Volodymyr
а он грит значит, неизвестная ОС в девайса в этой группе
Pavel
желательно еще файрволы поставить на разных площадках
Pavel
Собрать из них кластер
Pavel
с VPLS посредине
Pavel
И хотеть active/active
Pavel
Как?
Pavel
Географиески-распределенный кластер?
Pavel
Есть
Evgeniy
с большим латенси
Pavel
Только проблема не в этом
Pavel
У фортинета на удивление стабильно работает. У нас вот тут такого добра дохуища :)
Pavel
Проблема в том, что тебе надо ж все L2 до двух площадок дотянуть
Pavel
А это уже адок
Pavel
Плюс кросс-сайт трафик абсолютно неконтролируем
Pavel
если вдруг active/active то вообще пиздец
Ilya
Циско?
Пало-Альто?
Ilya
Фортик?
Pavel
Но сам кластер у фортинета на удивление стабильно работает в таком сетапе
Ilya
Pavel
Ребята тут хотели SRX5k в таком же сетапе собрать
Pavel
Я аж кофеем подавился, когда услышал
Ilya
Самое интересное в такой кейсе - изоляция цода
Evgeniy
сплит брейн
Evgeniy
уу
Ilya
Полный отрыв одной площадки, а фаервол при этом актив
Ilya
Я почувствовал боль
Pavel
Какая разница, что он там про себя думает?
Pavel
Если трафик до него не ходит
Ilya
Так если он изолирован, то и хуй с ним
Но на той площадке ещё же есть бордер с анонсом белых префиксов в мир
Pavel
Ну это не называется изоляция
MOXHATOE
кстати, вот бывает регулярная трабла с бгп всеми любимым.
получаем услугу l3vpn он нескольких крупных провайдеров, на стыке бгп, всё модно, всё работает.
а в какой-то момент херак, и связи нету через канал, бгп не упал, анонсы приходят
ооооооо, моя любимая тема. регулярно такое. особенно радует когда так накрывается какой-нить бузнискритикал объект типа невстебенного склада.
с.ка, основной драйвер перейти на какой-нить чудо-оверлей типа DMVPN
vitex
@narta
годится? 50к арпов быстро выучит
Hardware
cisco Nexus9000 93180YC-EX chassis
Intel(R) Xeon(R) CPU @ 1.80GHz with 24633824 kB of memory.
Processor Board ID FDO21480UDU
Pavel
Изоляция, это когда его траншеекопатель по периметру объехал :)
Pavel
Да проблема вообще не в кластере, так по большому-то счету
Pavel
Проблема в том, что вся сеть вокруг этого превращася в говно
Pavel
А сам кластер либо работает, либо не работает :)
Pavel
И когда не работает, то виноват не тот, кто это придуман, а сеть
Pavel
Потому что, например, на линке между мемберами дропы появились
Pavel
:)
Eugene
Pavel
кстати, вот бывает регулярная трабла с бгп всеми любимым.
получаем услугу l3vpn он нескольких крупных провайдеров, на стыке бгп, всё модно, всё работает.
а в какой-то момент херак, и связи нету через канал, бгп не упал, анонсы приходят
Будто это только с BGP такое. Или только с L3VPN. В MX-е вон когда фабрика глючит, трафик тоже тупо дропается, хотя интерфейсы в апе, роутинг энжин работает, все ок.
MOXHATOE
вумный эсдиван нас спасёт
ну насчет сдван я конеш хз, но дмвпн проблему отчасти решает. если туннель ляжет, роутинг в него тоже ляжет, а не вот это вот все.
Pavel
Pavel
Это может быть и просто p2p тунель с динамик-роутингом поверх него (или даже без)
Pavel
Только наивно думать, что это не подвержено той же проблеме )
Pavel
Ты никогда не видел фрагментирования в IPSec-е что ли?
Eugene
Золотые слова, Максим Бенедиктович!
MOXHATOE
Ты никогда не видел фрагментирования в IPSec-е что ли?
случалось. но они и на L3VPN случалось, без всякого айписека. провайдер купил последнюю милю у чердак-телекома, а те при замене длинка на тплинка по своей программе экономии не учли что там мту дефолтный меньше чем нам бы хотелось, и превед.
Anonymous
ох уж эти ваши интеграторские шуточки
нет денег на enterprise софт - берёшь open source, напильник, слёзы. смешиваешь.
Anonymous
иначе очень редко бывает.
Anonymous
чтобы и open source, и не страдать.
Anonymous
да и без напильника.
Pavel
случалось. но они и на L3VPN случалось, без всякого айписека. провайдер купил последнюю милю у чердак-телекома, а те при замене длинка на тплинка по своей программе экономии не учли что там мту дефолтный меньше чем нам бы хотелось, и превед.
О том и базар, что такой тип отказа (блекхол называется) очень много где может случиться, ни DMVPN, ни BGP тут особо ни при чем. И никакой SDWAN это тоже не исправит. Даже темная оптика — и та не всегда.
Anton
тунель отвалится и норм, резерв заработает
Pavel
Ой, все
Vladimir
нет денег на enterprise софт - берёшь open source, напильник, слёзы. смешиваешь.
Это все вами придумывается, чтобы бабла содрать побольше
MOXHATOE
О том и базар, что такой тип отказа (блекхол называется) очень много где может случиться, ни DMVPN, ни BGP тут особо ни при чем. И никакой SDWAN это тоже не исправит. Даже темная оптика — и та не всегда.
от всего не застрахуешься. но опять же, полного блэкхола из-за кривых мту мы не видели, хоть что-то пролезало, можно было зайти на железку, потраблшутить, пинги погонять, канал положить проблемный, на худой конец. а вот с блэкхолом по вине провайдера - это все, аллес капут, как правило.
Ilya
Pavel
от всего не застрахуешься. но опять же, полного блэкхола из-за кривых мту мы не видели, хоть что-то пролезало, можно было зайти на железку, потраблшутить, пинги погонять, канал положить проблемный, на худой конец. а вот с блэкхолом по вине провайдера - это все, аллес капут, как правило.
Ну блин. Когда ты уже зашел куда-то руками что-то траблшутить, то это уже финита ля комедия. Тебе, в общем-то в таком сценари никто не мешает положить линк с провайдером, что обычно и делают. Просто, я говорю, существует миллион сценарив с аналогичным поведением.
Последний случай — вот недавно буквально перегрелась SFP-шка у клиента в файрволе. Линк в апе, бжп или я заыбыл, что там, ходит. А продакшен трафик на порту (привет, Илья) деградирует. Хоть ты десять туннелей подними сверху (собственно, у них там IPSec и был, который тоже не отваливался), ничем тебя это не спасет.
MOXHATOE
Ну в случае динамической маршрутизации в туннеле, есть шанс что она отвалится. Хотя не всегда конечно.
Ilya
ewcha
Pavel
Ну в случае динамической маршрутизации в туннеле, есть шанс что она отвалится. Хотя не всегда конечно.
Дык вроде начали с примера, когда BGP в норме, а трафик не ходит :)
Anton
угу
Ilya
Ну в случае динамической маршрутизации в туннеле, есть шанс что она отвалится. Хотя не всегда конечно.
У меня сегодня была проблема, частично связанная с этим.
4 интерфейса, ecmp, lo0 PE1 виден в риб, фиб на P1, но, при этом, он не доступен конкретно через эту группу интерфейсов, потому-что в фиб часть интерфейсов стоит в hold (не смог отрезолвить адрес). Как мне объяснили, надо глянуть дефолт полиси, но я хочу поспать сегодня :)
Pavel
Ну собственно, я, как настроивший и протраблшутивший в свое время, никак не меньше нескольких сотен IPSec-туннелей во всех возможных варианциях, ответственно заявляю, что случаев когда туннель в апе, а трафик не ходит, я видел примерно миллион
Ilya
Чем утренняя сага закончилась?
Ну с утра мы запустились, FO долго восстанавливали, потому всё ок было.
Причину завтра найду
Evgeniy
Поставь acs
Evgeniy
И крякни
Volodymyr
а бфд там прикрутить
Volodymyr
еще чего