Перейти до

Extreme Black Diamond 12804R отваливается Ipforwarding


Рекомендованные сообщения

Добрый день. Как раз ко дню Сис Админа, подкралась жопа.

Стоит в ядре Extreme Black Diamond 12804R, нормальная молотилка, проработал несколько лет, ни одного приключения с ним не было.

На этом железе вертится статическая и динамическая маршрутизация, собственно вот - пару дней назад начал падать сей агрегат, долго разбирались, меняли мозги, платы расширения, отключал платы расширения 10Г, вообщем все танцы с бубном прошли. В итоге разнесли на разные экстримы БГП и локальные вланы, падает бгп, а вернее просто пропадают правила форвардинга, добавляем руками форвардинг - работает, анонсы расходятся. Периодичность  отвала форвардинга, от 5 минут до 12 часов. Перерыли всё, сделали разнос на разные железяки, всё равно один раз ночью упал, вот вторые сутки прошли больше падения не было. Надо понять в чём причина этих падения, почему падает форвардинг, по счётчикам внутренним эктрима вроде всё ок, по магистральным портам тоже всё ок. Магистралу звонили всё ок (Укомлайн). Изменений  в конфигах не делали уже как несколько месяцев, повторюсь всё работало нормально, так какого он падает? Железо всё меняли, результат тот же. Конфиг в краш загоняет?, но он то старый и с ним работало. Какой-то флуд? Та вроде бы всё ок, смотрели по количеству пакетов, нет каких-то глобальных отклонений. На БГП приходит дефолт и Украина 21000 маршрутов, двумя вланами,  на этих же вланах сидят ещё два партнёра со своими автономками, у них всё ок.

Вообщем бред какой-то, в логах нету толком нихрена.

Есть тут экстримоводы? Может были похожие проблемы с форвардингом? Гугл гуглил.  

Ссылка на сообщение
Поделиться на других сайтах

bd-10808, тоже похожее было, меняли всё кроме прошивок(не нашли), от суток до недели-двух аптайм, правда без БГП,  держал Л2 и Л3.

Если решите, стукните в личку.        

Ссылка на сообщение
Поделиться на других сайтах

 

Есть тут экстримоводы? Может были похожие проблемы с форвардингом? Гугл гуглил.  

 

год назад мы столкнулись с подобной проблемой одни из первых, по крайней мере симптомы похожи...

http://forum.nag.ru/forum/index.php?showtopic=95137&st=0 

 

на коммутатор посылается SNMP запрос, который устанавливает ТТЛ коммутатора = 1

 

напишите что у Вас в настройках SNMP: 

 

show configuration "snmp" detail

Ссылка на сообщение
Поделиться на других сайтах

 

 

Есть тут экстримоводы? Может были похожие проблемы с форвардингом? Гугл гуглил.  

 

год назад мы столкнулись с подобной проблемой одни из первых, по крайней мере симптомы похожи...

http://forum.nag.ru/forum/index.php?showtopic=95137&st=0 

 

на коммутатор посылается SNMP запрос, который устанавливает ТТЛ коммутатора = 1

 

напишите что у Вас в настройках SNMP: 

 

show configuration "snmp" detail

 

Ссылку обрезанную кинули, если не трудно киньте правильную.

Ссылка на сообщение
Поделиться на других сайтах

Поискал на офсайте https://www.extremenetworks.com

Ахренеть действительно есть такая дырень

https://www.extremenetworks.com/wp-content/uploads/2014/06/BP001-SNMP-Best-Practice-Recomendations-rev-01.pdf

 

Customers have reported that routing function has been turned off without any direct intervention by the customer. This event has apparently been seen across a number of different multiple platforms and software versions. Extreme Networks has found that external SNMP command executions (likely malicious in nature) have been used to configure network devices and are the cause of the routing function being turned off.

 

Тоесть им сообщили что форвардинг отваливается на любых платформах и версиях софта, на что они рекомендуют, использовать ACL для SNMP, либо вообще отключить его нах%#. Красавцы, или типа включайте его ручками когда отвалится

 

Enabling IP Forwarding This can be fixed quickly by running the command “enable ipforwarding”. Specific VLANs can be added to the command if all VLANs do not require IP Forwarding. Fixing TTL value of 1 TTL values are not configurable via CLI. You will need to contact Extreme Networks TAC at 1-800-998- 2408 for assistance. Alternatively, you can use snmp software to send a snmp set command. The OID to do this is: .1.3.6.1.2.1.4.2.0 (set value to 64)

 

 

2 Berkut

Большое человеческое спасибо, за пинок в нужном направлении. Буду надеяться , что проблема была в этом.  

Ссылка на сообщение
Поделиться на других сайтах

Вообщем проблема действительно была в этом, TTL=1

Вычистили, надеюсь, все дырки.

 

2 Berkut - дайте контакт куда Вам выслать бутылку Чиваса

Ссылка на сообщение
Поделиться на других сайтах

Хорошо что вопрос решился ) Мы в свое время всех на уши поставили и поставщиков и поддержку Екстрима... Знаю случаи что некоторые новые железки меняли, а оно так и продолжало глючить... В итоге сначала скриптом ипфорвардинг включали, а потом уже разобрались в проблеме и закрыли полностью SNMP с внешки, оставили доступ только с менеджмент интерфейса. Странно что проблема только сейчас у Вас проявилась... возможно новая волна атак началась.

Ссылка на сообщение
Поделиться на других сайтах

Хорошо что вопрос решился ) Мы в свое время всех на уши поставили и поставщиков и поддержку Екстрима... Знаю случаи что некоторые новые железки меняли, а оно так и продолжало глючить... В итоге сначала скриптом ипфорвардинг включали, а потом уже разобрались в проблеме и закрыли полностью SNMP с внешки, оставили доступ только с менеджмент интерфейса. Странно что проблема только сейчас у Вас проявилась... возможно новая волна атак началась.

Ситуация один в один) Всех на уши поставили и толку ноль, админ написал скриптик который проверял наличие правил форвардинга, каждые 10 секунд, если правил нет то их добавлял.

А по поводу атак, то киевстар сразу же активировался со своей рекламой и обзвоном абонентов, а так же конкуренты сегодня запустили так называемый социальный проект - бесплатный интернет и ктв нашару на три года)

Вообщем веселуха ещё та у нас. Так, что, кто похвастается своими конкурентами, которые моих переплюнут?

Ссылка на сообщение
Поделиться на других сайтах

о у меня на 450 c суботы по воскресение  два дня подряд такаяже хня была до это год простоял ни разу такого небыло , значит будем закрывать ацелкой все нахрен :)

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...