[NAP CABASE LPL] Corte en el servicio 28/04 a la mañana

Andres Barbieri barbieri en cespi.unlp.edu.ar
Vie Abr 28 11:31:34 -03 2023 

Hoy temprano (7:00 AM aprox) se volvió a dar un incidente de similares 
características, pero debido a que ayer pase el router del peering 
directamente al huawei cuando se acomodo y se bloqueo el puerto del 
cisco todo volvió a la normalidad de forma automática.

Veo que hubo otro tráfico de miembros que parece que generó el problema.
Igual quiero mirarlo más en detalle cuando tenga más tiempo.

Cómo indicaba en el chat de WSP, creo que lo mejor es dejar de poner 
siwtches y bridges conectados al NAP/IXP y poner como router el equipo y 
luego que cada miembro internamente resuelva con BGP bien configurado, 
por ejemplo con iBGP el ruteo de los prefijos.


TECNOAZAR quedo aún en el switch cisco, pero veo que no tenía tráfico.
TECOAR lo pase al Huawei con un módulo que presto el cespi.
El resto que estaba en el cisco, creo que para evitar problemas por el 
fin de semana queda cómo estaba.

Si necesitarán mas info. no duden en contactarse. Creo que desde hace 
tiempo falta más participación técnica de los miembros de NAP/IXP. 
Entiendo que no es de mala voluntad, probablemente necesitamos de la 
parte de gestión técnica involucrarlos más.



&res-







On 27/4/23 13:58, Andres Barbieri wrote:
> 
> 
>     Ayer, por lo que vi el problema del corte se generó porque el switch 
> cisco 2690 donde esta conectado el router del NAP bloqueo el uplink que 
> va al huawei por una restricción de portsecurity (demasiadas MACs) que 
> tiene el port por configuración estándar desde CABASE.
> 
> 
> Te1/0/1                unassigned      YES unset  down down
> Te1/0/2                unassigned      YES unset  down down
> Port-channel13         unassigned      YES unset  down down
> 
> 
> LPL-SWT-03(config)#interface tenGigabitEthernet 1/0/1
> .Apr 26 14:43:26.805: %PM-4-ERR_DISABLE: psecure-violation error 
> detected on Te1/0/1, putting Te1/0/1 in err-disable state
> 
> La conexión se hace por un port-channel
> 
> Del lado del Huawei
> 
> <LPL-ROU-03>display cur interface Eth-Trunk 2
> #
> interface Eth-Trunk2
>   description 
> #_AC_LACP2_UP-range-XG21,XG22--LPL-SWT-03.range-Ten1/0/1,Ten1/0/2_#
>   set flow-stat interval 30
>   port link-type trunk
>   port trunk allow-pass vlan 308 401 to 402 410 501 801
>   port negotiation disable
>   stp edged-port disable
>   stp point-to-point force-true
>   mode lacp
>   lacp timeout fast
>   lacp preempt enable
>   lacp preempt delay 60
>   undo ntdp enable
>   undo ndp enable
>   port-security enable
>   port-security max-mac-num 200
>   port-security aging-time 1440 type inactivity
> #
> 
> Del lado del cisco
> 
> interface Port-channel13
>   description ITX: 
> ###_LACP13_UPLINK-HU_range-Ten1/0/1-2--LPL-ROU-03.X0/0/21-22_###
>   switchport access vlan 903
>   switchport trunk allowed vlan 308,401,402,410,501,801
>   switchport mode trunk
>   switchport port-security maximum 300
>   switchport port-security
>   switchport port-security aging time 1440
>   load-interval 30
>   storm-control broadcast level 0.20 0.10
>   spanning-tree link-type point-to-point
> end
> 
> A ese switch se conecta el router 2811, que tiene interfaz de 100m.
> Ayer quedó funcionando.
> Hoy para sacar intermediarios el router del NAP (200.115.81.254) lo 
> conecte directamente al Huawei usando un módulo del cespi. Quedo al 34 
> del Huawei el router conectado.
> 
> Habría que ver de reemplazarlo y los miembros que que están en el switch 
> cisco pasarlos directamente al del NAP (si quieren). Tendrían que poner 
> un módulo SFP compatible con cobre con el Huawei. Son solo 2 Tecnoazar y 
> Tecoar. Técnicamente lo charlamos cuando quieran o en la próxima reunión.
> 
> Ya había arrancado a consultar con RCN, pero no tuve feedback.
> 
> 
> &res-
> 
> 
>

Más información sobre la lista de distribución Naplaplata