Ilya
Кто-нибудь сталкивался с entropy label на asr9001 (ios xr)?
Включено по умолчанию, я явно включил, но между МХ и А9к в капсах нету
Ilya
Утра
ewcha
Видео от ewchaewcha
ewcha
Igor
Поставить телнет?
Ilya
😁
Igor
Переменные окружения какие-нибудь болеют
Ilya
Кто-нибудь сталкивался с entropy label на asr9001 (ios xr)?
Включено по умолчанию, я явно включил, но между МХ и А9к в капсах нету
Ilya
@zi_rus
Evgeniy
Evgeniy
Evgeniy
мх не умеет?
Ilya
Но не может почему-то
Evgeniy
наличие команды ничего не говорит))
Ilya
end-to-end умеют
Ilya
Но не работает)
Evgeniy
дерьма кусок
Ilya
В доке от xr написано, что entropy label навешивается автоматически, при условии, что end-to-end все оборудование поддерживает
Ilya
По факту все оборудование поддерживает, метки load balance нету
Ilya
Capability нету
Ilya
А вот mx - ne40 есть
Sergey
Ребята, обновилась АпплТВ4, теперь не засыпает. Ни у кого такого нет? Просто включается обратно, когда отправляешь в сон
Oleg
нет здесь случайно спецов по firewalld в части strongswan?
Oleg
Есть Cloud1 c strongswan на CentOS7.4, есть Cloud2 с mikrotik, поднят site2site IPSec, на strongswan
Oleg
firewall-cmd --zone=dmz --permanent --add-rich-rule='rule protocol value="esp" accept' # ESP (the encrypted data packets)
firewall-cmd --zone=dmz --permanent --add-rich-rule='rule protocol value="ah" accept' # AH (authenticated headers)
firewall-cmd --zone=dmz --permanent --add-port=500/udp #IKE (security associations)
firewall-cmd --zone=dmz --permanent --add-port=4500/udp # IKE NAT Traversal (IPsec between natted devices)
firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --zone=dmz --permanent --add-masquerade
firewall-cmd --set-default-zone=dmz
firewall-cmd --reload
firewall-cmd --list-all
dmz (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1 eth2
sources:
services: ssh
ports: 500/udp 4500/udp
protocols:
masquerade: yes
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule protocol value="esp" accept
rule protocol value="ah" accept
Oleg
пакеты отлично ходят Cloud2->Cloud1, но не Cloud1>Cloud2
Oleg
с аналогичными конфигурациями на debian на iptables все работало
Anton
с аналогичными конфигурациями на debian на iptables все работало
cнимай дамп, смотри, где затык. а лучше выкини firewalld нахрен.
Anton
есть подзрение, что маскарад тебе всю малину портит. особенность в том, что трафик ipsec проходит по цепочкам два раза - один раз в открытом виде, а второй - в инкапсулированном.
Mike
Ребята, обновилась АпплТВ4, теперь не засыпает. Ни у кого такого нет? Просто включается обратно, когда отправляешь в сон
Телевизор выключается медленно и будит его, или как включился повторно выключай или simplink
Sergey
Mike
Управление телеком
Oleg
cнимай дамп, смотри, где затык. а лучше выкини firewalld нахрен.
однозначно firewalld. При его отключении все пакеты бегают
Anton
однозначно firewalld. При его отключении все пакеты бегают
ну а чего без всяких надстроек через iptables не настроить?
Oleg
да блин, надо и с firewalld непонятки снять
Anton
я хрен его знает, как всякие dmz в firewalld реализованы, но в iptables те надо было бы использовать матч policy, чтобы разрешить декапсулированный трафик принимать. Может в firewalld тоже оно есть.
Anonymous
с аналогичными конфигурациями на debian на iptables все работало
под firewalld всё равно лежит netfilter. если так хочется, то можно поставить iptables-services (или как оно там называется) и проверить правила через iptables-save на обеих vm
А
Напомните плз, какая контора в рамках импортозамещения на циску свой логотип вешала?
Evgeniy
У булата на сайте были какие-то железки с описанием под циску. Насколько помню
Evgeniy
Или путаю с микролинком
Vladimir
макдак чинишь?
vitex
работа?
Volodymyr
я нашел отличный грузинский стартап )
Volodymyr
menu.ge )
Volodymyr
xD
Anonymous
Anonymous
vitex
Anonymous
действительно.
Anonymous
давайте вот так.
Anonymous
vitex
Anonymous
хз-хз.
Anonymous
про bluefield не покажу ничего, "это секретная хуйня" :)
Ilya
https://supportforums.cisco.com/t5/mpls/entropy-label-capability/td-p/2884765
Ilya
а9к говно
Anonymous
удивительное открытие.
Anonymous
я помню как Матвей тестировал asr9k около пары-тройки месяцев, а после просто попросил Cisco его забрать.
Ilya
Ещё и в доке опечатка.. И как читать релизнотс после этого?
Serge
Ilya
Единственное упоминание в 6.1.2, и то
**Software Features Not Supported on IOS XR 64 bit**
nV satellite, Precision time protocol and DHCP (except relay) are not supported.
L3 features:
IP/MPLS PM
Entropy label
Ilya
но при этом нету где оно поддерживается
Ilya
в 5.3.2 опечатка, как я понял
Ilya
Вспоминаем что l2 bad
Ilya
плачем
Evgeniy
я же говорил
Eugene
я помню как Матвей тестировал asr9k около пары-тройки месяцев, а после просто попросил Cisco его забрать.
А к какому конкретно функционалу предьявы были?
Anonymous
это был 2013 год, ну.
Vladimir Vyalyy
трудное детство, релиз 4.2
Evgeniy
в 2013 там ваще ниче не работало толком
Ilya
чо там, l3vpn, l2vpn работает
Ilya
на специфике ломается
Ilya
если бы это был ISR, таких предьяв бы не было
Ilya
но это же была топовая платформа