Jump to content
Local
masters

Juniper переполнение NDP Cache

Recommended Posts

Уперлись в размер nd6 cache на MX240. Да и в принципе, вычитал, что в JunOS он ограничен 2млн записей.

Кто-то, как-то, с этим борется? Или только ставить второй роутер? А то вроде всех стимулируют переходить на v6, а тут такая засада...

Edited by masters

Share this post


Link to post
Share on other sites

Может это обычный NDP Table Exhaustion и смотреть нужно в эту сторону? Трудно представить обычную ситуацию,  при которой может не хватить 2 миллиона записей.

Share this post


Link to post
Share on other sites

В NDP таблице  лежат failed записи? Если да, то смотрите, кто вас сканирует.:)

Share this post


Link to post
Share on other sites
50 минут назад, ig0r сказал:

Трудно представить обычную ситуацию,  при которой может не хватить 2 миллиона записей.

Ну вот это как раз - она :(

Уже режем для клиентов, но все равно уперлись.

1 минуту назад, vop сказал:

В NDP таблице  лежат failed записи? Если да, то смотрите, кто вас сканирует.:)

Нет, все наши.

Share this post


Link to post
Share on other sites

Какой процент записей показывает состояние INCOMPLETE? :)

Share this post


Link to post
Share on other sites
40 минут назад, ig0r сказал:

Какой процент записей показывает состояние INCOMPLETE? :)

Совсем мало:

 

adm> show ipv6 neighbors | match incomplete | count
Count: 49 lines
 

Я не думаю, что это NDP Table Exhaustion. У всех клиентов есть ограничение. И много клиентов используют 20, 30, 50тыс IP в влане - расширяем им лимит по запросу. Я так на вскидку выбрал "жирных" клиентов, и у них используется больше 1.5млн адресов.

Edited by masters

Share this post


Link to post
Share on other sites

Я правильно понимаю что выстален nd6-max-cache в 2 миллиона?

41 минуту назад, masters сказал:

И много клиентов используют 20, 30, 50тыс IP в влане - расширяем им лимит по запросу. Я так на вскидку выбрал "жирных" клиентов, и у них используется больше 1.5млн адресов.

 

Share this post


Link to post
Share on other sites

это какая-то схема с vCPE или как?

как может получится 2 миллиона в neigbor discovery? это ж как 2 ляма арпов ёмаё

Share this post


Link to post
Share on other sites

Похоже что пришло время роутить подсети на ipv6-адреса клиента, чтобы не использовать NDP. Чудес нет, и два ляма v6 адресов по L2 это точно не нормально (удивительно что джуник реально их выдержал).

Я не думаю что у них там 50 тысяч уникальных хостов, скорее всего они все крутятся на паре сотен машин.

Share this post


Link to post
Share on other sites
53 минуты назад, Phsm сказал:

Я не думаю что у них там 50 тысяч уникальных хостов, скорее всего они все крутятся на паре сотен машин.

Они крутятся на паре машин. Прокси возможно у клиентов.

56 минут назад, Phsm сказал:

Похоже что пришло время роутить подсети на ipv6-адреса клиента, чтобы не использовать NDP

Выдавать ему 1 IP, чтобы у себя внутреннюю маршрутизацию через него делал? Вариант.

1 час назад, l1ght сказал:

Я правильно понимаю что выстален nd6-max-cache в 2 миллиона?

Да.

Share this post


Link to post
Share on other sites
8 минут назад, masters сказал:

Выдавать ему 1 IP, чтобы у себя внутреннюю маршрутизацию через него делал? Вариант.

prefix-delegation давно пора сделать, да

Share this post


Link to post
Share on other sites

А если попробовать отключить ND? По сути - это же "прокачанная" версия DHCP. А у нас - адреса на интерфейсах настраиваются все статически.

Будет работать без него? А то как-то опыта в v6 маловато.

Edited by masters

Share this post


Link to post
Share on other sites
2 часа назад, masters сказал:

По сути - это же "прокачанная" версия DHCP

это замена АРП, как по мне

2 часа назад, masters сказал:

А то как-то опыта в v6 маловато

просто сроутить сеть и всё, какой опыт нужен? :)

Share this post


Link to post
Share on other sites
2 часа назад, l1ght сказал:

просто сроутить сеть и всё, какой опыт нужен? :)

 

Так и делаем уже. Только вот 5-6 сотен клиентов надо перенастроить теперь (имею ввиду клиентское оборудование). Хочется малой кровью обойтись.

Share this post


Link to post
Share on other sites
14 минут назад, masters сказал:

 

Так и делаем уже. Только вот 5-6 сотен клиентов надо перенастроить теперь (имею ввиду клиентское оборудование). Хочется малой кровью обойтись.

малой кровью... если бы был dhcp6 + pd то и крови бы не было :)

а статика она такая, да, шож поделать

Share this post


Link to post
Share on other sites
В 13.05.2020 в 00:38, masters сказал:

Выдавать ему 1 IP, чтобы у себя внутреннюю маршрутизацию через него делал? Вариант.

 

На самом деле если это просто хосты с кучей ipv6 адресов прям на eth0 то просто взять 1 из этих адресов и сделать его next-hop для всей подсети что он юзает.

В таком случае джун просто будет слать все пакеты на мак этого хоста. А хост уже увидит "так это ж я" и ответит.

Share this post


Link to post
Share on other sites
16 минут назад, Phsm сказал:

 

На самом деле если это просто хосты с кучей ipv6 адресов прям на eth0 то просто взять 1 из этих адресов и сделать его next-hop для всей подсети что он юзает.

В таком случае джун просто будет слать все пакеты на мак этого хоста. А хост уже увидит "так это ж я" и ответит.

Я тоже это заметил, что заработало без перенастройки. Меня это и смутило. 

Думал виртуальный интерфейс подымать надо.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By sedo26
      Возникла необходимость сделать скорость в направление №2(UA-IX) больше чем в остальные направления.
      Создался дополнительный профиль, но 28к подсетей не прописывается в prefix-list UA-IX. (dynamic-db с фаерволом не работает)
      На джуне также поднят BGP - 2bgp апстрима (default) + 1bgp (UA-IX 28k prefix).
      Каждый апстрим в отдельном влане.
       
      Каким способом можно отфильтровать именно те пакеты, что убегают в UA-IX  (влан или пир). И  применить дин.профиль.
      set dynamic-profiles svc-allow-ipoe-ua-ix variables SPEED_IN mandatory set dynamic-profiles svc-allow-ipoe-ua-ix variables SPEED_OUT mandatory set dynamic-profiles svc-allow-ipoe-ua-ix variables INET_IN uid set dynamic-profiles svc-allow-ipoe-ua-ix variables INET_OUT uid set dynamic-profiles svc-allow-ipoe-ua-ix variables POLICER_IN uid set dynamic-profiles svc-allow-ipoe-ua-ix variables POLICER_OUT uid set dynamic-profiles svc-allow-ipoe-ua-ix interfaces demux0 unit "$junos-interface-unit" family inet filter input "$INET_IN" set dynamic-profiles svc-allow-ipoe-ua-ix interfaces demux0 unit "$junos-interface-unit" family inet filter input precedence 60 set dynamic-profiles svc-allow-ipoe-ua-ix interfaces demux0 unit "$junos-interface-unit" family inet filter output "$INET_OUT" set dynamic-profiles svc-ok-ua-ix interfaces demux0 unit "$junos-interface-unit" family inet filter output precedence 60 set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_IN" interface-specific set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_IN" term 1 from source-prefix-list UA-IX set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_IN" term 1 then policer "$POLICER_IN" set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_IN" term 1 then reject network-prohibited set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_IN" term 2 then service-accounting set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_IN" term 2 then accept set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_OUT" interface-specific set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_OUT" term 1 from destination-prefix-list UA-IX set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_OUT" term 1 then policer "$POLICER_OUT" set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_OUT" term 2 then service-accounting set dynamic-profiles svc-ok-ua-ix firewall family inet filter "$INET_OUT" term 2 then accept set dynamic-profiles svc-ok-ua-ix firewall policer "$POLICER_IN" filter-specific set dynamic-profiles svc-ok-ua-ix firewall policer "$POLICER_IN" if-exceeding bandwidth-limit "$SPEED_IN" set dynamic-profiles svc-ok-ua-ix firewall policer "$POLICER_IN" if-exceeding burst-size-limit 512k set dynamic-profiles svc-ok-ua-ix firewall policer "$POLICER_IN" then discard set dynamic-profiles svc-ok-ua-ix firewall policer "$POLICER_OUT" filter-specific set dynamic-profiles svc-ok-ua-ix firewall policer "$POLICER_OUT" if-exceeding bandwidth-limit "$SPEED_OUT" set dynamic-profiles svc-ok-ua-ix firewall policer "$POLICER_OUT" if-exceeding burst-size-limit 512k set dynamic-profiles svc-ok-ua-ix firewall policer "$POLICER_OUT" then discard  
    • By Kwintor
      Продам Б/у juniper MX104-AC. Цена 6340$.  проверенный.  Срок поставки 3-5 недель. форма оплаты БН без НДС. гарантия 1 год бесплатно. за доп плату можно зделать больше гарантию
    • By kotqq
      Продам новый Juniper MX104-AC, полный комплект, цена 6500$
       



    • By Kwintor
      Продаем серверное и сетевое оборудование новое и Б/У. Срок поставки 3-5 недель. Гарантия 1 год на оборудование. Пишите точные парт номера, посчитаем по выгодной для вас цене.
    • By Інет.укр
      Пропоную 
      Juniper QFX5100-48S-AC-AFO 48 SFP+/SFP Ports 6 QSFP+ Ports Dual AC Power
      Рік виготовлення 2014, манібек 14 діб.
      Варість $2200

×