CCIE.pl

site 4 CCIE wannabies
It is currently 24 Aug 2017, 05:04

All times are UTC+02:00




Post new topic  Reply to topic  [ 2 posts ] 
Author Message
Post #1 Posted: 15 May 2017, 21:58 
Offline
wannabe
wannabe

Joined: 09 Apr 2006, 14:04
Posts: 171
Location: Poznań
Hej,

Czy ktoś z Was spotkał się może z problemem że QFX5100 wypakowując ruch z tunelu VTEP analizuje TTL pakietu wewnątrz tunelu i dropuje pakiety z TTL=1 ? I co ciekawe - tylko pakiety multicastowe. Ruch unicast udp/tcp leci poprawnie w ramach VXLAN nawet z TTL=1.

Ścieżka ruchu wygląda tak:

LEAF1 -> SPINE -> LEAF2

(to uproszczenie, bo mamy jeszcze sygnalizację evpn która leci do MXów, ale to raczej nie ma znaczenia w tym przypadku, gdyż temat nie dotyczy sygnalizacji control-plane, tylko - moim zdaniem - niepoprawnego działania data plane).

Ruch dociera do LEAF2, trafia w interfejs VTEP, po czym jest dropowany (nie jest wysyłany do serwera docelowego).

Wygląda mi to na jakiś błąd w obsłudze ścieżki ruchu, ale JTAC zanim się wypowie to pewnie jeszcze trochę minie, a może ktoś już dotknął tego problemu i zna rozwiązanie.

pozdr.,
Paweł


Top
   
Post #2 Posted: 26 May 2017, 23:24 
Offline
wannabe
wannabe

Joined: 09 Apr 2006, 14:04
Posts: 171
Location: Poznań
horhe358 wrote:
Hej,

Czy ktoś z Was spotkał się może z problemem że QFX5100 wypakowując ruch z tunelu VTEP analizuje TTL pakietu wewnątrz tunelu i dropuje pakiety z TTL=1 ? I co ciekawe - tylko pakiety multicastowe. Ruch unicast udp/tcp leci poprawnie w ramach VXLAN nawet z TTL=1.

Ścieżka ruchu wygląda tak:

LEAF1 -> SPINE -> LEAF2

(to uproszczenie, bo mamy jeszcze sygnalizację evpn która leci do MXów, ale to raczej nie ma znaczenia w tym przypadku, gdyż temat nie dotyczy sygnalizacji control-plane, tylko - moim zdaniem - niepoprawnego działania data plane).

Ruch dociera do LEAF2, trafia w interfejs VTEP, po czym jest dropowany (nie jest wysyłany do serwera docelowego).

Wygląda mi to na jakiś błąd w obsłudze ścieżki ruchu, ale JTAC zanim się wypowie to pewnie jeszcze trochę minie, a może ktoś już dotknął tego problemu i zna rozwiązanie.

pozdr.,
Paweł


Odpowiem sobie sam :) może komuś sie przyda. Okazało się, że problem dotyczył całego ruchu z TTL=1 (nie tylko multicastów).

Jest to ograniczenie Broadcom-owego Trident-a II na którym zbudowany jest qfx5100. Trident II pakiety z TTL=0 lub 1 wyrzuca z przetwarzania do routing-engine-u, który z kolei przetwarza to w ścieżce pakietów kierowanych do RE (czyli w szczególności przez filtry). A że filtry bezpieczeństwa na Lo0 blokowały taki ruch tranzytowy (bo nie powinien on w ogóle dotykać RE) pakiety były dropowane. Obejściem problemu jest przepuszczenie w filtrach do RE pakietów z ttl=1 na port udp 5001 (vtep/vxlan) - i ruch wtedy jest obsługiwany prawidłowo.

pozdr.,
Paweł


Top
   
Display posts from previous:  Sort by  
Post new topic  Reply to topic  [ 2 posts ] 

All times are UTC+02:00


Who is online

Users browsing this forum: No registered users and 2 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Powered by phpBB® Forum Software © phpBB Limited