[NAP CABASE LPL] Corte en el servicio 28/04 a la mañana
Jorge Lucci
jlucci en redhorus.net
Vie Abr 28 14:27:08 -03 2023
Perfecto Andres.
Comparto la idea de que todos los miembros conecten al Huawei con
un router y evitar este tipo de fallas por llamarlas de alguna forma
evitables, que igualmente pueden ocurrir pero en mucha menos
probabilidad si hay un router de por medio.
El 28/04/2023 a las 11:31, Andres Barbieri escribió:
> Hoy temprano (7:00 AM aprox) se volvió a dar un incidente de similares
> características, pero debido a que ayer pase el router del peering
> directamente al huawei cuando se acomodo y se bloqueo el puerto del
> cisco todo volvió a la normalidad de forma automática.
>
> Veo que hubo otro tráfico de miembros que parece que generó el problema.
> Igual quiero mirarlo más en detalle cuando tenga más tiempo.
>
> Cómo indicaba en el chat de WSP, creo que lo mejor es dejar de poner
> siwtches y bridges conectados al NAP/IXP y poner como router el equipo
> y luego que cada miembro internamente resuelva con BGP bien
> configurado, por ejemplo con iBGP el ruteo de los prefijos.
>
>
> TECNOAZAR quedo aún en el switch cisco, pero veo que no tenía tráfico.
> TECOAR lo pase al Huawei con un módulo que presto el cespi.
> El resto que estaba en el cisco, creo que para evitar problemas por el
> fin de semana queda cómo estaba.
>
> Si necesitarán mas info. no duden en contactarse. Creo que desde hace
> tiempo falta más participación técnica de los miembros de NAP/IXP.
> Entiendo que no es de mala voluntad, probablemente necesitamos de la
> parte de gestión técnica involucrarlos más.
>
>
>
> &res-
>
>
>
>
>
>
>
> On 27/4/23 13:58, Andres Barbieri wrote:
>>
>>
>> Ayer, por lo que vi el problema del corte se generó porque el
>> switch cisco 2690 donde esta conectado el router del NAP bloqueo el
>> uplink que va al huawei por una restricción de portsecurity
>> (demasiadas MACs) que tiene el port por configuración estándar desde
>> CABASE.
>>
>>
>> Te1/0/1 unassigned YES unset down down
>> Te1/0/2 unassigned YES unset down down
>> Port-channel13 unassigned YES unset down down
>>
>>
>> LPL-SWT-03(config)#interface tenGigabitEthernet 1/0/1
>> .Apr 26 14:43:26.805: %PM-4-ERR_DISABLE: psecure-violation error
>> detected on Te1/0/1, putting Te1/0/1 in err-disable state
>>
>> La conexión se hace por un port-channel
>>
>> Del lado del Huawei
>>
>> <LPL-ROU-03>display cur interface Eth-Trunk 2
>> #
>> interface Eth-Trunk2
>> description
>> #_AC_LACP2_UP-range-XG21,XG22--LPL-SWT-03.range-Ten1/0/1,Ten1/0/2_#
>> set flow-stat interval 30
>> port link-type trunk
>> port trunk allow-pass vlan 308 401 to 402 410 501 801
>> port negotiation disable
>> stp edged-port disable
>> stp point-to-point force-true
>> mode lacp
>> lacp timeout fast
>> lacp preempt enable
>> lacp preempt delay 60
>> undo ntdp enable
>> undo ndp enable
>> port-security enable
>> port-security max-mac-num 200
>> port-security aging-time 1440 type inactivity
>> #
>>
>> Del lado del cisco
>>
>> interface Port-channel13
>> description ITX:
>> ###_LACP13_UPLINK-HU_range-Ten1/0/1-2--LPL-ROU-03.X0/0/21-22_###
>> switchport access vlan 903
>> switchport trunk allowed vlan 308,401,402,410,501,801
>> switchport mode trunk
>> switchport port-security maximum 300
>> switchport port-security
>> switchport port-security aging time 1440
>> load-interval 30
>> storm-control broadcast level 0.20 0.10
>> spanning-tree link-type point-to-point
>> end
>>
>> A ese switch se conecta el router 2811, que tiene interfaz de 100m.
>> Ayer quedó funcionando.
>> Hoy para sacar intermediarios el router del NAP (200.115.81.254) lo
>> conecte directamente al Huawei usando un módulo del cespi. Quedo al
>> 34 del Huawei el router conectado.
>>
>> Habría que ver de reemplazarlo y los miembros que que están en el
>> switch cisco pasarlos directamente al del NAP (si quieren). Tendrían
>> que poner un módulo SFP compatible con cobre con el Huawei. Son solo
>> 2 Tecnoazar y Tecoar. Técnicamente lo charlamos cuando quieran o en
>> la próxima reunión.
>>
>> Ya había arrancado a consultar con RCN, pero no tuve feedback.
>>
>>
>> &res-
>>
>>
>>
>
Más información sobre la lista de distribución Naplaplata