Misak
а кто вообще cw делает и зачем оно нужно?
Fox
там CW есть в сторону mpls для vpls?
эммм поясните плиз я что то недопойму) просто пришлось MPLS заняться после того как коллега в МФИ софт ушёл)))
Misak
вроде нет
Fox
где CW искать и зачем оно мне)))
Misak
Remote PE: 10.255.255.6, Negotiated control-word: No
Ilya
где CW искать и зачем оно мне)))
https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/no-control-word-edit-protocols-vpls.html
Misak
https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/no-control-word-edit-protocols-vpls.html
Set no-control-word to request that other routers not insert a control word between the label stack and the MPLS payload. This is the default setting for BGP VPLS.
Fox
https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/no-control-word-edit-protocols-vpls.html
Instance: ggc
VPLS-id: 4046
Neighbor Type St Time last up # Up trans
10.110.0.100(vpls-id 4046) rmt Up Aug 27 23:13:45 2018 2
Remote PE: 10.110.0.100, Negotiated control-word: No
Incoming label: 262145, Outgoing label: 1298
Negotiated PW status TLV: No
Local interface: lsi.1049793, Status: Up, Encapsulation: ETHERNET
Description: Intf - vpls ggc neighbor 10.110.0.100 vpls-id 4046
Fox
к примеру
Misak
дефолтом как раз но
Roman
у меня ниче не работало без
control-word;
Viktorich
Roman
если про vpls
Misak
Instance: ggc
VPLS-id: 4046
Neighbor Type St Time last up # Up trans
10.110.0.100(vpls-id 4046) rmt Up Aug 27 23:13:45 2018 2
Remote PE: 10.110.0.100, Negotiated control-word: No
Incoming label: 262145, Outgoing label: 1298
Negotiated PW status TLV: No
Local interface: lsi.1049793, Status: Up, Encapsulation: ETHERNET
Description: Intf - vpls ggc neighbor 10.110.0.100 vpls-id 4046
скорее всего по lacp неправильно договорились
Misak
попробуй на элтексе поменять алгоритм
Fox
скорее всего по lacp неправильно договорились
эмм там еще несколько такихже пирингом их четко разбрасывает одын пир в один порт
Fox
другой в другой
Igor
Если клиенты которым даете vpls , подключены через AE то не забудьте включить
set forwarding-options enhanced-hash-key family mpls ether-pseudowire zero-control-word
Fox
как будто балансинг идет по меткам
Misak
нигде не приходилось тюнить хэшинг на джунах
Fox
Igor
мопед не мой
Misak
Igor
можно попробовать, конечно, схему с fat/entropy)
Volodymyr
А irb в l3vpn приземлен?
Tema
опять l2vpn размазываете
Fox
А irb в l3vpn приземлен?
set interfaces irb unit 8 description peering
set interfaces irb unit 8 family inet address x.x.x.x/30
set routing-instances peer instance-type vpls
set routing-instances peer vlan-id none
set routing-instances peer routing-interface irb.8
set routing-instances peer protocols vpls no-tunnel-services
set routing-instances peer protocols vpls vpls-id 3461
set routing-instances peer protocols vpls mtu 1550
set routing-instances peer protocols vpls neighbor 10.110.0.100
Andrey
Fox
На mx480 все в одной куче фллвью и vpls
Volodymyr
https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/load-balancing-vpls-mx-series-configuring.html
Volodymyr
но странно конечно, что что-то тюнить приходится
Volodymyr
какой жунос ?
Volodymyr
лучше наверно у @orlik спросить
Volodymyr
https://www.juniper.net/documentation/en_US/junos/topics/concept/bum-hashing-overview.html
фига чо есть
Fox
Misak
15.1R7 хотя бы
Volodymyr
И свопнулся на evpn
Fox
если все работает
Misak
13.3 - пиздец, ща Виктор увидит
Volodymyr
Но targeted dist например работает в 13, ломается в 15 и чинится в 16
little big
ребят, всем привет, подскажите пожалуйста по поводу ufw. На машине 2 интерфейса (eth0 и eth1). Хочу запретить все коннекты по интерфейсу eth0 и разрешить коннект по 22 порту на том же eth0
пишу:
ufw deny in on eth0
ufw allow in on eth0 to any port 22
ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip
To Action From
-- ------ ----
Anywhere on eth0 DENY IN Anywhere
22 on eth0 ALLOW IN Anywhere
Anywhere (v6) on eth0 DENY IN Anywhere (v6)
22 (v6) on eth0 ALLOW IN Anywhere (v6)
всё равно можно подключиться к любому порту на eth0. Что я не так делаю?
little big
а с какого хоста проверяешь? с этого же или другого?
с другого. Это сервак, на котором висят несколько веб-серверов на разных портах. Получается так, что по связке ip:port подключаюсь и пускает
Anton
совет номер1 - выкинь ufw и используй голый iptables или nftables. Попробуй почистить таблицу коннтрак для начала (команда conntrack -F) Покажи вывод iptables-save -c что ли.
Дмитрий
Это бизнес треннинг
Дмитрий
С тебя 1к$
little big
совет номер1 - выкинь ufw и используй голый iptables или nftables. Попробуй почистить таблицу коннтрак для начала (команда conntrack -F) Покажи вывод iptables-save -c что ли.
у меня не установлен conntrack, поставить и ввести conntrack -F ?
Anton
у меня не установлен conntrack, поставить и ввести conntrack -F ?
да. пакет называется либо просто conntrack либо conntrack-tools
little big
http://dpaste.com/1EC8J6Z - iptables-save -c
# conntrack -F
conntrack v1.4.3 (conntrack-tools): connection tracking table has been emptied.
Anton
http://dpaste.com/1EC8J6Z - iptables-save -c
# conntrack -F
conntrack v1.4.3 (conntrack-tools): connection tracking table has been emptied.
ну хз. правила вроде должны блочить. даже два дропнутых пакета есть.
[0:0] -A ufw-user-input -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A ufw-user-input -i eth0 -p udp -m udp --dport 22 -j ACCEPT
[2:84] -A ufw-user-input -i eth0 -j DROP
Misak
https://www.opennet.ru/opennews/art.shtml?num=49249
Purrr
Purrr
а
Purrr
у меня такая есть ) надо почитать )
little big
хаха
vitex
и кстати вот у меня есть
vitex
little big
попробовал поэкспериментироватьс iptables. Прощай, ssh