Vigvam 2024 - Zimní setkání ISPíků

pgb · 2024-01-06T08:00:31+00:00

24.1.2024 pořádá pan @krystofklima konferenci kousek od Kolína ... kdyby tam někdo chtěl dát kafe a pokecat tak já budu rád ... ps: @iTomB domluvil jsem se...

ekrajnak

Pouzivat L3 HW Offload na CRSku? Ved to je samovrazda. Myslienka nadherna, ale oko by som nezazmuril. A bal by som sa toho dotknut, lebo nikto netusi, ktora funkcia to prepne na CPU a zabijes sa.

hapi

ekrajnak mám pod správnou větší sítě než je naše a všude ty CRSka jedou na podstatně větších rychlostech a větších počtech userů za tím a taky s více funkcemi třeba ECMP. Jak nikdo netuší jaká funkce to kam přepne? Je to dost solidně popsané na wikině a u všech položek ve winboxu máš pak napsáno co se na to použilo. Je to jako s ciskem. Každé má své použití a když chceš nějaké použít na něco na co není stavěné tak zapláčeš stejně. Nauč se to používat a bude se ti hezky spát. Mě se spí hezky protože nemusím používat zařízení za desítky tisíc ale jenom za deset tisíc. To je pro nás podstatné když dáváš net za 250,-.

gemb jo ale RB není CRS3x/5xx. Zdůrazňuji CRS3xx/5xx protože ostatní CRS to neumí. Umí to HW firewall jenom se tuším nedává do ip/firewall ale do switch/rule. Ale to teď nevím. Resp. ono záleží jestli pravidla aplikuješ na forward provozu nebo na management zařízení (chain: input). Tam pak můžeš použít normální firewall.

Pro mě nejdůležitější v konfiguraci těchto HW featur bylo oprostit se od zažitého myšlení principu routeru. Nejvíc je to asi viditelné při použití HW L3 a vlanů. Vše je to jenom o tom se to naučit a vyzkoušet si to na stole. Je to totiž velmi jednoduché.

ekrajnak

ekrajnak ako som pisal, samovrazda to pouzivat ...

gemb

hapi ja som tie CRS na zaciatku zabalil kvoli flapovaniu portov ale to je hadam uz vyriesena vec, len 3011 s dvoma switchmi neni to prave orechove. Deju sa nam take veci, ze napr porty v druhom switchy flapuju, v prvom chodia dobre. Vymenit to za CRS s viac portami, SFP+ a pripadne poe out by bola rozpravka...musime skusit. Otazka ako si to poradi s cca 10 pravidlami vo firewalle ktore mame na kazdom bode.

viktornovotny

hapi tak tak, jednoduche se to zda az moc, celkem cekam kde bude ten hacek 🤣

iTomB

viktornovotny jednoduse, pockej si na upgrade 😃

viktornovotny

iTomB jak to myslis ?

iTomB

viktornovotny No novej ROS 😉 jako programator vim, ze opravou jedne chyby, minimalne 1 nove vznikne 😃
Kolikrat se neco rozbilo a opravovali par mesicu ... 😃

hapi

Jo ale tohle už funguje rok.

johnson

Tyhle crs s L3 hw offloadingem jsme testovali asi před rokem. Vše, včetně mpls fungovalo ok, ale pořád je to mk switch, který se umí zaseknout kdy chce a to na důležité body nepatří.

okoun

johnson také mám stejný názor, síť kde teče reálně 10Gb tok tak si tam nebude dávat nějakou shitku za 5000 Kč to prostě nedává smysl 🙁 takové body prostě vypadají jinak, jinak nic proti tomu HW nemám...

pgb

okoun Jako souhlasím že na L3HW offload na MK na core osobně odvahu nemám, mám ho na pár místech na MK netpower16p kde to obsluhuje pomocí L3HW ten lokální POP a funguje to bez problémů (L3 síť).

Typicky to jsou sajty s nějakými 5GHz/60GHz hračkami a třeba jedním/dvěma profi pojítky (všechno je v kruhu) a nějaké problémy nepociťuji. A ano, odbavuje to jen do 1Gbps a nejsou to core sajty, ale to neznamená že nejsou pro mě důležité.

Přeci jen ten switchchip od Marvellu používá MK i ve svých top produktech a MK na L3HW evidentně tlačí aby to fungovalo, protože stroje se silnými cpu si musíme skládat sami .....

pintero

Když zapnu L3HW na CRS328-24P, fw 7.12.1, tak přestane být dostupný management připojených L2 zařízení, typicky RB260, radia SummitD, které mají jen IP, bez masky a brány ☹

hapi

no ano, protože se nechovají zcela korektně. Asi to bude tento problém: https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading#L3HardwareOffloading-MACtelnetandRoMON

pintero

Pravděpodobně, občas se to chová divně, stalo se mi taky, když jsem měnil na dalším hopu hw, tak ten první switch ztratil routy a do vypnutí L3HV je odmítal nahodit… Nikde to nesigmalizoval, v routing table normálně byly, restart switche nepomáhal, min. 10 minut mi trvalo, než mi to docvaklo…

miract

Já jsem od toho upustil právě kvůli divnému chování s OSPF(ztrácely se routy). Ale je to cca 3/4 roku zpět, tak to možná vyřešili.

hapi

všechno to je v changelogu a v manualu. I známe limitace i konfigurační nápravy daných stavů: https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading#L3HardwareOffloading-Layer2Dependency

je třeba si uvědomit že když se tohle dělá hw boxech tak se upraví config a ten se pak aktivuje. Tady zadáváte věci postupně a oni se sami aktivují okamžitě což není dobře ale většinou stačí off/on l3hw a je vyřešeno. Je jasné že když mu měníte L2 tak L3 se může rozbít. Řešení:

It is recommended to turn off L3HW offloading during L2 configuration.

Psát sem staré zkušenosti nemá smysl. Je tam spousta věcí opravených. Jenom tak pro příklad. CRS328 v7.10, uptime 202 dní, 1.6Gbit tok L3HW. Celou dobu bez ručního zásahu.

Buď se tomu věnuju a nebo si stěžuju. Kam se zařadíte?

ekrajnak

hapi ku stazovatelom. Vsetky tie verzie boli vydane ako "stable" a ziadnu zmluvu s Mikrotikom ako betatester nemam. Uz to nie je ta doba, ked si si potreboval ten Mikrotik odladit, lebo ine nebolo.

kmotrik

je velká hitparáda když se pak dostaneš k síti která je zbastlená z mikrotiků protože " Mikrotik toho umí hodně " .... pak to dáváš 3 roky do kupy a zjišťuješ že invenci a vlastním implementacím se meze nekladou. 😅

sám jsem si takhle nasral do bot kdy jsem na verzi 6.x používal chybně na iBGP MED a po migraci na v 7.x jsem musel část sítě překlopit na iBGP s OSPF underlay :-).
Když jsem řešil něco s Mikrotik supportem odpověděli mi bratru po ROCE že v 7 má novou impelemtaci OSPF a mám tedy zkusit udělat update .... sorry kluci ale rok jsem čekat nemohl a mezi tím se Mikrotik nahradil 🤷♂

coitus

pak to dáváš 3 roky do kupy a zjišťuješ že invenci a vlastním implementacím se meze nekladou.

V Mikrotiku naozaj dokazes napr. IP nastavit tak na bridge ako aj na interface v bridge. Dokonca to aj chodilo na niektorych druhoch hardware alebo verzii software. To bolo potom prekvapenie ked to pri upgrade prestalo fungovat a samozrejme sa nadavalo na Mikrotik. Je tam viacej veci co sa da rozne (vacsinou zle) nastavit. To ale nie je problem Mikrotiku ale toho kto to nastavoval.

« Předchozí stránka Další stránka »