Juniper SRX beteg[meggyogyult]

Hálózati eszközök

Sziasztok,

lenne-e valakinek valami javaslata az alabbi esetre:

Juniper SRX 240 minden ok nelkul elerhetetlen lesz (es termeszetesen minden ami mogotte van). Hetfon kezdodott, 5 percre eltunt, majd magatol visszatert, kedden szinten. Szerdan mar egy orara eltunt, akkor kertuk a datacenter embert, hogy nyomjon resetet, akkor megint jo lett. Csutortokon mar haromszor kellett resetet kerni, es csak fel orakra lett elerheto. Logja szerint valami cronjobok futnak 15 percenkent akkor is, mikor nem erjuk el. Teszt kornyezetben van, semmi terheles nincs rajta, alap firewall dolgokat csinal + 3 gepnek NATol. Elozo het penteken tettem a helyere es konfigoltam fel.

Aram van, kabel rendben, halozat jo, a box zsir uj, Juniper support kapott hozzaferest, de nem valaszoltak meg. Szerintem nem konfig gond, ahhoz tul hektikusan tortenik, logolast mindenevore allitottam, de semmi hasznos nincs benne. Tehat nincs olyan a logban, hogy eldobalna a csomagokat, amikor nem erem el, csak ugy egyszeruen nem csinal semmit.

Valaki valami tipp?

  • 3438 megtekintés

( kreszan | 2011. 09. 25., v – 01:30 )

Akkor most az interfész áll le ?
Protokol/interfész milyen állapotban van mikor lemegy?
--
Kreszán K.
--

Az internet a ge-0/0/0-ba van beledugva.
Nem tudom, mi milyen allapotban van, amikor lemegy, mert olyankor nem tudok belepni es allapotokat lekerdezni, mivel lent van. Reset utan pedig minden normalis. A logokban sincs emlites ilyesmirol, pedig rettenetesbe allitottam oket.
(Szerintem, de ez csak velemeny:
- ha egy interfesz lemegy, azt minden varazslat nelkul logolni kene valahol, ne adj isten azt is, hogy miert ment le.
- semmilyen interfesznek, plane a management interfesznek egyeltalan nem lenne szabad lemennie az engedelyem/utasitasom nelkul)

Ha jol emlekszem, JunOS 10.x, februari gyartasu, tehat ami akkor a legujabb volt.
Azt nem mondtam, de a cucc olyan 60km-re van tolem egy datacenterben, ezert nem tudok mellette ulni a console porthoz kotve sajnos.

Ilyenre gondoltal?
set interfaces traceoptions file interface.txt size 1M files 5
set interfaces traceoptions flag config-states

Ezt majd kiprobalom holnap, ha hozzaferek megint. Koszi a tippet. (ilyen teren a Juniper help olyan segitokesz, mint egy allami intezmeny ugyfelszolgalata)

Okes akkor megprobalom a flagaket. Igy hogy tudtam nagyjabol mit keressek, konnyebb volt talalni is.

Hat most ugy van, hogy minden sajat szervert ezen a tuzfalon keresztul ernenk el, tehat most hogy atdugogassam meg terminalszervert csinaljak, oda kene menni, akkor meg mar ott vagyok a konzolportnal :) De ha mas nem lesz, ezt fogom tenni. A fonok eleg bosszus, szerintem, ha oda kell menni egyeltalan, kivagja a francba es vesz Cisco ASA-t.

Pontos verziot irok holnap.

Koszi!

Nem kell terminalszerver hozza.
Fogsz egy olyan gepet, aminek van soros portja, rakotteted a cuccot, felugratsz egy hyper terminalt (win) vagy egy minicom-ot (lin) es kesz, koszonjuk.

Legrosszabb esetbe meg tegyetek atmenetileg ki valami openwrt-s cuccot, es hozzatok ki tesztelesre az eszkozt. Inkabb, mintsem hogy egy megbizhatatlan dev legyen a rendszerbe, meg ha teszt rendszer is.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Majd megcsinalom a backup management dolgokat, ha elerem a cuccainkat. Van mogotte win meg linux szerver is, akkor majd megcsinaljuk ezt a soros portos mokat. Meg az eszkozduplazast is, persze, de ezek mind a jovo zeneje, most minderre nem kell koncentralni, hanem arra, hogy hogy kepzeli ez a lom, hogy ugy tesz, mintha ki lenne huzva.
Fentebb irtam, szerintem akarmi tortenik, ha barmi miatt le is pusztitja onmagat, legalabb bofoghetne rola valamit minden imadkozas nelkul, de eleve le sem kene pusztitania magat, mert miert. En nem konfigoltam bele ilyet, ha meg ilyen van a default konfigban, biztos hogy tobbe nem allunk szoba a Juniperrel.

Nekem konkretan az ASA-val semmi gondom nem volt, kibontottuk, bedugtuk, NAT konfig, es azota is megy. Csak ez mas cegnel volt, itt a Juniper beszerzese meg erkezesem elott tortent.

Nagyon RMA, a fonok egyre jobban hergeli magat. Arra vetemedett, hogy vasarnap felhivott, pedig az mar tenyleg vilagvege :) De en csak mondom neki, varjuk meg mit mond a Juniper support engineer, van hozzaferese, FTP-n fel kellett tolteni neki minden logfilet meg mindenfele parancs kimenetet, hatha tenyleg bug vagy megis csak konfig, es akkor meg lehet csinalni, es nem kell nekem datacenterbe mennem, ahol hideg van es zaj. Meg az is lehet, hogy valami tok alap dolog, amit egyszeruen beneztem.
A hardver hiba meg a sw bug nagyon gaz lenne a Junipernek nem? Megiscsak egy 2500fontos valamirol beszelunk.

NA hogy mi volt :)

Amikor beszereltuk a cuccot a datacenterbe, mondta az ember, hogy allitsam be 10m full-duplexre, es en azt meg is tettem, hogy mondom

set interfaces ge-0/0/0 link-mode full-duplex
set interfaces ge-0/0/0 speed 10m

De ime, megiscsak bolcseszek dolgoznak a Junipernel, ugyanis a manual beallitas NEM kapcsolja ki az auto-negotiationt, mint ahogy az nyilvanvalo lenne. Teljesen fejbe kene loni aki kitalalta ezt. Kulon el kellett volna meselni a tuzfalnak, hogy

set interfaces ge-0/0/0 gigether-options no-auto-negotiation

Bar a datacenter is bekaphatja egy picit, mert ok meg 2 hetig nem szoltak, hogy a switchuk tele van errorral, es a sok error miatt letiltja a portot amibe dugva vagyunk. Ok azt mondtak vegig hogy minden ok a halozattal. Csak tegnap megyek oda, es mondja az ember, hogy nezzuk mar meg ezt az auto-negotiationt, mert olyan hibauzenetek vannak, amik erre utalnak. HE? Milyen hibauzenetek? Sose mondtatok nekunk ilyet eddig! Es elmeselte hogy hehe, naluk ki van kapcsolva az auto-neg mindenhol, es a kezdeti hibak 90%-at az okozza, hogy a kedves ugyfel nem kapcsolja ki a sajat szarjain.

Na mindegy, most mukodik, error nelkul, megse kell visszavinni a booootba.

Az szep :-) Egyebkent ajanlom ha esetleg van kedved upgradelni akkor minort minimum 10.0R4.7 re, de lehet feljebb is. A gyari verzios JunOS (10.0r3)-nak vannak furcsa dolgai. Neha reboot, neha lefagy, neha panic...igaz nalam ez Chassis Clusternel jelentkezett.

A no-auto-nego explicit megadasa pedig nem hulyeseg, plane nem gigas porton. Ugye a GigE standard kimondja hogy a master-slave timing election az mindenkepp az autonegotiation alapjan megy vegbe.

Adnak meg manapsag dcben 10es portot?

De ime, megiscsak bolcseszek dolgoznak a Junipernel, ugyanis a manual beallitas NEM kapcsolja ki az auto-negotiationt, mint ahogy az nyilvanvalo lenne.

Nem nyilvánvaló, nem kéne neki.

Az a probléma, hogy egy halom ember (beleértve a fent említett "hálózatosokat", akik letiltják az összes porton) egyáltalán nem érti az autonegotiation működését.

Rendes készülékeken/oprendszereken meg tudom mondani, hogy milyen speed/duplex párosítások engedélyezettek, és melyek nem, plusz meg tudom mondani, hogy hajlandó legyen-e autonegelni a készülék. Ezen egymástól független on/off flagek.

Ha autoneg on, akkor az engedélyezett speed/duplex konfigurációkat felkínálja a túloldalnak, ha ő is autonegel, és az ő listájával a metszet nem üres halmaz, akkor a legjobb közös konfigurációt kiválasztják, és boldogok. Ha üres a metszet, akkor nem jön fel a port.

Ha akár a túloldal nem hajlandó autonegelni, akár nálam autoneg off, akkor nincs autonegotiation, hanem az van, amit speed/duplex-ként beállítottam. Ha több is engedélyezve van nálam, akkor azok között váltogat, amíg fel nem jön a link. Azaz nem kell az autoneget letiltani mindkét oldalon. Ha a másik oldalon le van tiltva, akkor autoneg nélkül is fel kéne jönnie a portnak a beállított sebességgel. Na ez a bug, ha a Juniper nem ezt csinálja.

Bar a datacenter is bekaphatja egy picit
...
hehe, naluk ki van kapcsolva az auto-neg mindenhol

Na, okulás végett, meséld már el, hogy hol van ez, hova ne vigyünk semmit se, ha már ennyire értenek a hálózatokhoz meg az autonegotiationhöz.

Koszi az autoneg-infokat :) Ezt en sem tudtam jol.
En ugy gondoltam, hogy autoneggel megbeszelik a legjobb beallitast, mint ahogy te is irod, de ha ez nem sikerul, akkor az eszkoz azt hasznalja, amit en kezzel beallitottam, nem pedig otletszeruen valamit. Marpedi a Juniper SRX kovetkezetesen 10m half-duplexet akart hasznalni allandoan, hiaba allitottam fullduplexet. Szoval Junipernel az autoneg overrideol mindent akkor is, ha nem sikerul negotialni.

Egyebkent a Node4 datacenterrol van szo, Northamptonban. A legjobb, hogy beszereleskor a helyi juniper-felvarros sracot is odahivtak, hogy nezze meg a konfigot :) Ezt most mondta a fonok, en errol nem is tudtam mert epp ebedeltem. Es o meg is nezte es azt mondta ok.

Hat nem kacagtam, nem szeretek oda jarni mert ott zaj van, hideg, messze is van, egyetlen szerencsejuk, hogy van ingyen kola meg kave. Mi is ugyerezzuk a cegnel testuletileg, hogy joval hamarabb tudtak volna szolni legalabb az errorokrol, es akkor hamarabb megoldodhatott volna az egesz.

A Juniper support is orult, hogy vegulis nem az o termekuk a szar, de azert kuldtek nekem mindenfele konyveket ingyen :D

ahah, a cisco ASAval is lennenek (nagyobb!) szopasok.

Egyebkent meg nemtom mekkora datacenter de sokkal egyszerubb ilyen esetekben egy terminal server kulon segmensen amirol ellehet erni ilyenkor a deviceokat, pontezert hogy ha a tuzfal meghal akkor nelegyen halott mogotte minden management szempontbol. (persze megfelelo biztositassal)

meg egyebkent ha annyira mission critical a cucc akkor en mindenkepp ajanlanam parba tenni az eszkozoket. SRX 240h nemannyira draga hogy ezert rizikozni kelljen SPOF-vel :-)