw/vpn gw - в более-менее сложных конфигурациях с вендорными решениями всегда проблемы. Asa - глюкалово, которое ничего толком не умеет (в итоге нужно держать пачку коробок с вырастающим в небо тцо там, где можно поставить один сервак с опенвпн и bgp ). SSG/Netscreen тоже умеет немного, но меньшее глюкалово хоть и мозгодробительная конфигурация, Juniper srx - единственная коробка с нормальной функциональностью, но архитектура и реализация мегауебищны.
Ах да, вендорный ssl vpn - это отдельная песня, невеселая, увы. Хорошую идею так засрать - надо было суметь!

>Что значит - удобнее
Например, сложнее убиваются ошибкой оператора.
Например 2, очень гибкие по настройкам - от фильтров до того же qinq которое начинается в циске с 35-й серии.
Но cli в циско, конечно, удобнее. Если речь о единичных коробках с нестандартизированной конфигурацией и неавтоматизированными изменениями - cisco лучше. Еще лучше jun ex (и для автоматизации тоже!) , но там есть некоторые системные проблемы, их надо выбирать с осторожностью, помня о слабых местах.

А про 6500 соглашусь. Я не вижу за nexus никаких премуществ кроме fc и высокой плотности десяток. Маркетинговые отличия, выделение dc сегмента же само по себе зло

И еще дополнение - понятно, что все должно делаться так, чтобы существующая система не ломалась. Но где конвейера нет, происходит выбор оборудования - я за очень крепко подумать не в пользу вендора.

[fuflolog.livejournal.com]

Я поподробнее отдельно напишу, но вот на это:

> я за очень крепко подумать не в пользу вендора.

хотелось бы заметить, что dadv сам по себе - зародыш вендора. Добавить к нему грамотного маркетолога и исполнительного директора - и здравствуй, новый Эф Файф Биг АйПи!

[shurric.livejournal.com]

А можно в нескольких словах о системных проблемах и слабых местах juniper ex?

[orao.livejournal.com]

Самый главный дефект платформы - плохая устойчивость к потерям питания (разнос фс). Так как это access устройство обычно, их может быть много, стоять они могут в разных локациях, и т.д..
Я не понимаю причин этого, но за много лет подсказывают (я уже два года их не вертел) так и не починили. Dual Root Partitioning облегчает задачу recovery, но устойчивость всё равно низка.

Странности с QoS, полисинг-рейтлимитинг как-то очень ограниченно работал. Если это нужно - надо сначала убедиться, что именно такая конфигурация, которая нужна, будет работать.
Далее, старшие линейки - ограниченная поддержка MPLS и сервисов.

В целом, мне они очень нравятся, как и другие джуны, провизионинг на порядок лучше Cisco, но ощущение раздолбайства, присущее Juniper вообще, никуда не делось.

[fuflolog.livejournal.com]

Я, пожалуй, могу сформулировать, почему мне больше нравится линукс от вендора, чем самосборный. Вендор прячет от меня все типично линуксовые проблемы (поставить ту или иную библиотеку), а также все несовместимости софта с железом. Причем железо будет то же самое на весь срок поддержки. Мне не очень интересно искать запчасти к серверу самостоятельно. Иными словами, вендор добавляет value. Раньше вендоры делали это лучше, нынче - хуже, но value все равно присутствует.

> проблемы зоопарка типов интерфейсов нет

Всего лишь пару дней назад наблюдал мужиков, бегающих и кричащих что-то про ISDN... Жив зоопарк, куда ж он денется.

> Fw/vpn gw - в более-менее сложных конфигурациях с вендорными решениями всегда проблемы.

Эта тема от меня несколько далека, но на сотнях линий Cisco с GetVPN вполне справляется, а если надо больше, тогда можно и на Juniper перейти. ASA - штука совершенно загадочная, я тоже не понимаю, зачем она нужна. Видимо, чтоб линейка продуктов покрывала абсолютно все. Кое-что она умеет, например, мне надо было multicast через младшую ASA пробросить - я и не надеялся, что сможет - смогла!

> Например, сложнее убиваются ошибкой оператора.

Это плохое, негодное оборудование. Эдак мы придем, что вокруг будут сидеть тупые обезьянки, из гуя выбирающие исходный свитч и порт в нем, затем конечный свитч и порт, затем QoS из списка, и вуаля, сеть сама строит VRF и обеспечивает SLA. К этому в конце концов все и придет, только, вероятно, не при нашей жизни. А пока что квалификация инженегра, копающегося в кишочках сиски, должна быть достаточно высока, чтоб не отломать чего-нибудь там.

> Я не вижу за nexus никаких премуществ кроме fc и высокой плотности десяток. Маркетинговые отличия, выделение dc сегмента же само по себе зло

Nexus выглядит как попытка Сиски заскочить на уходящий поезд. В сегменте DC есть деньги, но, в общем, достаются они зачастую не Сиске, потому что сискино оборудование, в общем, для DC не подходит, слишком уж трудоемкая это работа - строить DC на сисках.

[orao.livejournal.com]

Это плохое, негодное оборудование. Эдак мы придем, что вокруг будут сидеть тупые обезьянки, из гуя выбирающие исходный свитч и порт в нем, затем конечный свитч и порт, затем QoS из списка, и вуаля, сеть сама строит VRF и обеспечивает SLA. К этому в конце концов все и придет, только, вероятно, не при нашей жизни. А пока что квалификация инженегра, копающегося в кишочках сиски, должна быть достаточно высока, чтоб не отломать чего-нибудь там.
Ну вообще-то, оператор так и должен работать. Никаких кишочков. Если без GUI, тогда хотя бы генератором. Плюс базовые возможности по траблшутингу (таблицы маков посмотреть, статусы интерфейса, протоколов, и т.д.), плюс базовые возможности по переконфигурации.
Дурацкая система конфигурирования в до-IOS-XR устройствах дает свободу делать опасные вещи и не даёт защиты вида commit confirmed. Есть правило в альпинизме - страховаться, не когда сложно, а страховаться, когда есть куда лететь. Вот традиционный IOS - это всегда есть куда лететь, хотя бы в контексте перепутать иерархию, недонабрать до конца команду (и удалить stp процесс с коммутатора вместо приоритей с порта), забыть add при добавлении влана в порт - да полно его.

[orao.livejournal.com]

Я, пожалуй, могу сформулировать, почему мне больше нравится линукс от вендора, чем самосборный. Вендор прячет от меня все типично линуксовые проблемы (поставить ту или иную библиотеку), а также все несовместимости софта с железом. Причем железо будет то же самое на весь срок поддержки. Мне не очень интересно искать запчасти к серверу самостоятельно. Иными словами, вендор добавляет value. Раньше вендоры делали это лучше, нынче - хуже, но value все равно присутствует.
Забывая про линукс, фиг там вендор что добавляет. Проблемы аппаратной совместимости (И надежности) Cisco/Jun не меньшие чем у PC сервака. Не меньшее количество поколений карт и технологий для одной коробки, между собой не совместимых. И бегать надо больше.
И так было испокон веков.

[http://users.livejournal.com/_dyr/]

Кажется, кто-то где-то не доразобрался. Телесины жуткое Г, мы от них как раз усиленно избавляемся. Длинков 3200-10 (а также 3200-28) уже штук 200 стоят, работают вообще без нареканий - с QinQ, ACL и всякими DHCP Relay.

[dadv.livejournal.com]

> Кажется, кто-то где-то не доразобрался.

Осталось только в техподдержку писать с pcap-файлом в аттаче. Но клиенту надо было работать сейчас, поэтому заменили на то, что было.

> Телесины жуткое Г, мы от них как раз усиленно избавляемся.

Мы тоже. Но тут такое дело - ВСЁ жуткое говно, только ты можешь не знать об этом долгие годы, пока не напорешься. У нес тоже 3200/10 стоят, только не 200 штук, а 1800. Не сказать, чтобы они работали без нарекений - у них есть большие проблемы со сходимостью MSTP и вообще реакцией на topology notifications в смысле загрузки CPU. И другие претензии к ним есть тоже.

И про телесины я могу понарассказать. И про Cisco 3750 тоже.

[http://users.livejournal.com/_dyr/]

Я бы предположил ещё посмотреть dos_prevention. Но в целом, если при 1800 длинках проблема с FTP появилась только на одном длинке, то я бы подозревал проблему в первую очередь в конфиге, а не в железе.

[fuflolog.livejournal.com]

> ВСЁ жуткое говно, только ты можешь не знать об этом долгие годы, пока не напорешься

Если стараться выжать из железа по максимуму, да еще и городить в сети зоопарк от разных вендоров в надежде, что все они поддерживают стандарты и как-нибудь все между собой состыкуются, то напорешься очень быстро. Я поучаствовал всего один один раз - урок усвоен.

[dadv.livejournal.com]

> Если стараться выжать из железа по максимуму

Да оно б хотя бы на 70% заявленной мощи работало.

> в надежде, что все они поддерживают стандарты и как-нибудь все между собой состыкуются, то напорешься очень быстро.

Я и говорю - всё говно. И использование продукции одной лишь Cisco опять же ничего не гарантирует. Например, описание QoS для младших коммутаторов начинается с предупреждения о несовместимости с 6500 и необходимости читать доку на 6500, прежде чем включать QoS на младшеньких.

[fuflolog.livejournal.com]

> описание QoS для младших коммутаторов начинается с предупреждения о несовместимости с 6500

Я бы сказал, что QoS на сискиных свитчах заметно отличается от модели к модели, и доки читать надо обязательно.

> использование продукции одной лишь Cisco опять же ничего не гарантирует.

Если ты о том, что у каждой железки есть свои ограничения, и при проектировании их надо знать - то да, увы. Но в целом моновендорная сеть сильно сокращает геморрой. Мне, например, очень сильно не понравилось совокуплять свитчи от Black Diamond с сискинскими - совпадающего варианта для per vlan spanning tree не нашлось, и пришлось, как лоху, обычный STP настраивать. Или вот, файервол от Джунипера с сисковским раутером (877, если что) - ну не нравится джуниперу те id, что сиска отправляет. И не нравится ему, что интерфейс VLAN может быть в состоянии down, если ни одного активного хоста в VLAN нет...

И наоборот, CDP, PVST, EIGRP - поди плохо, если любая железка их понимает. Не говоря уж о едином синтаксисе команд. И документация. Документирована Сиска по-прежнему лучше других вендоров.

[dadv.livejournal.com]

Насчет документации соглашусь.

[orao.livejournal.com]

Хм, у меня ipsec cisco ios/ srx завелся сразу... Значительно легче чем asa-asa разных софтов;) Или о каких id речь?
Вместо cdp считаю политически правильнее использовть lldp в наше время.

[fuflolog.livejournal.com]

> Хм, у меня ipsec cisco ios/ srx завелся сразу...

А у меня вторая фаза поначалу не проходила. Но это было года три-четыре назад, так что подробности уже тяжело вспомнить.

> политически правильнее использовть lldp

Не надо про политику, среди клиентов попадаются такие, что требуют и CDP запретить как несекурный.

Функционал у LLDP пошире, чем у CDP, но все равно мне не хотелось бы попасть в ситуацию, когда он мне понадобится.

[orao.livejournal.com]

Сейчас принято и cdp запрещать как не секурный, и lldp.
У lldp главное преимущество - что его умеет все. И я не удивлюсь если рано или поздно только он в циске и останется.
Но для некоторых проектов они мегаудобны. А учитывая, что выбирая решение, мы ориентируемся на бизнес-потребности заказчика, хоть бы и себя, лучше делать так, чтобы ориентация не перешла на бизнес-потребности вендора, тоесть, избегать по-возможности подсаживающих на иглу решений ;) В конце концов, даже если мигрировать планов нет, лучше быть ко всему готовым, в конце концов даже am-у вендора лучше знать, что можем мигрировать в любой момент, и то оборудование которое он продает для нас - полное говно, и только очень-очень хорошие условия могут сохранить сотрудничество.

[fuflolog.livejournal.com]

Не исключено, что только LLDP со временем и останется. ISL сдох уже, на транках у Сиски только 802.1Q и остался, оба PAgP & LACP поддерживаются практически всеми железками и т.п.

Засекьюрить бы только его, чтоб никому не приходило в голову его отключать, потому что иногда без L2 discovery ну совсем никак.