Почему OSPF соседство не поднимается
Интерфейсы в состоянии up/up, IP-адреса корректные, но соседи в OSPF не переходят в Full.
Иногда интерфейс попадает под passive-interface, либо multicast
Также соседство не установится, если Router ID дублируется в домене или если одна сторона работает в stub/NSSA, а другая - нет.
🤖 Что проверить на Cisco
N.A.
Интерфейсы в состоянии up/up, IP-адреса корректные, но соседи в OSPF не переходят в Full.
Чаще всего причина в несовпадении параметров: area ID, network type, hello/dead timers, MTU или authentication.
Иногда интерфейс попадает под passive-interface, либо multicast
224.0.0.5 блокируется ACL’ом.Также соседство не установится, если Router ID дублируется в домене или если одна сторона работает в stub/NSSA, а другая - нет.
show ip ospf neighbor
show ip ospf interface Gi0/1
show ip ospf interface Gi0/1 | include MTU
show ip protocols
show running-config | section router ospf
show ip ospf database
show access-lists
N.A.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤1
Почему после добавления нового VLAN пропадает связь
VLAN создан, access-порт назначен, но хосты не видят шлюз или друг друга.
Чаще всего проблема не в самом VLAN, а в транках и L3-части: VLAN не добавлен в allowed list на trunk, native VLAN не совпадает на сторонах линка, SVI не создан или в состоянии down/down.
Иногда VLAN не активируется, если нет ни одного up-порта в этом сегменте.
Команды для быстрой проверки:
Если VLAN не проходит по транку - добавить его в allowed list:
Если нужен L3-шлюз - создать и включить SVI:
После этого проверить ARP и доступность шлюза:
N.A.
VLAN создан, access-порт назначен, но хосты не видят шлюз или друг друга.
Чаще всего проблема не в самом VLAN, а в транках и L3-части: VLAN не добавлен в allowed list на trunk, native VLAN не совпадает на сторонах линка, SVI не создан или в состоянии down/down.
Иногда VLAN не активируется, если нет ни одного up-порта в этом сегменте.
Команды для быстрой проверки:
show vlan brief
show interfaces trunk
show running-config interface Gi0/1
show spanning-tree vlan <id>
show ip interface brief | include Vlan
show ip route connected
Если VLAN не проходит по транку - добавить его в allowed list:
interface Gi0/1
switchport trunk allowed vlan add <id>
Если нужен L3-шлюз - создать и включить SVI:
interface Vlan<id>
ip address 10.10.<id>.1 255.255.255.0
no shutdown
После этого проверить ARP и доступность шлюза:
show ip arp vlan <id>
ping 10.10.<id>.1
N.A.
👍13
Как сделать резервный интернет-канал с автоматическим переключением
Чтобы при падении основного провайдера трафик автоматически уходил на backup, используется IP SLA + track + floating static route.
1️⃣ Настроить IP SLA для проверки доступности внешнего узла:
2️⃣ Создать track-объект:
3️⃣ Основной маршрут через primary ISP:
4️⃣ Backup-маршрут с большей administrative distance:
5️⃣ Проверка работы переключения:
При падении primary SLA перестаёт получать ответы, track переходит в down, основной маршрут удаляется из RIB и трафик автоматически идёт через backup.
N.A.
Чтобы при падении основного провайдера трафик автоматически уходил на backup, используется IP SLA + track + floating static route.
ip sla 1
icmp-echo 8.8.8.8 source-interface Gi0/0
frequency 5
ip sla schedule 1 life forever start-time now
track 1 ip sla 1 reachability
ip route 0.0.0.0 0.0.0.0 1.1.1.1 track 1
ip route 0.0.0.0 0.0.0.0 2.2.2.2 200
show track 1
show ip sla statistics
show ip route 0.0.0.0
При падении primary SLA перестаёт получать ответы, track переходит в down, основной маршрут удаляется из RIB и трафик автоматически идёт через backup.
N.A.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤2🥴1
5 команд для анализа L3 ECMP и распределения трафика
Даже когда ECMP настроен, трафик может концентрироваться на одном линке из-за hash-функций.
Эти команды помогут понять, как маршрутизатор реально распределяет потоки и почему часть линков простаивает.
Показывает, какие next-hop задействованы и порядок выбора.
CEF detail: next-hop, adjacency и hash, какие линк-пути используются.
Обзор распределения трафика по интерфейсам и подсетям.
Аппаратные счётчики, показывают, какой линк реально получает пакеты.
Смотрим, не «сбрасывает» ли ASIC пакеты из-за некорректного хеша или hardware limitation.
N.A.
Даже когда ECMP настроен, трафик может концентрироваться на одном линке из-за hash-функций.
Эти команды помогут понять, как маршрутизатор реально распределяет потоки и почему часть линков простаивает.
show ip route <prefix> detail
Показывает, какие next-hop задействованы и порядок выбора.
show ip cef <prefix> detail
CEF detail: next-hop, adjacency и hash, какие линк-пути используются.
show ip cef summary
Обзор распределения трафика по интерфейсам и подсетям.
show controllers ethernet-controller <interface> internal
Аппаратные счётчики, показывают, какой линк реально получает пакеты.
show platform hardware qfp active feature cef drop
Смотрим, не «сбрасывает» ли ASIC пакеты из-за некорректного хеша или hardware limitation.
N.A.
👍7❤1
Почему после включения Port-Security порт уходит в err-disable
Port-Security защищает сеть от нежелательных MAC-адресов, но при строгой настройке порта любое несоответствие правил вызывает блокировку.
⏺ На практике это проявляется так: на порту стоят IP-телефон и ПК, виртуальная машина на сервере, или случайно подключили другой коммутатор без согласования. Порт тут же падает, трафик прекращается, и STP перестраивает дерево.
🔎 Как проверить?
👨🎨 Как исправить
1️⃣ Временно восстановить порт:
2️⃣ Настроить лимит MAC или режим реакции:
3️⃣ Проверить актуальные MAC на порту и при необходимости добавить в allowed list:
N.A.
Port-Security защищает сеть от нежелательных MAC-адресов, но при строгой настройке порта любое несоответствие правил вызывает блокировку.
Порт переходит в err-disable, если на нём появляется больше MAC, чем разрешено, если новый MAC не в списке allowed, или если нарушается режим violation (shutdown).
show port-security interface Gi0/1
show port-security address
show interfaces status err-disabled
show mac address-table interface Gi0/1
interface Gi0/1
shutdown
no shutdown
interface Gi0/1
switchport port-security maximum 3
switchport port-security violation restrict
switchport port-security mac-address sticky
N.A.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9👎1
Forwarded from Сервер, сторадж & два свича
This media is not supported in your browser
VIEW IN TELEGRAM
Что будет, если героические способности уместить в компактную оболочку?
❓ новый герой Marvel
❓ настольный сервер для задач локального ИИ
❓ маленькая рабочая станция HP Z2 Mini G1a
Рассуждения в сторону, т.к. это тот самый случай, когда все варианты ответов верны!
А чтобы сомнения в могуществе этой машинки отпали раз и навсегда, подготовили небольшой видеообзор HP Z2 Mini G1a. Подсветили главные достоинства, конфигурации, области применения и даже провели наглядный тест — "как 128 ГБ памяти превращаются в локальный ИИ на 120 млрд параметров"
💬 Смотреть в MAX
📺 Смотреть на сайте
А совсем скоро ожидаем рабочую станцию Minisforum. Подписывайтесь, чтобы не пропустить обзор!
Сервер, сторадж & два свича
Реклама. ООО "ИТЕЛОН". ИНН 7701527528. erid: 2W5zFJmdLdo
Рассуждения в сторону, т.к. это тот самый случай, когда все варианты ответов верны!
А чтобы сомнения в могуществе этой машинки отпали раз и навсегда, подготовили небольшой видеообзор HP Z2 Mini G1a. Подсветили главные достоинства, конфигурации, области применения и даже провели наглядный тест — "как 128 ГБ памяти превращаются в локальный ИИ на 120 млрд параметров"
А совсем скоро ожидаем рабочую станцию Minisforum. Подписывайтесь, чтобы не пропустить обзор!
Сервер, сторадж & два свича
Реклама. ООО "ИТЕЛОН". ИНН 7701527528. erid: 2W5zFJmdLdo
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤1🤔1
Пинг проходит, а приложение не работает
ICMP отвечает, маршрут есть, latency нормальная - но сайт не открывается, API не отвечает, RDP/SSH зависает на этапе подключения. Это типичный случай, когда L3 жив, а проблема выше.
⏺ Вторая распространённая причина - stateful firewall. Пакеты могут доходить до сервера, но обратный трафик блокируется из-за отсутствия сессии в таблице состояний или из-за asymmetric routing. В логах - тишина, потому что дроп происходит «легально» по логике state engine.
⏺ Третий сценарий - асимметрия маршрутизации. Запрос идёт через один firewall или edge, а ответ возвращается через другой. Для ICMP это не критично, для TCP — критично. В результате handshake не завершается или соединение обрывается.
Также возможны проблемы на уровне L4–L7: неверный listener на сервере, сервис слушает не тот IP, TLS mismatch, истёкший сертификат, DNS возвращает неправильный адрес.
Пинг до IP проходит, но приложение недоступно по FQDN.
N.A.
ICMP отвечает, маршрут есть, latency нормальная - но сайт не открывается, API не отвечает, RDP/SSH зависает на этапе подключения. Это типичный случай, когда L3 жив, а проблема выше.
Чаще всего причина в несоответствии MSS/MTU: small ICMP-пакеты проходят, а крупные TCP-сегменты фрагментируются или silently дропаются. Особенно актуально для VPN, GRE, PPPoE и overlay-сетей.
Также возможны проблемы на уровне L4–L7: неверный listener на сервере, сервис слушает не тот IP, TLS mismatch, истёкший сертификат, DNS возвращает неправильный адрес.
Пинг до IP проходит, но приложение недоступно по FQDN.
N.A.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
NTP для больших сетей MikroTik: несколько серверов и failover
В корпоративной или разветвленной сети важно не просто синхронизировать время на одном роутере, а обеспечить резервирование и согласованность времени на всех устройствах.
⏺ Несколько NTP-серверов
Лучше указывать сразу несколько серверов, чтобы при недоступности одного синхронизация продолжалась с другим:
Первичные и вторичные серверы внутри сети гарантируют, что локальные устройства будут иметь корректное время даже при обрыве интернета.
⏺ Проверка и диагностика
Состояние клиента можно проверить так:
В выводе видны активные серверы и задержка до них. Высокая задержка или отсутствие ответа сигнализируют о проблемах с сетью или firewall.
⏺ Failover и последовательность
1️⃣ Внутренние серверы берут приоритет, если они доступны.
2️⃣ Внешние NTP сервера — резерв.
3️⃣ Если все недоступны — роутер использует локальные часы, но периодически пробует повторно синхронизироваться.
N.A.
В корпоративной или разветвленной сети важно не просто синхронизировать время на одном роутере, а обеспечить резервирование и согласованность времени на всех устройствах.
Лучше указывать сразу несколько серверов, чтобы при недоступности одного синхронизация продолжалась с другим:
/system ntp client set enabled=yes primary-ntp=192.168.1.10 secondary-ntp=192.168.1.11 server-dns-names=0.pool.ntp.org,1.pool.ntp.org
Первичные и вторичные серверы внутри сети гарантируют, что локальные устройства будут иметь корректное время даже при обрыве интернета.
Состояние клиента можно проверить так:
/system ntp client print
/system ntp servers print
В выводе видны активные серверы и задержка до них. Высокая задержка или отсутствие ответа сигнализируют о проблемах с сетью или firewall.
N.A.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤3
Почему после добавления второго uplink трафик идёт неравномерно
Добавили второй uplink для увеличения пропускной способности, а трафик почему-то идёт почти только через один линк.
Причина чаще всего не в физике, а в логике маршрутизации: ECMP использует хеширование по 5-tuple (src/dst IP, src/dst port, protocol). Если сессий немного или все они имеют одинаковые адреса/порты, hash «схлопывается» на один путь.
Ещё возможна асимметричная маршрутизация: ответ идёт через другой линк, firewall/stateful inspection блокирует часть трафика, или маршруты не совпадают в разных VRF/таблицах.
Что проверить
⏺ show ip route <prefix> detail - какие next-hop реально используются.
⏺ show ip cef <prefix> detail - hash и adjacency для конкретного префикса.
⏺ show ip cef summary - распределение трафика по интерфейсам.
⏺ show controllers ethernet-controller <interface> internal - реальные счётчики, какой линк принимает пакеты.
⏺ show platform hardware qfp active feature cef drop - проверка, не сбрасывает ли ASIC пакеты из-за некорректного хеша.
N.A.
Добавили второй uplink для увеличения пропускной способности, а трафик почему-то идёт почти только через один линк.
Причина чаще всего не в физике, а в логике маршрутизации: ECMP использует хеширование по 5-tuple (src/dst IP, src/dst port, protocol). Если сессий немного или все они имеют одинаковые адреса/порты, hash «схлопывается» на один путь.
Также влияет L3 load-balancing: маршрутизатор распределяет пакеты по линкам на основе hash, а не равномерно по объёму. Поэтому маленькие потоки будут «привязаны» к одному интерфейсу.
Ещё возможна асимметричная маршрутизация: ответ идёт через другой линк, firewall/stateful inspection блокирует часть трафика, или маршруты не совпадают в разных VRF/таблицах.
Что проверить
show ip route <prefix> detail
show ip cef <prefix> detail
show ip cef summary
show controllers ethernet-controller <interface> internal
show platform hardware qfp active feature cef drop
N.A.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤1
Запустил Docker на локалке - все летает. Залил на сервер - посыпались ошибки.
Знакомая картина: у тебя на ноуте контейнер стартует, приложение работает, порты открываются.
⁉️А на сервере:
— контейнер падает с непонятной ошибкой
— файлы не подмонтировались
— права доступа вылезают там, где их не ждали
И ты сидишь, гуглишь и не понимаешь, что пошло не так.
Спойлер: дело не в Docker, а в окружении. Разные версии, переменные, пути. Docker просто честно показывает, что они отличаются.
❇️ Ребята из Merion Academy (того самого YouTube-канала про IT) на бесплатных вводных уроках разбирают Docker с нуля и дают пошаговый роадмап по профессии DevOps инженера - что нужно изучить, чтобы не метаться между сотней инструментов.
➡️ Запишись на бесплатные вводные уроки
Чтобы код работал одинаково везде - не только на твоем ноуте, но и на сервере, и в проде.
Знакомая картина: у тебя на ноуте контейнер стартует, приложение работает, порты открываются.
⁉️А на сервере:
— контейнер падает с непонятной ошибкой
— файлы не подмонтировались
— права доступа вылезают там, где их не ждали
И ты сидишь, гуглишь и не понимаешь, что пошло не так.
Спойлер: дело не в Docker, а в окружении. Разные версии, переменные, пути. Docker просто честно показывает, что они отличаются.
❇️ Ребята из Merion Academy (того самого YouTube-канала про IT) на бесплатных вводных уроках разбирают Docker с нуля и дают пошаговый роадмап по профессии DevOps инженера - что нужно изучить, чтобы не метаться между сотней инструментов.
➡️ Запишись на бесплатные вводные уроки
Чтобы код работал одинаково везде - не только на твоем ноуте, но и на сервере, и в проде.
Merion Academy
DevOps-инженер с нуля
Стань DevOps-инженером с нуля и научись использовать инструменты и методы DevOps
Почему NAT-пулы быстро исчерпываются
Серверы вроде имеют доступ в интернет, линк поднят, маршруты есть, а новые подключения внезапно не проходят.
Особенно это заметно при VPN или когда все новые подключения уходят через один NAT IP.
Например, можно сразу посмотреть активные трансляции:
И проверить статистику пула, количество hits и максимум:
Если есть сомнения, что ACL мешает трафику, проверяем:
А для проверки маршрутов, по которым трафик идёт через NAT:
Чтобы временно освободить пул и проверить реакцию сети:
Решение обычно включает расширение NAT-пула, использование overloading через несколько внешних адресов и перераспределение сессий по разным NAT-гейтвеям.
N.A.
Серверы вроде имеют доступ в интернет, линк поднят, маршруты есть, а новые подключения внезапно не проходят.
Обычно проблема не в физике, а в лимите NAT-сессий: каждый исходящий TCP или UDP поток занимает отдельную translation entry, и stateful firewall тоже учитывает каждую сессию.
Особенно это заметно при VPN или когда все новые подключения уходят через один NAT IP.
Например, можно сразу посмотреть активные трансляции:
show ip nat translations
И проверить статистику пула, количество hits и максимум:
show ip nat statistics
Если есть сомнения, что ACL мешает трафику, проверяем:
show access-lists
А для проверки маршрутов, по которым трафик идёт через NAT:
show ip route
Чтобы временно освободить пул и проверить реакцию сети:
clear ip nat translation *
Решение обычно включает расширение NAT-пула, использование overloading через несколько внешних адресов и перераспределение сессий по разным NAT-гейтвеям.
N.A.
👍6❤1👎1
Использование /31 префикса в IP-сетях
/31 в IPv4 — это не «странная маска», а рабочий стандарт для линков точка-точка, особенно при подключении к провайдерам. Но если вы не понимаете, почему это вообще стало возможно и как оно устроено, вы либо переплачиваете адресным пространством на /30, либо боитесь внедрять /31 без уверенности.
📅 На открытом уроке 10 марта в 20:00:
— Разберём, зачем появился /31, как именно работает линк с такой адресацией и чем подход отличается от классического /30.
— После урока вы сможете принимать взвешенное решение, когда /31 уместен, а когда лучше оставить /30.
Урок не для тех, кто хочет «просто запомнить настройку» без понимания механики и ограничений, или рассчитывает закрыть тему IPv4 адресации одной шпаргалкой.
👉 Записаться: https://otus.pw/8346/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
/31 в IPv4 — это не «странная маска», а рабочий стандарт для линков точка-точка, особенно при подключении к провайдерам. Но если вы не понимаете, почему это вообще стало возможно и как оно устроено, вы либо переплачиваете адресным пространством на /30, либо боитесь внедрять /31 без уверенности.
📅 На открытом уроке 10 марта в 20:00:
— Разберём, зачем появился /31, как именно работает линк с такой адресацией и чем подход отличается от классического /30.
— После урока вы сможете принимать взвешенное решение, когда /31 уместен, а когда лучше оставить /30.
Урок не для тех, кто хочет «просто запомнить настройку» без понимания механики и ограничений, или рассчитывает закрыть тему IPv4 адресации одной шпаргалкой.
👉 Записаться: https://otus.pw/8346/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
❤2
Почему маршруты OSPF есть, но трафик не идёт
В routing table маршруты видны, интерфейсы up, соседи установлены - а пакеты не проходят.
Чаще всего проблема не в маршрутах, а в деталях OSPF: несоответствие cost, passive interface, ошибка аутентификации, или интерфейс находится в другом VRF, и трафик смотрит в другую таблицу.
Для проверки сначала смотрим соседей и их статус:
Далее проверяем cost и тип интерфейса:
Если используется аутентификация, убедимся, что ключи совпадают:
Для VRF важно проверить, что маршрут существует в нужной таблице:
N.A.
В routing table маршруты видны, интерфейсы up, соседи установлены - а пакеты не проходят.
Чаще всего проблема не в маршрутах, а в деталях OSPF: несоответствие cost, passive interface, ошибка аутентификации, или интерфейс находится в другом VRF, и трафик смотрит в другую таблицу.
Для проверки сначала смотрим соседей и их статус:
show ip ospf neighbor
Далее проверяем cost и тип интерфейса:
show ip ospf interface
show running-config interface Gi0/1
Если используется аутентификация, убедимся, что ключи совпадают:
show ip ospf interface | include Authentication
Для VRF важно проверить, что маршрут существует в нужной таблице:
show ip route vrf <name>
N.A.
🔥3❤1