SRX icmp unreachable/time exceeded limit

JunOS / Juniper / Netscreen
Wiadomość
Autor
lukaszbw
CCIE
CCIE
Posty: 516
Rejestracja: 23 mar 2008, 11:41

SRX icmp unreachable/time exceeded limit

#1

#1 Post autor: lukaszbw »

Cześć

Mam dziwną sprawę i nie mogę nigdzie znaleźć informacji. Jak robię mtr przez SRX300 z małym przedziałem czasowym między pakietami to mam straty pakietów na juniper. Pierwsze kilkadziesiąt pakietów odpowiada poprawnie ale potem jakby się bucket przepełniał i przestaje wysyłać. Problem dotyczy też port unreachable (jak dam UDP zamiast ICMP dla mtr)


Zmieniłem domyślny limit na control plane dla ICMP ale nic to nie dało :

Kod: Zaznacz cały

system {
    internet-options {
        icmpv4-rate-limit packet-rate 100000000 bucket-size 1000;
System statistics nie pokazuje dropów:

Kod: Zaznacz cały

root> show system statistics icmp      
icmp:
         0 drops due to rate limit
         0 calls to icmp_error
         0 errors not generated because old message was icmp
         Output Histogram 
                 616 echo reply
         0 messages with bad code fields
         0 messages less than the minimum length
         0 messages with bad checksum
         0 messages with bad source address
         0 messages with bad length
         0 echo drops with broadcast or multicast destinaton address
         0 timestamp drops with broadcast or multicast destination address
         Input Histogram 
                 3 destination unreachable
                 31 routing redirect
                 616 echo
         616 message responses generated
Co do konfiguracji to praktycznie goła "permit any any" dla testów i to samo. Soft 15.1X49-D75.5. Security screens nie są ustawione.

Wiem, że niby drobna sprawa ale nie lubię jak ktoś ustawia jakieś domyślne limity i nie daje łatwej możliwości ich zmiany.


Dzięki
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825

Awatar użytkownika
scoon
wannabe
wannabe
Posty: 301
Rejestracja: 28 paź 2008, 12:24

Re: SRX icmp unreachable/time exceeded limit

#2

#2 Post autor: scoon »

Masz screening na interfejsie wchodzącym?

geminiuss
wannabe
wannabe
Posty: 63
Rejestracja: 16 lut 2008, 00:38

Re: SRX icmp unreachable/time exceeded limit

#3

#3 Post autor: geminiuss »

Oglonie seria 300 jest gorsza niz jej poprzedniczka 200.

Z poziomu shella mozna zmienic wartosci ICMP ale to juz pewnie znalazles jak googlowales.

Ja bym zmienil SRX na packet-mode i zobaczyl czy nadal dzieje sie to samo.

Pozdro

lukaszbw
CCIE
CCIE
Posty: 516
Rejestracja: 23 mar 2008, 11:41

Re: SRX icmp unreachable/time exceeded limit

#4

#4 Post autor: lukaszbw »

Screening jest wszędzie wyłączony - nie ma nawet komend w konfiguracji. Jak włączyłem na interface inside (mtr robie z wewnątrz na razie) z dużym limitem dla ICMP flood to nic również nie zmieniło.

Na packet mode nie mogę przełączyć bo urządzenie musi robić NAT. Z poziomu shella pokazuje, że komenda "icmpv4-rate-limit" podniosła limit. Generalnie jak daje flooda ICMP w junipera to na wszystkie pakiety odpowiada. Tak jakby było oddzielne ograniczenie na konkretne ICMP.

Na cisco można konfigurować rate-limit na icmp unreachable ale nie mogłem znaleźć odpowiednika na SRX.

Problem w tym, że jak mam straty na łączu i wysyłam mtr to potem operator do mnie wraca, że straty są do lokalnego urządzenia i to nie ich wina :). Potem jest niepotrzebne udowadnianie, że na routerze jest control plane policing.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825

Awatar użytkownika
scoon
wannabe
wannabe
Posty: 301
Rejestracja: 28 paź 2008, 12:24

Re: SRX icmp unreachable/time exceeded limit

#5

#5 Post autor: scoon »

Może jakiś babol w sofcie wskocz na ostatnią wersję (o ile to możliwe) i sprawdź wtedy.

bart
wannabe
wannabe
Posty: 464
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

Re: SRX icmp unreachable/time exceeded limit

#6

#6 Post autor: bart »

Jaki masz soft? Ja ostatnio na SRX340 miałem coś takiego, że nagle ping z 3-4ms skoczył nie wiadomo dlaczego na 30,40 albo i 75ms i generalnie sobie skakał jak chciał. Okazało się że wersja softu 15.1X49-D75 nie jest najbardziej udana i po wgraniu D120 oraz restarcie jak ręką odjął.

ODPOWIEDZ