Изотропность

[dadv]

Забавный случай.

Имеется vlan, внутри которого идёт клиентский трафик, в частности FTP.

Если клиент использует FTP пассивного режима - файлы льются нормально. Если активный - соединение для передачи данных не устанавливается, причем пакеты с 20-го порта сервера на динамический порт FTP-клиента уходят, но wireshark на стороне клиента показывает, что они туда не приходят.

Локализовал проблему до двух коммутаторов последней мили, уже в L2-сети. Один из них - Catalyst 3750G на распределении, отзеркалировал трафик с исходящего в сторону коммутатора доступа порта - пакеты эти вижу. Между этим каталистом и клиентом один единственный коммутатор доступа - D-Link DES 3200/10 (firmware 4.35.B016). Проверка локальным зеркалированием на нём показала, что с аплинка эти пакеты в свич приходят, но клиенту свич их не выдаёт.

Очевидно, что виноват D-Link. Удалили из его конфигурации все ACL - не помогло, перезагрузка после этого тоже не помогла. Обновление софта до свежей верии 4.36B009 ничего не изменило, как и последующий даунгрейд до 4.33.

Поменяли свич на AT-8000S/24 и проблема ушла.

Comments

[fuflolog.livejournal.com]

> описание QoS для младших коммутаторов начинается с предупреждения о несовместимости с 6500

Я бы сказал, что QoS на сискиных свитчах заметно отличается от модели к модели, и доки читать надо обязательно.

> использование продукции одной лишь Cisco опять же ничего не гарантирует.

Если ты о том, что у каждой железки есть свои ограничения, и при проектировании их надо знать - то да, увы. Но в целом моновендорная сеть сильно сокращает геморрой. Мне, например, очень сильно не понравилось совокуплять свитчи от Black Diamond с сискинскими - совпадающего варианта для per vlan spanning tree не нашлось, и пришлось, как лоху, обычный STP настраивать. Или вот, файервол от Джунипера с сисковским раутером (877, если что) - ну не нравится джуниперу те id, что сиска отправляет. И не нравится ему, что интерфейс VLAN может быть в состоянии down, если ни одного активного хоста в VLAN нет...

И наоборот, CDP, PVST, EIGRP - поди плохо, если любая железка их понимает. Не говоря уж о едином синтаксисе команд. И документация. Документирована Сиска по-прежнему лучше других вендоров.

[dadv.livejournal.com]

Насчет документации соглашусь.

[orao.livejournal.com]

Хм, у меня ipsec cisco ios/ srx завелся сразу... Значительно легче чем asa-asa разных софтов;) Или о каких id речь?
Вместо cdp считаю политически правильнее использовть lldp в наше время.

[fuflolog.livejournal.com]

> Хм, у меня ipsec cisco ios/ srx завелся сразу...

А у меня вторая фаза поначалу не проходила. Но это было года три-четыре назад, так что подробности уже тяжело вспомнить.

> политически правильнее использовть lldp

Не надо про политику, среди клиентов попадаются такие, что требуют и CDP запретить как несекурный.

Функционал у LLDP пошире, чем у CDP, но все равно мне не хотелось бы попасть в ситуацию, когда он мне понадобится.

[orao.livejournal.com]

Сейчас принято и cdp запрещать как не секурный, и lldp.
У lldp главное преимущество - что его умеет все. И я не удивлюсь если рано или поздно только он в циске и останется.
Но для некоторых проектов они мегаудобны. А учитывая, что выбирая решение, мы ориентируемся на бизнес-потребности заказчика, хоть бы и себя, лучше делать так, чтобы ориентация не перешла на бизнес-потребности вендора, тоесть, избегать по-возможности подсаживающих на иглу решений ;) В конце концов, даже если мигрировать планов нет, лучше быть ко всему готовым, в конце концов даже am-у вендора лучше знать, что можем мигрировать в любой момент, и то оборудование которое он продает для нас - полное говно, и только очень-очень хорошие условия могут сохранить сотрудничество.

[fuflolog.livejournal.com]

Не исключено, что только LLDP со временем и останется. ISL сдох уже, на транках у Сиски только 802.1Q и остался, оба PAgP & LACP поддерживаются практически всеми железками и т.п.

Засекьюрить бы только его, чтоб никому не приходило в голову его отключать, потому что иногда без L2 discovery ну совсем никак.