Изотропность

2013-10-31 16:44
dadv: (chuck)
[personal profile] dadv

Забавный случай.

Имеется vlan, внутри которого идёт клиентский трафик, в частности FTP.

Если клиент использует FTP пассивного режима - файлы льются нормально. Если активный - соединение для передачи данных не устанавливается, причем пакеты с 20-го порта сервера на динамический порт FTP-клиента уходят, но wireshark на стороне клиента показывает, что они туда не приходят.

Локализовал проблему до двух коммутаторов последней мили, уже в L2-сети. Один из них - Catalyst 3750G на распределении, отзеркалировал трафик с исходящего в сторону коммутатора доступа порта - пакеты эти вижу. Между этим каталистом и клиентом один единственный коммутатор доступа - D-Link DES 3200/10 (firmware 4.35.B016). Проверка локальным зеркалированием на нём показала, что с аплинка эти пакеты в свич приходят, но клиенту свич их не выдаёт.

Очевидно, что виноват D-Link. Удалили из его конфигурации все ACL - не помогло, перезагрузка после этого тоже не помогла. Обновление софта до свежей верии 4.36B009 ничего не изменило, как и последующий даунгрейд до 4.33.

Поменяли свич на AT-8000S/24 и проблема ушла.

Tags:
Flat | Top-Level Comments Only

Date: 2013-11-01 13:36 (UTC)
From: [identity profile] dadv.livejournal.com
> Если стараться выжать из железа по максимуму

Да оно б хотя бы на 70% заявленной мощи работало.

> в надежде, что все они поддерживают стандарты и как-нибудь все между собой состыкуются, то напорешься очень быстро.

Я и говорю - всё говно. И использование продукции одной лишь Cisco опять же ничего не гарантирует. Например, описание QoS для младших коммутаторов начинается с предупреждения о несовместимости с 6500 и необходимости читать доку на 6500, прежде чем включать QoS на младшеньких.

Date: 2013-11-01 14:30 (UTC)
From: [identity profile] fuflolog.livejournal.com
> описание QoS для младших коммутаторов начинается с предупреждения о несовместимости с 6500

Я бы сказал, что QoS на сискиных свитчах заметно отличается от модели к модели, и доки читать надо обязательно.

> использование продукции одной лишь Cisco опять же ничего не гарантирует.

Если ты о том, что у каждой железки есть свои ограничения, и при проектировании их надо знать - то да, увы. Но в целом моновендорная сеть сильно сокращает геморрой. Мне, например, очень сильно не понравилось совокуплять свитчи от Black Diamond с сискинскими - совпадающего варианта для per vlan spanning tree не нашлось, и пришлось, как лоху, обычный STP настраивать. Или вот, файервол от Джунипера с сисковским раутером (877, если что) - ну не нравится джуниперу те id, что сиска отправляет. И не нравится ему, что интерфейс VLAN может быть в состоянии down, если ни одного активного хоста в VLAN нет...

И наоборот, CDP, PVST, EIGRP - поди плохо, если любая железка их понимает. Не говоря уж о едином синтаксисе команд. И документация. Документирована Сиска по-прежнему лучше других вендоров.

Date: 2013-11-01 14:45 (UTC)
From: [identity profile] dadv.livejournal.com
Насчет документации соглашусь.

Date: 2013-11-01 15:46 (UTC)
From: [identity profile] orao.livejournal.com
Хм, у меня ipsec cisco ios/ srx завелся сразу... Значительно легче чем asa-asa разных софтов;) Или о каких id речь?
Вместо cdp считаю политически правильнее использовть lldp в наше время.
Edited Date: 2013-11-01 15:48 (UTC)

Date: 2013-11-02 01:03 (UTC)
From: [identity profile] fuflolog.livejournal.com
> Хм, у меня ipsec cisco ios/ srx завелся сразу...

А у меня вторая фаза поначалу не проходила. Но это было года три-четыре назад, так что подробности уже тяжело вспомнить.

> политически правильнее использовть lldp

Не надо про политику, среди клиентов попадаются такие, что требуют и CDP запретить как несекурный.

Функционал у LLDP пошире, чем у CDP, но все равно мне не хотелось бы попасть в ситуацию, когда он мне понадобится.

Date: 2013-11-02 09:09 (UTC)
From: [identity profile] orao.livejournal.com
Сейчас принято и cdp запрещать как не секурный, и lldp.
У lldp главное преимущество - что его умеет все. И я не удивлюсь если рано или поздно только он в циске и останется.
Но для некоторых проектов они мегаудобны. А учитывая, что выбирая решение, мы ориентируемся на бизнес-потребности заказчика, хоть бы и себя, лучше делать так, чтобы ориентация не перешла на бизнес-потребности вендора, тоесть, избегать по-возможности подсаживающих на иглу решений ;) В конце концов, даже если мигрировать планов нет, лучше быть ко всему готовым, в конце концов даже am-у вендора лучше знать, что можем мигрировать в любой момент, и то оборудование которое он продает для нас - полное говно, и только очень-очень хорошие условия могут сохранить сотрудничество.
Edited Date: 2013-11-02 09:12 (UTC)

Date: 2013-11-05 03:04 (UTC)
From: [identity profile] fuflolog.livejournal.com
Не исключено, что только LLDP со временем и останется. ISL сдох уже, на транках у Сиски только 802.1Q и остался, оба PAgP & LACP поддерживаются практически всеми железками и т.п.

Засекьюрить бы только его, чтоб никому не приходило в голову его отключать, потому что иногда без L2 discovery ну совсем никак.
Flat | Top-Level Comments Only

Profile

dadv: (Default)
Choose your future

July 2024

M T W T F S S
12 34567
891011121314
15161718192021
22232425262728
293031    

Tags

Style Credit

Powered by Dreamwidth Studios