Monthly Archives: August 2014

Клиентские L3VPN и обход VTY ACL на оборудовании Huawei

Суть проблемы довольно простая – telnet/ssh (далее, для простоты изложения речь пойдёт про telnet) работают во всех vpn-instance, таким образом, L3VPN-подключение является потенциальной угрозой для обхода VTY ACL, поскольку, в общем случае, абонент сам планирует своё адресное пространство. Типичные схемы подключения (PE-CE) – /30, /30+static route(часто, default в центральной точке), /30+bgp. Если в сторону клиента есть static route или bgp без (жёсткого) согласования префиксов (например, только с лимитом на их количество), то абонент может пытаться зайти телнетом на ip-адрес транспортной сети(/30) на стороне провайдера.
Continue reading

Advertisements

Утилизация аппаратных ресурсов на коммутаторах Huawei S-серии

У коммутаторов Huawei S-серии имеется возможность просмотра используемых аппаратных ресурсов (в частности, утилизации tcam) и перераспределения (для некоторых конфигураций модульных коммутаторов).

ACL

Ресурс ACL это в самом деле ресурс, используемый для traffic-policy (и прочих вариаций traffic-*) и, в некоторых случая, Selective QinQ (когда является особым traffic-policy). Имеется три типа ресурсов ACL – rule(классикация трафика), counter(подсчёт трафика), meter(ограничение скорости)
В случае с S9300 это выглядит следующим образом:

[Quidway]display acl resource slot 2
Slot  2  
                     Vlan-ACL    Inbound-ACL  Outbound-ACL                   
----------------------------------------------------------------------------
  Rule Used               10          373            6                
  Rule Free             2038         7819         1018                
  Rule Total            2048         8192         1024                

  Meter Used               0           78            2                
  Meter Free               0         8114         1022                
  Meter Total              0         8192         1024                

  Counter Used             0           96            2                
  Counter Free             0         8096         1022                
  Counter Total            0         8192         1024                
----------------------------------------------------------------------------

Continue reading

Резервирование точки терминирования /30 с помощью VRRP/HSRP

Существует несколько способов зарезервировать точку терминирования сети /30 – cluster/virtual-chassis (самый простой, но не всегда самый дешёвый), mpls pw termination с active/standby проводами на ближайшей PE (актуально для mpls-сетей с количеством PE больше одной-двух, но решается несколько иная задача, а именно уход от децентрализованного терминирования) и VRRP/HSRP (и аналоги). Если с cluster/virtual-chassis всё более-менее просто (MC-LAG в сторону нижестоящего устройства и создание L3 сабынтерфейса в нём), то с vrrp/hsrp несколько сложнее. В классическом варианте VRRP настраивается таким образом:

interface FastEthernet0/0.2
 encapsulation dot1Q 2
 ip address 192.0.2.6 255.255.255.248
 vrrp 1 ip 192.0.2.1

На втором роутере настраивается адрес 192.0.2.5/29, абоненту остаются адреса 192.0.2.2-4. Однако возникает вопрос что делать, если у вас есть 2 роутера без поддержки кластеризации (например, Cisco ASR1K, 7200 и подобные) и есть абоненты, включенные по схеме /30, для которых хочется сделать резервную точку терминирования? Continue reading

Zyxel свитч, dot1Q vlan и Windows

Для тех, кто привык работать с нормальным CLI (Juniper, Cisco и Cisco-like), CLI свитчей типа D-Link, Zyxel и т.п. покажутся просто интерфейсом над регистрами чипа коммутации. Эта заметка посвящена тому, как можно легко ошибиться, когда производитель не особо задумывается над высокоуровневыми задачами, а лишь транслирует команды CLI в регистры/команды чипа.

zyxel-4012f

Тривиальная схема включения, ошибиться вроде бы негде. Однако, суть проблемы в том, что когда абонент подключает ноутбук с Windows, то всё работает (есть пинги между Cust_host1 и ISP_R1). Когда же подключается (заведомо рабочий) роутер Cust_R2 вместо Cust_host1, пинги до ISP_R1 перестают ходить. Continue reading