Изотропность
2013-10-31 16:44![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
dadvЗабавный случай.
Имеется vlan, внутри которого идёт клиентский трафик, в частности FTP.
Если клиент использует FTP пассивного режима - файлы льются нормально. Если активный - соединение для передачи данных не устанавливается, причем пакеты с 20-го порта сервера на динамический порт FTP-клиента уходят, но wireshark на стороне клиента показывает, что они туда не приходят.
Локализовал проблему до двух коммутаторов последней мили, уже в L2-сети. Один из них - Catalyst 3750G на распределении, отзеркалировал трафик с исходящего в сторону коммутатора доступа порта - пакеты эти вижу. Между этим каталистом и клиентом один единственный коммутатор доступа - D-Link DES 3200/10 (firmware 4.35.B016). Проверка локальным зеркалированием на нём показала, что с аплинка эти пакеты в свич приходят, но клиенту свич их не выдаёт.
Очевидно, что виноват D-Link. Удалили из его конфигурации все ACL - не помогло, перезагрузка после этого тоже не помогла. Обновление софта до свежей верии 4.36B009 ничего не изменило, как и последующий даунгрейд до 4.33.
Поменяли свич на AT-8000S/24 и проблема ушла.
no subject
Date: 2013-11-05 02:57 (UTC)> проблемы зоопарка типов интерфейсов нет
Всего лишь пару дней назад наблюдал мужиков, бегающих и кричащих что-то про ISDN... Жив зоопарк, куда ж он денется.
> Fw/vpn gw - в более-менее сложных конфигурациях с вендорными решениями всегда проблемы.
Эта тема от меня несколько далека, но на сотнях линий Cisco с GetVPN вполне справляется, а если надо больше, тогда можно и на Juniper перейти. ASA - штука совершенно загадочная, я тоже не понимаю, зачем она нужна. Видимо, чтоб линейка продуктов покрывала абсолютно все. Кое-что она умеет, например, мне надо было multicast через младшую ASA пробросить - я и не надеялся, что сможет - смогла!
> Например, сложнее убиваются ошибкой оператора.
Это плохое, негодное оборудование. Эдак мы придем, что вокруг будут сидеть тупые обезьянки, из гуя выбирающие исходный свитч и порт в нем, затем конечный свитч и порт, затем QoS из списка, и вуаля, сеть сама строит VRF и обеспечивает SLA. К этому в конце концов все и придет, только, вероятно, не при нашей жизни. А пока что квалификация инженегра, копающегося в кишочках сиски, должна быть достаточно высока, чтоб не отломать чего-нибудь там.
> Я не вижу за nexus никаких премуществ кроме fc и высокой плотности десяток. Маркетинговые отличия, выделение dc сегмента же само по себе зло
Nexus выглядит как попытка Сиски заскочить на уходящий поезд. В сегменте DC есть деньги, но, в общем, достаются они зачастую не Сиске, потому что сискино оборудование, в общем, для DC не подходит, слишком уж трудоемкая это работа - строить DC на сисках.
no subject
Date: 2013-11-05 09:22 (UTC)Ну вообще-то, оператор так и должен работать. Никаких кишочков. Если без GUI, тогда хотя бы генератором. Плюс базовые возможности по траблшутингу (таблицы маков посмотреть, статусы интерфейса, протоколов, и т.д.), плюс базовые возможности по переконфигурации.
Дурацкая система конфигурирования в до-IOS-XR устройствах дает свободу делать опасные вещи и не даёт защиты вида commit confirmed. Есть правило в альпинизме - страховаться, не когда сложно, а страховаться, когда есть куда лететь. Вот традиционный IOS - это всегда есть куда лететь, хотя бы в контексте перепутать иерархию, недонабрать до конца команду (и удалить stp процесс с коммутатора вместо приоритей с порта), забыть add при добавлении влана в порт - да полно его.
no subject
Date: 2013-11-05 09:26 (UTC)Забывая про линукс, фиг там вендор что добавляет. Проблемы аппаратной совместимости (И надежности) Cisco/Jun не меньшие чем у PC сервака. Не меньшее количество поколений карт и технологий для одной коробки, между собой не совместимых. И бегать надо больше.
И так было испокон веков.