Изотропность

[dadv]

Забавный случай.

Имеется vlan, внутри которого идёт клиентский трафик, в частности FTP.

Если клиент использует FTP пассивного режима - файлы льются нормально. Если активный - соединение для передачи данных не устанавливается, причем пакеты с 20-го порта сервера на динамический порт FTP-клиента уходят, но wireshark на стороне клиента показывает, что они туда не приходят.

Локализовал проблему до двух коммутаторов последней мили, уже в L2-сети. Один из них - Catalyst 3750G на распределении, отзеркалировал трафик с исходящего в сторону коммутатора доступа порта - пакеты эти вижу. Между этим каталистом и клиентом один единственный коммутатор доступа - D-Link DES 3200/10 (firmware 4.35.B016). Проверка локальным зеркалированием на нём показала, что с аплинка эти пакеты в свич приходят, но клиенту свич их не выдаёт.

Очевидно, что виноват D-Link. Удалили из его конфигурации все ACL - не помогло, перезагрузка после этого тоже не помогла. Обновление софта до свежей верии 4.36B009 ничего не изменило, как и последующий даунгрейд до 4.33.

Поменяли свич на AT-8000S/24 и проблема ушла.

Comments

[orao.livejournal.com]

У Сиски роутеры, да и свитчи, не то чтобы просто дорогие, а еще и хреновые.
К сожалению, качество продукции основных вендоров за последние годы существенно снизилось. Качество поддержки упало ниже некуда.
Касательно роутеров, вендорам нет конкуренции на скоростях 20+, ниже - надо всегда рассматривать желуди и спички как более удобную, надежную, поддерживаемую и т.д. альтернативу, касательно fw/vpn gw надо всегда стараться избегать вендоров (особенно если ssl vpn) касательно коммутаторов, очень часто длинки значительно удобнее младших каталистов и надежнее джунов ex.
Так что бабушка надвое сказала.
Пожалуй пока из цискиной продукции мне более -менее нравятся только 6500 и asr9k

[fuflolog.livejournal.com]

> У Сиски роутеры, да и свитчи, не то чтобы просто дорогие, а еще и хреновые.

В чем хреновые или по сравнению с чем?

> качество продукции основных вендоров за последние годы существенно снизилось. Качество поддержки упало ниже некуда.

Справедливое замечание. Так и есть.

> надо всегда рассматривать желуди и спички как более удобную, надежную, поддерживаемую

Я видел раутеры, собранные на десктопе да на линуксе. Ни удобства, ни надежности, поддержка осуществлялась мальчиком-сборщиком.

> касательно fw/vpn gw надо всегда стараться избегать вендоров

Кому надо? По-моему, как раз наоборот, купил железяку, настроил один раз и забыл.

> касательно коммутаторов, очень часто длинки значительно удобнее младших каталистов

Что значит - удобнее?

> более -менее нравятся только 6500

6500 - это сискина вершина. До этой вершины Нексусам еще как до Китая раком. Но там, где реально скорость нужна или эта хренова виртуализация, 6500 уже не тянет, так что рано или поздно все будет нексусами уставлено.

[orao.livejournal.com]

>В чем хреновые или по сравнению с чем?
В удобстве поддержки (ios xr только скачок вперед), функциональности, производительности, масштабируемости. Аппаратной надежности, наконец! Что-то часто попадаются последнее время рутера, в которых кулеры болтаются в корпусе.
По сути (архитектура и реализация) это куда большие желуди и спички чем юникс-бокс, только сделаны вендором. В эпоху ethernet проблемы зоопарка типов интерфейсов нет, соответственно единственное преимущество вендора - это скорость, где она нужна. Где она не нужна, не стоит применять наследия прошлого.


Fw/vpn gw - в более-менее сложных конфигурациях с вендорными решениями всегда проблемы. Asa - глюкалово, которое ничего толком не умеет (в итоге нужно держать пачку коробок с вырастающим в небо тцо там, где можно поставить один сервак с опенвпн и bgp ). SSG/Netscreen тоже умеет немного, но меньшее глюкалово хоть и мозгодробительная конфигурация, Juniper srx - единственная коробка с нормальной функциональностью, но архитектура и реализация мегауебищны.
Ах да, вендорный ssl vpn - это отдельная песня, невеселая, увы. Хорошую идею так засрать - надо было суметь!

>Что значит - удобнее
Например, сложнее убиваются ошибкой оператора.
Например 2, очень гибкие по настройкам - от фильтров до того же qinq которое начинается в циске с 35-й серии.
Но cli в циско, конечно, удобнее. Если речь о единичных коробках с нестандартизированной конфигурацией и неавтоматизированными изменениями - cisco лучше. Еще лучше jun ex (и для автоматизации тоже!) , но там есть некоторые системные проблемы, их надо выбирать с осторожностью, помня о слабых местах.

А про 6500 соглашусь. Я не вижу за nexus никаких премуществ кроме fc и высокой плотности десяток. Маркетинговые отличия, выделение dc сегмента же само по себе зло

И еще дополнение - понятно, что все должно делаться так, чтобы существующая система не ломалась. Но где конвейера нет, происходит выбор оборудования - я за очень крепко подумать не в пользу вендора.

[fuflolog.livejournal.com]

Я поподробнее отдельно напишу, но вот на это:

> я за очень крепко подумать не в пользу вендора.

хотелось бы заметить, что dadv сам по себе - зародыш вендора. Добавить к нему грамотного маркетолога и исполнительного директора - и здравствуй, новый Эф Файф Биг АйПи!

[shurric.livejournal.com]

А можно в нескольких словах о системных проблемах и слабых местах juniper ex?

[orao.livejournal.com]

Самый главный дефект платформы - плохая устойчивость к потерям питания (разнос фс). Так как это access устройство обычно, их может быть много, стоять они могут в разных локациях, и т.д..
Я не понимаю причин этого, но за много лет подсказывают (я уже два года их не вертел) так и не починили. Dual Root Partitioning облегчает задачу recovery, но устойчивость всё равно низка.

Странности с QoS, полисинг-рейтлимитинг как-то очень ограниченно работал. Если это нужно - надо сначала убедиться, что именно такая конфигурация, которая нужна, будет работать.
Далее, старшие линейки - ограниченная поддержка MPLS и сервисов.

В целом, мне они очень нравятся, как и другие джуны, провизионинг на порядок лучше Cisco, но ощущение раздолбайства, присущее Juniper вообще, никуда не делось.

[fuflolog.livejournal.com]

Я, пожалуй, могу сформулировать, почему мне больше нравится линукс от вендора, чем самосборный. Вендор прячет от меня все типично линуксовые проблемы (поставить ту или иную библиотеку), а также все несовместимости софта с железом. Причем железо будет то же самое на весь срок поддержки. Мне не очень интересно искать запчасти к серверу самостоятельно. Иными словами, вендор добавляет value. Раньше вендоры делали это лучше, нынче - хуже, но value все равно присутствует.

> проблемы зоопарка типов интерфейсов нет

Всего лишь пару дней назад наблюдал мужиков, бегающих и кричащих что-то про ISDN... Жив зоопарк, куда ж он денется.

> Fw/vpn gw - в более-менее сложных конфигурациях с вендорными решениями всегда проблемы.

Эта тема от меня несколько далека, но на сотнях линий Cisco с GetVPN вполне справляется, а если надо больше, тогда можно и на Juniper перейти. ASA - штука совершенно загадочная, я тоже не понимаю, зачем она нужна. Видимо, чтоб линейка продуктов покрывала абсолютно все. Кое-что она умеет, например, мне надо было multicast через младшую ASA пробросить - я и не надеялся, что сможет - смогла!

> Например, сложнее убиваются ошибкой оператора.

Это плохое, негодное оборудование. Эдак мы придем, что вокруг будут сидеть тупые обезьянки, из гуя выбирающие исходный свитч и порт в нем, затем конечный свитч и порт, затем QoS из списка, и вуаля, сеть сама строит VRF и обеспечивает SLA. К этому в конце концов все и придет, только, вероятно, не при нашей жизни. А пока что квалификация инженегра, копающегося в кишочках сиски, должна быть достаточно высока, чтоб не отломать чего-нибудь там.

> Я не вижу за nexus никаких премуществ кроме fc и высокой плотности десяток. Маркетинговые отличия, выделение dc сегмента же само по себе зло

Nexus выглядит как попытка Сиски заскочить на уходящий поезд. В сегменте DC есть деньги, но, в общем, достаются они зачастую не Сиске, потому что сискино оборудование, в общем, для DC не подходит, слишком уж трудоемкая это работа - строить DC на сисках.

[orao.livejournal.com]

Это плохое, негодное оборудование. Эдак мы придем, что вокруг будут сидеть тупые обезьянки, из гуя выбирающие исходный свитч и порт в нем, затем конечный свитч и порт, затем QoS из списка, и вуаля, сеть сама строит VRF и обеспечивает SLA. К этому в конце концов все и придет, только, вероятно, не при нашей жизни. А пока что квалификация инженегра, копающегося в кишочках сиски, должна быть достаточно высока, чтоб не отломать чего-нибудь там.
Ну вообще-то, оператор так и должен работать. Никаких кишочков. Если без GUI, тогда хотя бы генератором. Плюс базовые возможности по траблшутингу (таблицы маков посмотреть, статусы интерфейса, протоколов, и т.д.), плюс базовые возможности по переконфигурации.
Дурацкая система конфигурирования в до-IOS-XR устройствах дает свободу делать опасные вещи и не даёт защиты вида commit confirmed. Есть правило в альпинизме - страховаться, не когда сложно, а страховаться, когда есть куда лететь. Вот традиционный IOS - это всегда есть куда лететь, хотя бы в контексте перепутать иерархию, недонабрать до конца команду (и удалить stp процесс с коммутатора вместо приоритей с порта), забыть add при добавлении влана в порт - да полно его.

[orao.livejournal.com]

Я, пожалуй, могу сформулировать, почему мне больше нравится линукс от вендора, чем самосборный. Вендор прячет от меня все типично линуксовые проблемы (поставить ту или иную библиотеку), а также все несовместимости софта с железом. Причем железо будет то же самое на весь срок поддержки. Мне не очень интересно искать запчасти к серверу самостоятельно. Иными словами, вендор добавляет value. Раньше вендоры делали это лучше, нынче - хуже, но value все равно присутствует.
Забывая про линукс, фиг там вендор что добавляет. Проблемы аппаратной совместимости (И надежности) Cisco/Jun не меньшие чем у PC сервака. Не меньшее количество поколений карт и технологий для одной коробки, между собой не совместимых. И бегать надо больше.
И так было испокон веков.