Sprzęt na PIMa

Wszystkie rozmowy związane z problemem z hardwarem, supportowanymi funkcjonalnościami, wydajnością urządzeń itp.
Wiadomość
Autor
Tai
fresh
fresh
Posty: 7
Rejestracja: 28 sty 2020, 20:22

Sprzęt na PIMa

#1

#1 Post autor: Tai »

Witam. Szanownych użytkowników.
Problem spędza mi sen z powiek i przyznam szczerze, jestem nieco skołowany. Każda z pytanych osób ma inne zdanie na ten temat.
Szukam switcha, który będzie miał ze dwa uplinki 1Gb (fajnie, jeśli byłaby możliwość rozbudowy do 10g), wspierał BGP (tylko pod IPTV), obsługiwał dobrze igmp snooping, robił za PIMa, miał zasilanie DC, był w miarę cichy, nie był energochłonny i nie kosztował krocie ;-) Pewnie takie rzeczy to tylko w Erze.. Przepraszam - ponoć Cisco serii 9000... Ale to nieznane wody.
I tutaj tak. Proponowano mi (co oczywiście nie pokrywa się z moimi "marzeniami") różnej maści sprzęty, takie jak Cisco serii 35xx, 4948, ASR, oraz ... DCNa. Osobiście zerkałem na Junipery EX, które bardzo mi się podobały, ale... hmm. Sam switch to nic. Licencje na dodatkowe ficzery kosztują 2x tyle co hw, a budżet mam rzędu 3-4k max. Do tego przeraziły mnie nieco posty w dziale Juniper odnośnie fackupów przy updejcie softu... Obecnie posiadam Nexusa 3048TP i niestety mam jakieś problemy z poprawnym działaniem multicastów. Podejrzenie padło na niego i oczywiście zamierzam go na chwilę czymś zastąpić, aby rozwiać wątpliwości. Pytanie jednak - co jeśli podejrzenia okażą się słuszne - co wstawić zamiast niego. Co możecie podpowiedzieć?

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

Re: Sprzęt na PIMa

#2

#2 Post autor: lbromirs »

1. Te "3-4k max budżetu" to w jakiej walucie?
2. Problemy z Nexusem 3048TP i multicastami - masz otwarty case w TACu? Mogę poprosić SR?
3. Cisco ASR 9901 zawsze dobry, Nexus 9000 też dobry, ale najpierw ustalmy co to za problemy masz z #2.

Tai
fresh
fresh
Posty: 7
Rejestracja: 28 sty 2020, 20:22

Re: Sprzęt na PIMa

#3

#3 Post autor: Tai »

lbromirs pisze: 29 sty 2020, 01:07 1. Te "3-4k max budżetu" to w jakiej walucie?

Netto w PLN, ale myślę, że jak koniecznie będzie trzeba to się się podwoi.

2. Problemy z Nexusem 3048TP i multicastami - masz otwarty case w TACu? Mogę poprosić SR?

Nie nie mam. Oglądali to rożnie spece, co się niby znają - lepiej ode mnie.


3. Cisco ASR 9901 zawsze dobry, Nexus 9000 też dobry, ale najpierw ustalmy co to za problemy masz z #2.
Myślałem o jakimś 920.
Co do problemu hmm jest on raczej nietypowy i skomplikowany, z uwagi na to, że w całym procesie uczestniczą 3 urządzenia. Dostawca contentu stwierdził, że u innych odbiorców wszystko działa poprawnie, więc mamy problem u siebie.
Kwestia jest tego typu, że o ile sam multicast zdaje się działać ok - przynajmniej na razie, gdy jest kilka boxów - o tyle określona marka i typ boxów nie chce się poprawnie uruchamiać. Wieszają się przy starcie, jakby nie otrzymywały wszystkich grup multicastowych, co zostało w sumie zweryfikowane przez kogoś (grupy są). Ponadto inne boxy - "dostawcy" działają bez zarzutu. Układ jest dosyć prosty - na brzegu jest 3048TP (dwa uplinki - dwa vlany iptv w bgp) - do Nexusa podpięty jest OLT Huawei (via karta uplinkowa) i do testowego ONTka w serwerowni do pustego portu zapięty jest stb Arris 1113M albo Arris 5305. Tak wygląda tor mulicastu. Ponadto do Nexusa podpięty jest switch tp-linka a do niego jakiś tam router brzegowy... Ale to chyba nie ma znaczenia w tym przypadku. Wracając do multi - STB po podłączeniu do sieci, nie chce zbootować - wiesza się na ładowaniu middleware na ok 37%. Dalej zaczynają się czary. Gdy STB zwiśnie i wykonam restart ONTka, to STB zazwyczaj rusza (Nie zawsze). Wystartuje będzie sobie działać, do momentu, aż nie nie odłączymy mu zasilania. Żeby było ciekawiej Arris podłączony bezpośrednio do portu Nexusa startuje normalnie, za każdym razem, chociaż spotkałem się z opinią innej osoby, która ma tego samego dostawcę contentu i ma dokładnie ten sam problem. Według tejże osoby Arris podłączony do PIMa "częściej wstaje" co nie znaczy, że zawsze. U mnie przy kilku próbach - za każdym razem. Co jeszcze. Zaobserwowałem w momencie gdy Arris wisi bicie licznika błędów TTL na Nexusie (po 3-4 pakiety na odpalenie terminala) Błędy nie rosną ani gdy stb już "wisi", ani gdy już zbootuje całkowicie. Generalnie nikt nie podjął tematu TTL. I to w zasadzie na tyle.
PIM jest na Nexusie, na vlanie iptv od strony mojej sieci na dedykowanym porcie odpalony igmp snooping, na Hua to samo. Konfig obu urządzeń oglądało sporo osób i poza drobnymi poprawkami nikt nic nie wniósł, co naprawiłoby zaistniałą sytuację. Polecono mi poszukać innego PIMa. Na test mam zamiar wstawić coś innego, a jeśli się okaże, że wina leży po stronie Nexusa, to trzeba będzie coś kupić na stałe. Sęk w tym, że nikt jakoś nie próbował spojrzeć na ten układ jako na całość, tylko każdy patrzy w jedno pudełko, potem w drugie - i rozkłada ręce - powinno działać, a nie działa... Sam nie mam na tyle wiedzy i nie znam na tyle cisco, aby zdebugować to dokładniej. Polegam na tym, co powiedzą inni, którzy się powinni znać się zdecydowanie lepiej ode mnie :)

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

Re: Sprzęt na PIMa

#4

#4 Post autor: lbromirs »

Po pierwsze, zadbaj o posiadanie aktywnego kontraktu serwisowego i zgłoś się z problemem do TACa. Doceniam, że mądre głowy patrzyły, ale wyraźnie mało skutecznie.

Na pierwszy rzut oka, to wygląda jakby Nexusowa ochrona CPU wskakiwała i dropowała cześć ruchu trafiającego w control plane.

Tai
fresh
fresh
Posty: 7
Rejestracja: 28 sty 2020, 20:22

Re: Sprzęt na PIMa

#5

#5 Post autor: Tai »

Fajnie by było mieć kontrakty serwisowe z każdym dostawcą sprzętu, którego ma się w sieci. Niestety w wielu przypadkach to nie ta skala, aby takowe posiadać. Owszem - fajnie, ale najczęściej finanse nie pozwalają. Przykład bodajże Huawei - zakup sprzętu przez oficjalnego dystrybutora ze wsparciem rocznym (tak przez rok) - 30tys, poza oficjalną dystrybucją, bez wsparcia 10 tys. Szansa, że w specyficznych okolicznościach trafisz na problem i jeszcze pomogą Ci go rozwiązać - niewielka. Akurat przez przypadek miałem z nimi do czynienia (śmieszna historia). Oczywiście, nie wiem jak to wygląda gdzie indziej. Także spróbuję podmienić sprzęt i zobaczyć, czy problem ustąpi.

Tai
fresh
fresh
Posty: 7
Rejestracja: 28 sty 2020, 20:22

Re: Sprzęt na PIMa

#6

#6 Post autor: Tai »

A a tak to wygląda u mnie

Kod: Zaznacz cały

Nexus(config)# show policy-map interface control-plane
Control Plane

  service-policy  input: copp-system-policy

    class-map copp-s-default (match-any)
      police pps 400
        OutPackets    0
        DropPackets   0
    class-map copp-s-l2switched (match-any)
      police pps 200
        OutPackets    0
        DropPackets   0
    class-map copp-s-ping (match-any)
      match access-group name copp-system-acl-ping
      police pps 100
        OutPackets    2509
        DropPackets   0
    class-map copp-s-l3destmiss (match-any)
      police pps 100
        OutPackets    6155
        DropPackets   0
    class-map copp-s-glean (match-any)
      police pps 500
        OutPackets    1009
        DropPackets   0
    class-map copp-s-selfIp (match-any)
      police pps 500
        OutPackets    11
        DropPackets   0
    class-map copp-s-l3mtufail (match-any)
      police pps 100
        OutPackets    0
        DropPackets   0
    class-map copp-s-ttl1 (match-any)
      police pps 100
        OutPackets    942
        DropPackets   0
    class-map copp-s-ipmcmiss (match-any)
      police pps 400
        OutPackets    7543812
        DropPackets   29907690
    class-map copp-s-l3slowpath (match-any)
      police pps 100
        OutPackets    0
        DropPackets   0
    class-map copp-s-dhcpreq (match-any)
      police pps 300
        OutPackets    227803
        DropPackets   0
    class-map copp-s-dhcpresp (match-any)
      match access-group name copp-system-dhcp-relay
      police pps 300
        OutPackets    86957
        DropPackets   0
    class-map copp-s-dai (match-any)
      police pps 300
        OutPackets    0
        DropPackets   0
    class-map copp-s-igmp (match-any)
      match access-group name copp-system-acl-igmp
      police pps 400
        OutPackets    65908127
        DropPackets   5850865
    class-map copp-s-eigrp (match-any)
      match access-group name copp-system-acl-eigrp
      match access-group name copp-system-acl-eigrp6
      police pps 200
        OutPackets    0
        DropPackets   0
    class-map copp-s-pimreg (match-any)
      match access-group name copp-system-acl-pimreg
      police pps 200
        OutPackets    0
        DropPackets   0
    class-map copp-s-pimautorp (match-any)
      police pps 200
        OutPackets    0
        DropPackets   0
    class-map copp-s-routingProto2 (match-any)
      match access-group name copp-system-acl-routingproto2
      police pps 1300
        OutPackets    259
        DropPackets   0
    class-map copp-s-v6routingProto2 (match-any)
      match access-group name copp-system-acl-v6routingProto2
      police pps 1300
        OutPackets    1639020
        DropPackets   0
    class-map copp-s-routingProto1 (match-any)
      match access-group name copp-system-acl-routingproto1
      match access-group name copp-system-acl-v6routingproto1
      police pps 1000
        OutPackets    12000192
        DropPackets   9658157
    class-map copp-s-arp (match-any)
      police pps 200
        OutPackets    4870916968
        DropPackets   1566675406
    class-map copp-s-ptp (match-any)
      police pps 1000
        OutPackets    0
        DropPackets   0
    class-map copp-s-vxlan (match-any)
      police pps 1000
        OutPackets    0
        DropPackets   0
    class-map copp-s-bfd (match-any)
      police pps 350
        OutPackets    0
        DropPackets   0
    class-map copp-s-bpdu (match-any)
      police pps 12000
        OutPackets    152065461
        DropPackets   0
    class-map copp-s-dpss (match-any)
      police pps 1000
        OutPackets    0
        DropPackets   0
    class-map copp-s-mpls (match-any)
      police pps 100
        OutPackets    0
        DropPackets   0
    class-map copp-icmp (match-any)
      match access-group name copp-system-acl-icmp
      police pps 200
        OutPackets    20365
        DropPackets   0
    class-map copp-telnet (match-any)
      match access-group name copp-system-acl-telnet
      police pps 500
        OutPackets    0
        DropPackets   0
    class-map copp-ssh (match-any)
      match access-group name copp-system-acl-ssh
      police pps 500
        OutPackets    345
        DropPackets   0
    class-map copp-snmp (match-any)
      match access-group name copp-system-acl-snmp
      police pps 500
        OutPackets    0
        DropPackets   0
    class-map copp-ntp (match-any)
      match access-group name copp-system-acl-ntp
      police pps 100
        OutPackets    69
        DropPackets   0
    class-map copp-tacacsradius (match-any)
      match access-group name copp-system-acl-tacacsradius
      police pps 400
        OutPackets    0
        DropPackets   0
    class-map copp-stftp (match-any)
      match access-group name copp-system-acl-stftp
      police pps 400
        OutPackets    0
        DropPackets   0
  

Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 400
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

Re: Sprzęt na PIMa

#7

#7 Post autor: konradrz »

Ano, nadziewasz się na Control Plane Policing.
Sprawdź obecne zużycie procesora, i jeśli nie ma tragedii - zwiększ sobie na próbę copp-system-acl-igmp i copp-s-ipmcmiss (np do 600).

Tai
fresh
fresh
Posty: 7
Rejestracja: 28 sty 2020, 20:22

Re: Sprzęt na PIMa

#8

#8 Post autor: Tai »

Dzięki za wskazówki. Jednak im baczniej się temu przyglądam, tym bardziej zaczynam wątpić, czy ma to jakikolwiek związek z Nexusem. Nie wiem czy zwiększanie limitu cokolwiek da. Tutaj mamy raptem 5-6 boxów. Albo będzie to coś z softem na STB, albo coś nie halo z Huawei. Jakiegoś detalu brakuje. Sęk w tym, że STB "gada" przy użyciu igmp v2, a potem ni z gruchy ni z pietruchy wskakuje na igmp v3 i koniec. Nie wiem dlaczego. Nic w sieci nie wysyła igmp v3. Na nexusie ustawione v2, na Huawei v2. Fakt, słabo znam igmp, im więcej czytam (kombinacji, dodatkowych opcji) tym bardziej mi się to miesza ;-) Nie wiem jaki jest poziom kompatybilności między tymi dwoma wersjami protokołu i na jakim poziomie (router-klient), Logika podpowiada że router v3 będzie gadał z klientem v2, ale już chyba klient v3 z routerem na v2 niekoniecznie. Dlaczego jednak STB chce "gadać" po igmpv3? To nie ma sensu :/

ODPOWIEDZ