CCIE.pl

Cześć

Mam dziwną sprawę i nie mogę nigdzie znaleźć informacji. Jak robię mtr przez SRX300 z małym przedziałem czasowym między pakietami to mam straty pakietów na juniper. Pierwsze kilkadziesiąt pakietów odpowiada poprawnie ale potem jakby się bucket przepełniał i przestaje wysyłać. Problem dotyczy też port unreachable (jak dam UDP zamiast ICMP dla mtr)

Zmieniłem domyślny limit na control plane dla ICMP ale nic to nie dało :

Kod: Zaznacz cały

system {
    internet-options {
        icmpv4-rate-limit packet-rate 100000000 bucket-size 1000;

System statistics nie pokazuje dropów:

Kod: Zaznacz cały

root> show system statistics icmp      
icmp:
         0 drops due to rate limit
         0 calls to icmp_error
         0 errors not generated because old message was icmp
         Output Histogram 
                 616 echo reply
         0 messages with bad code fields
         0 messages less than the minimum length
         0 messages with bad checksum
         0 messages with bad source address
         0 messages with bad length
         0 echo drops with broadcast or multicast destinaton address
         0 timestamp drops with broadcast or multicast destination address
         Input Histogram 
                 3 destination unreachable
                 31 routing redirect
                 616 echo
         616 message responses generated

Co do konfiguracji to praktycznie goła "permit any any" dla testów i to samo. Soft 15.1X49-D75.5. Security screens nie są ustawione.

Wiem, że niby drobna sprawa ale nie lubię jak ktoś ustawia jakieś domyślne limity i nie daje łatwej możliwości ich zmiany.

Dzięki

Masz screening na interfejsie wchodzącym?

Oglonie seria 300 jest gorsza niz jej poprzedniczka 200.

Z poziomu shella mozna zmienic wartosci ICMP ale to juz pewnie znalazles jak googlowales.

Ja bym zmienil SRX na packet-mode i zobaczyl czy nadal dzieje sie to samo.

Pozdro

Screening jest wszędzie wyłączony - nie ma nawet komend w konfiguracji. Jak włączyłem na interface inside (mtr robie z wewnątrz na razie) z dużym limitem dla ICMP flood to nic również nie zmieniło.

Na packet mode nie mogę przełączyć bo urządzenie musi robić NAT. Z poziomu shella pokazuje, że komenda "icmpv4-rate-limit" podniosła limit. Generalnie jak daje flooda ICMP w junipera to na wszystkie pakiety odpowiada. Tak jakby było oddzielne ograniczenie na konkretne ICMP.

Na cisco można konfigurować rate-limit na icmp unreachable ale nie mogłem znaleźć odpowiednika na SRX.

Problem w tym, że jak mam straty na łączu i wysyłam mtr to potem operator do mnie wraca, że straty są do lokalnego urządzenia i to nie ich wina

. Potem jest niepotrzebne udowadnianie, że na routerze jest control plane policing.

Może jakiś babol w sofcie wskocz na ostatnią wersję (o ile to możliwe) i sprawdź wtedy.

Jaki masz soft? Ja ostatnio na SRX340 miałem coś takiego, że nagle ping z 3-4ms skoczył nie wiadomo dlaczego na 30,40 albo i 75ms i generalnie sobie skakał jak chciał. Okazało się że wersja softu 15.1X49-D75 nie jest najbardziej udana i po wgraniu D120 oraz restarcie jak ręką odjął.

CCIE.pl

SRX icmp unreachable/time exceeded limit

SRX icmp unreachable/time exceeded limit

Re: SRX icmp unreachable/time exceeded limit

Re: SRX icmp unreachable/time exceeded limit

Re: SRX icmp unreachable/time exceeded limit

Re: SRX icmp unreachable/time exceeded limit

Re: SRX icmp unreachable/time exceeded limit