Znikajace LDP keepalive / tcpdump

Wiadomość

hangie · #1

Hej,

Mam bardzo dziwna sytuacje w sieci.
Jest sobie MX80 i kilka U dalej jest sobie SRX240. Spiete sa bezposrednio z soba.

Miedzy nimi skonfigurowane jest LDP. Niestety co 30 sekund zrywana jest sesja. Jako powod MX80 podaje timeout a SRX240 ze dostal notification i zrywa.

Takze zapuszczam tcpdump-a aby obadac sprawe. Na SRX widze iz keepalive sa zarowno wysylane i odbierane. I tutaj zaczyna sie ciekawie na MX widac jedynie pakiety wychodzace, nie ma sladu po zadnych przychodzacych keepalive.

Na interfejsach nie ma bledow. Inny ruch sobie normalnie lata, sesje zestawia sie odrazu po zerwaniu pakiety hello bezproblemu przechodza w dwie strony.

Jakies pomysly ?

Gdzie znajduje sie tcpdump ? Czy jak widze ze jest pakiet na OUT oznacza to ze wyszedl on na kabel ? To samo w druga strone jak nie mam nic na IN oznacza to iz taki pakiet wogole nie przyszedl ?

Z gory dzieki.

michaliwanczuk · #2

Wklej config dotyczący lpd na srx'e

hangie · #3

Nic ciekawego tam nie ma.

Kod: Zaznacz cały

interface gr-0/0/0.0
interface ge-0/0/0.100
interface ae0.100
interface lo0.0

michaliwanczuk · #4

a przy zonie do których należą int:
interface gr-0/0/0.0
interface ge-0/0/0.100
interface ae0.100
interface lo0.0

Kod: Zaznacz cały

set security zones security-zone XYZ host-inbound-traffic protocols ldp

??

hangie · #5

LDP jak i reszta jest w zonie signaling

Kod: Zaznacz cały

security-zone signaling {
     host-inbound-traffic {
        system-services {
             all;
        }
        protocols {
             all;
        }
    interfaces{
             interface gr-0/0/0.0 
             interface ge-0/0/0.100 
             interface ae0.100 
             interface lo0.0 
    }  
}

W kazdym razie z punktu widzenia SRX wszytsko jest OK keepalive przyechodza i wychodza.
Ale jakos dziwnym trafem nie widac ich na MX80 na wejsciu przez co co 30 sekund wysyla on notification o timeout.

Dodam jeszcze ze to nie moja konfiguracja. Ja to tak odziedziczylem i w SRX za mocny jeszcze nie jestem

hangie · #6

Po podlaczeniu sniffera okazalo sie iz SRX wysyla mniej wiecej co 20-ty keepalive.
Wedlug swojego debuga twierdzi ze wysyla wszytskie. Dropow zadnych nie ma na interfejsie takze sprawa z tych dziwnych.
Chyba tylko Juniperowy support pozostaje.

drake · #7

Juniper pcha te srx220 i 240 do przodu na rynek, wraz z nowym junosem i podobno super poprawionym GUI, ale cos widac srednio to wszystko smigaja...

Aloha!