CCIE.pl

site 4 CCIE wannabies
Dzisiaj jest 12 gru 2017, 09:22

Strefa czasowa UTC+01:00




Nowy temat  Odpowiedz w temacie  [ Posty: 2 ] 
Autor Wiadomość
Post #1 : 15 maja 2017, 21:58 
Offline
wannabe
wannabe

Rejestracja: 09 kwie 2006, 14:04
Posty: 171
Lokalizacja: Poznań
Hej,

Czy ktoś z Was spotkał się może z problemem że QFX5100 wypakowując ruch z tunelu VTEP analizuje TTL pakietu wewnątrz tunelu i dropuje pakiety z TTL=1 ? I co ciekawe - tylko pakiety multicastowe. Ruch unicast udp/tcp leci poprawnie w ramach VXLAN nawet z TTL=1.

Ścieżka ruchu wygląda tak:

LEAF1 -> SPINE -> LEAF2

(to uproszczenie, bo mamy jeszcze sygnalizację evpn która leci do MXów, ale to raczej nie ma znaczenia w tym przypadku, gdyż temat nie dotyczy sygnalizacji control-plane, tylko - moim zdaniem - niepoprawnego działania data plane).

Ruch dociera do LEAF2, trafia w interfejs VTEP, po czym jest dropowany (nie jest wysyłany do serwera docelowego).

Wygląda mi to na jakiś błąd w obsłudze ścieżki ruchu, ale JTAC zanim się wypowie to pewnie jeszcze trochę minie, a może ktoś już dotknął tego problemu i zna rozwiązanie.

pozdr.,
Paweł


Na górę
Post #2 : 26 maja 2017, 23:24 
Offline
wannabe
wannabe

Rejestracja: 09 kwie 2006, 14:04
Posty: 171
Lokalizacja: Poznań
Cytuj:
Hej,

Czy ktoś z Was spotkał się może z problemem że QFX5100 wypakowując ruch z tunelu VTEP analizuje TTL pakietu wewnątrz tunelu i dropuje pakiety z TTL=1 ? I co ciekawe - tylko pakiety multicastowe. Ruch unicast udp/tcp leci poprawnie w ramach VXLAN nawet z TTL=1.

Ścieżka ruchu wygląda tak:

LEAF1 -> SPINE -> LEAF2

(to uproszczenie, bo mamy jeszcze sygnalizację evpn która leci do MXów, ale to raczej nie ma znaczenia w tym przypadku, gdyż temat nie dotyczy sygnalizacji control-plane, tylko - moim zdaniem - niepoprawnego działania data plane).

Ruch dociera do LEAF2, trafia w interfejs VTEP, po czym jest dropowany (nie jest wysyłany do serwera docelowego).

Wygląda mi to na jakiś błąd w obsłudze ścieżki ruchu, ale JTAC zanim się wypowie to pewnie jeszcze trochę minie, a może ktoś już dotknął tego problemu i zna rozwiązanie.

pozdr.,
Paweł
Odpowiem sobie sam :) może komuś sie przyda. Okazało się, że problem dotyczył całego ruchu z TTL=1 (nie tylko multicastów).

Jest to ograniczenie Broadcom-owego Trident-a II na którym zbudowany jest qfx5100. Trident II pakiety z TTL=0 lub 1 wyrzuca z przetwarzania do routing-engine-u, który z kolei przetwarza to w ścieżce pakietów kierowanych do RE (czyli w szczególności przez filtry). A że filtry bezpieczeństwa na Lo0 blokowały taki ruch tranzytowy (bo nie powinien on w ogóle dotykać RE) pakiety były dropowane. Obejściem problemu jest przepuszczenie w filtrach do RE pakietów z ttl=1 na port udp 5001 (vtep/vxlan) - i ruch wtedy jest obsługiwany prawidłowo.

pozdr.,
Paweł


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie  [ Posty: 2 ] 

Strefa czasowa UTC+01:00


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Technologię dostarcza phpBB® Forum Software © phpBB Limited
Polski pakiet językowy dostarcza phpBB.pl