Pavel
так для ната не пойдет
Ilya
Ну чтобы не разбивать по интерфейсам префиксы, как ты выше написал, правда тогда с NAT могут быть другие проблемы, когда пакет выезжать из одной коробки, а заезжать в другую (синк сессий)
Roman
Pavel
Ну чтобы не разбивать по интерфейсам префиксы, как ты выше написал, правда тогда с NAT могут быть другие проблемы, когда пакет выезжать из одной коробки, а заезжать в другую (синк сессий)
На нате как раз так не будет, если пулы на разных натилках разные
Pavel
Но просто ECMP, как ты показал, для ната не пойдет
Pavel
Потому как MX не умеет не хэшить src-ip
Pavel
И у тебя часть сессий от одного IP уйдет в один нат, другая часть — в другой
Pavel
и снатятся они в разные пулы
Pavel
из-за этого ломаются всякие мультисессионные протоколы типа FTP passive mode, IPsec, PPTP, некоторые сайты глючат, пользователи орут и т. д.
Ilya
@mxssl https://lookaside.fbsbx.com/file/nss-labs-dcsg-svm.pdf?token=AWwjlXC_VdSAenuMgHMO93Ath51iuCYwW6H4parqAghwLtP_V8MzaU_ifo0LsmdpHW7yoHwKkB2H8pNR50Ni5QYAuaqscB5J7JEVadVLLqZFurhy3AYtuWuna0fMnhDWrAtYsiw0XKZJdwlK0JSgd5gaI_WVv9CIaEGHa9KCdlrQ3TRlLPtqy7C72QCU1jMSseskKe8RXXqn5Hk50N7jKFt4
Pavel
Причем DPC вроде умеют отключить из хэша src-ip
Ilya
Причем DPC вроде умеют отключить из хэша src-ip
Во, я помню, что видел это
• New load-balancing options using source or destination IP address only (MX Series)
Pavel
Во, я помню, что видел это
• New load-balancing options using source or destination IP address only (MX Series)
Ну возможно в какой-то версии и сделали, я не очень слежу
Ilya
Ну возможно в какой-то версии и сделали, я не очень слежу
16.1
Я просто немного упарываюсь и читаю релизноты
Pavel
С тех пор как я завязал торговать джунипером в аеспи8к, мне нат на MX стал до лампочки )
Pavel
Спасибо, кстати.
Pavel
Буду знать
Pavel
А то мало ли
Ilya
из-за этого ломаются всякие мультисессионные протоколы типа FTP passive mode, IPsec, PPTP, некоторые сайты глючат, пользователи орут и т. д.
Да, я это имел в виду)
Не умею ещё описывать технические детали подробно
Pavel
Во, я помню, что видел это
• New load-balancing options using source or destination IP address only (MX Series)
Я собственно с 2009 года им и говорил, что это надо. А они смотрели на меня как на идиота с моими аеспи8к-хотелками и делали выражение лица "мальчик, не мешай работать" :)
Ilya
15.1F == 16.1
Прям 1 в 1 по релизнотам
Ilya
Вон у циски вообще в поддержке все равны и пофиг, что инженер проебался куда-то, эскалировать нельзя, а работы ведуться в соответствии с приоритетом (т.е. может на последний день выйти на связь)
Igor
Этим жунос хорош для sm
Igor
Можно точно сказать, в какую нат ферму кастомер уйдёт
Igor
На хуа я рекомендейшены видел для этих дел, там такой пиздец с pbr, что я поступил сильно проще
Igor
У меня nat box per vrf
Igor
Я собственно с 2009 года им и говорил, что это надо. А они смотрели на меня как на идиота с моими аеспи8к-хотелками и делали выражение лица "мальчик, не мешай работать" :)
Ну и где они теперь? Вон l3-connected завезли в sm, хотя сначала тоже нос воротили
Ilya
https://www.juniper.net/documentation/en_US/junos/topics/concept/ethernet-physical-link-monitoring-overview.html
Ilya
@blademd
Igor
теперь ещё и в ber'ах разбираться надо уметь, l1 инженеры
Igor
но штука прикольная да
Ilya
https://www.juniper.net/documentation/en_US/junos/information-products/topic-collections/release-notes/15.1F2/junos-release-notes-15.1F2.pdf
Ilya
Вот тут детальнее
Pavel
У меня nat box per vrf
ну это стандартный дизайн в каком-то смысле: порубить сабсткрайберов как-то, посовать при помощи FBF в разные VRF и там это самое
Pavel
Другое дело, что 1) рубить сабсткрайберов дело тонкое
Pavel
2) в каждом VRF надо например бэкапный нат-девайс
Pavel
Когда абонентов очень много (опсосы, например), нат-коробок тоже, они все распределены по всяким там регионам, одна коробка резервирует другую, один регион резервирует другой и т. д., это все превращается в довольно ебические конструкции
Pavel
Если кто не видел, в джуносе можно писать в фильтрах битовые маски
Pavel
типа from source address 10.0.0.0/255.0.0.1 to X
Pavel
from source address 10.0.0.1/255.0.0.1 to Y
Pavel
Четные адреса туда, нечетные сюда
Igor
Другое дело, что 1) рубить сабсткрайберов дело тонкое
В моём кейс это делает биллинг — у него там есть, грубо говоря, формула, согласно которой он с опр. вероятностью возвращает имя vrf.
Pavel
Лучше заранее взять побольше битов, чтоб можно было добавлять потом легко
Pavel
Igor
Это как раз не isp8k, а очень большие
хз-хз, может это с них началось, но на каком-нибудь форум наг ру это популярная тема была в своё время
Igor
ну, во-первых, это не так
Vladislav
Pavel
то есть ты берешь, допустим, 5 битов, у тебя получается 32 терма. Сначала, когда ты по двум направлениям балансируешь, делаешь в половине термов to X, во второй половине to Y. Потом, когда стало три, делаешь примерно по 10 и т. д.
Igor
во-вторых, мы про нат говорим
Igor
https://net-labs.in/2015/01/11/%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D0%BD%D0%B5-%D0%BD%D0%B5%D0%BF%D1%80%D0%B5%D1%80%D1%8B%D0%B2%D0%BD%D1%8B%D1%85-%D0%BC%D0%B0%D1%81%D0%BE%D0%BA/
Igor
У тебя какие-то совершенно куцие представления об 8к
Igor
В один ccr даже мой 8к не залезет
Igor
+ раньше ccr не было
Igor
+ раньше тазы были другие, там задача была в том, чтобы размазать по хотя бы паре тазов твоих нат клиентов
Igor
чот не оч похоже
Pavel
У тебя какие-то совершенно куцие представления об 8к
У тебя вообще такой не очень 8к. 9к скорее )
Pavel
То есть может я чего не знаю, но по-моему вы из тех, кто типа сильный региональный игрок, скажем так )
Pavel
Таких в России какое-то количество есть
Pavel
За уралом особенно
Pavel
И они часто очень похожи друг на друга
Igor
Ну сейчас да уже, но вот в эпоху этих натов на тазах, непрерывных масок
Igor
Мы были такие себе)
Igor
Я к тому, что был определённый бум на эту тему лет 5 назад среди простых админов где-нибудь на форумах
Pavel
У нас в свое время была внутри некоторая классификация типов клиентов, и там были разные вариации isp8k :)
Ilya
SAFI129 NLRIcompliancewithRFC6514(MXSeries)—Starting withJunos OS Release
15.1F2, the NLRI format available for BGP VPN multicast is changing from the de facto
format of SAFI128to SAFI129 as defined in RFC 6514. SAFI128uses length, label, prefix.
SAFI 129 uses length, prefix
@mxssl
Igor
Воооот (как тут любят писать)
Igor
Да, это я тоже помню
Igor
Тогда чуть ли не каждая вторая тема на наге была, как размазать трафик по нескольким сервакам
Ilya
Latency fairness optimized multicast (MX Series)—Starting with Junos OS Release
15.1F3, you can reduce latency in the multicast packet delivery by optimizing multicast
packets sent to the Packet Forwarding Engines. You can achieve this by enabling the
ingress or local-latency-fairness option in the multicast-replication configuration
statement at the [edit forwarding-options] hierarchy level. The multicast-replication
statement is supported only on platforms with the enhanced-ip mode enabled. This
feature is not supported in VPLS networks and Layer 2 bridging.
Хера там сколько полезного.. и не очень
Pavel
Тогда чуть ли не каждая вторая тема на наге была, как размазать трафик по нескольким сервакам
Ну да, начались все эти микросервисы, все научились делать много фронтов для одного бэка, скейлиться и т. д., откуда все это начало пользоваться спросом. Антидудос иногда этого тоже требует.
Ilya
сдай кейс, у меня 15.1F, там работает
Ilya
Надо чеклист сделать при апдейте )
Pavel
Latency fairness optimized multicast (MX Series)—Starting with Junos OS Release
15.1F3, you can reduce latency in the multicast packet delivery by optimizing multicast
packets sent to the Packet Forwarding Engines. You can achieve this by enabling the
ingress or local-latency-fairness option in the multicast-replication configuration
statement at the [edit forwarding-options] hierarchy level. The multicast-replication
statement is supported only on platforms with the enhanced-ip mode enabled. This
feature is not supported in VPLS networks and Layer 2 bridging.
Хера там сколько полезного.. и не очень
Это херня конечно, мне не очень интересная в практическом применении, но было бы любопытно посмотреть, что именно они там сделали
Pavel
Во входном PFE сразу во все выходные что ли слать