Názory k článku Proč kleknul NIX?
-
Článek je starý, nové názory již nelze přidávat.
- Podle hodnocení
- Podle vláken
- Nejnovější
-
Roman (neregistrovaný)Je vůbec v takové switchované síti jako je NIX potřeba používat broadcasty ?
Routery by si tam mezi sebou měly posílat data, která putují mezi sítěma a vyměňovat BGP informace... nic z toho (můj amatérský pohled) nejsou broadcasty. Proto si myslím, že by se mohl broadcastový provoz úplně filtrovat. Pokud se pletu, prosím opravte mě -
Petr Souček (neregistrovaný)IP broadcasty určitě, ethernet broadcasty nevím.
Cisco má řadu doporučení, třeba pro řadu Catalyst 6500:
- Configuring Broadcast Suppression
- Configuring Traffic-Storm Control
- Configuring Denial of Service Protection
Co z toho ale bylo ve skutečnosti realizováno, vědí ale jenom správci těchto switchů.
-
ZP (neregistrovaný)A jak chcete resit ARP protokol jinak, nez L2 broadcastem? ;-) Ano, jde to i natvrdo nastavit na kazdem zarizeni, ale to je zase narocne z hlediska administrace.
BTW pro pana Peterku:
1. Sitel se pise s jednim T
2. Catalyst 6505 zatim nikdo nikdy nevidel (na www.cisco.com se vyskytuji dva dokumenty, ktere tento preklep obsahuji, ale jinak existence takoveho zarizeni, pri existenci produktu 6503 a 6506 nedava moc smysl). -
EW (neregistrovaný)No ja si nemyslim, ze tam vubec muzou byt broadcasty, kdyz snad kazda pripojka operatora jde via router. Proc by ty routery meli broadcastovat to by na nich musely behat nejake podivne aplikace. Podle mne nejaky router se zblaznil a vyvolal retezovou reakci... Proti strukture nemam zadnu namitku, vemte si treba ze cely SANET bezi na switchich!
EW -
EW (neregistrovaný)No kdo setri ma za tri, ale pokud ho tam maji nejaky ten spolecny to by nemelo snad vadit protoze stejne vstupne-vystupni traffic (samostatny ci spolecny) je odroutovany.
Neznam presne technicke pozadavky NIX'u, ale ze NIX ma svuj AS, znamena to, ze ta pavucina switchu na okraji vzdy je koneckoncu odroutovana.
V dobe nastupu ethernetu ci ethernet over SDH, bych zase nebouril proti reseni jake ma NIX etc....radi do toho dlubou akademici, ktery literaturu maji nastudovanou ale prachy a praxi maji pozadu - myslim si, ze debatovat je dobre, ale drzme se toho co je odzkousene...
-
anonymníNo kdo setri ma za tri, ale pokud ho tam maji nejaky ten spolecny to by nemelo snad vadit protoze stejne vstupne-vystupni traffic (samostatny ci spolecny) je odroutovany.
Neznam presne technicke pozadavky NIX'u, ale ze NIX ma svuj AS, znamena to, ze ta pavucina switchu na okraji vzdy je koneckoncu odroutovana.
Paneboze, to je blabol :-)
-
EW (neregistrovaný)Internetová infraštruktúra Z pohľadu IP protokolu, predstavuje siet SANET2 jeden ethernet segment so stredom v Bratislave. Vzdialenosť medzi všetkými uzlami je rovnaká tj. 1 hop. Toto riešenie nám umožnuje vytvárať L2 siete pre špeciálne aplikácie ako napr. IPv6, VoIP, alebo pre testovacie účely.
http://www.sanet.sk/technologia.shtm -
Anička Balounová (neregistrovaný)To o tom DoS (spis teda DDoS) kafraji lidi co se naucili co tohle slovicko znamena a tak ho velice radi pouzivaji, kdyz je nekde vypadek.
PROBOHA!!! Atakovat linky NIXu DoSem?
ste se zblaznili.
na to muze prjit jenom lama tlama.
jedinej atak by sel pres worma, ale to by musel bejt jo borec aby se rozsiril tak, aby udelal traffic nekolik GIGa. -
Brouk Pytlik (neregistrovaný)Nevíte, co se přihodilo následující den, mírně po poledni? Zaznamenal jsem na IRCnetu split a tak jsem se ihned, po zkušenostech z předchozího dne, letěl podívat na statistiky NIXu. Graf vypadal nějak takhle: http://vysertese.unas.cz/880.htm
Tomuhle už vůbec nerozumím. Byla to jen chyba statistik? Mohla vůbec v NIXu vzniknout takováhle špička?
Za několik minut byla z grafu odstraněna.
-
rezavy (neregistrovaný)Jo to muze MRTG udelat, stava se to kdyz se neprectou udaje ze SNMP, do vysledku se potom zapisi nuly a kdyz pak jde druhy dotaz je to na svete. Tusim ze jsem videl i skriptiky ptere periodicky prochazi logy a tyto anomalie upravuji. Svedci to jen o vypadku spojeni mezi strojem z MRTG a samotnymi switchi /ci switchem jednim/.
-
rewaq (neregistrovaný)Přesná příčina není známa, stejně jako zařízení, které broadcast storm vyvolalo
Hm... ja jsem tedy slysel neco jineho. jsou to samozrejme neoficialni informace, ty oficialni nikdy k dispozici nebudou, ale jmeno jisteho clena NIXu v souvislosti s timto problemem zaznelo. A jednim dechem se k nemu pridavalo slovo bastl :)) -
noname (neregistrovaný)Tvrdíte že není znám původce? Koukněte se pořádně na statistiky. U všech poskytovatelů uvidíte zvýšeno tok jedním směrem vyjma jednoho (když nepočítám master internet, který má jen pomalou linku a tak by nedokázal zahltit ty co mají několikanásobně větší kapacity). Ten jeden poskytovatel má gigové připojení (10× větší než většina ostatních) a 1× záložní stomegové a normálně je využívá na 10%, respektive 0%, v okamžiku problémů ale OBA směry vyskočily na maximum.
-
anonymníA to je zase jenom dohad a nikoli jistota... V okamziku stormu mohlo i SNMP zacit chodit spatne (data zajistujici mereni prutoku chodi po tech samych vlaknech, akorat patrne s jinym VLAN tagem). Kdo nejakou dobu provozuje MRTG, vi, ze se mu neda vsechno, zvlaste v kritickych situacich, verit.
-
noname (neregistrovaný)po pravdě mě spíše vadí, že tu všichni pouze spekulují a představitelé nixu stále mlčí, respektive vydali nicneříkající zprávu. Určitě mají k dispozici podrobnější statistiky z jiných zdrojů, zajímalo by mě co tam tu hodinu a půl dělali, jak to napravili, proč na to nepřišli dříve, proč odešel celý NIX, když právě kvůli podobným problémům na jednom uzlu má dvě centra atd. A tedy kdo udělal chybu, co z toho vyplývá, jak se zamezí dalších chybám atd.
Mé zkušenosti mi říkají, že když někdo při problémech mlčí, tak tak dělá protože má větší problém, než je obecně známo a nebo se snaží někoho krýt.
NIX je sdružením mnoha ISP a když už by neříkají nic veřejnosti, tak by měli říct něco členům, kteří je platí. To co (ne)předvedli je imho dost sprosté. -
Borivoj (neregistrovaný)> po pravdě mě spíše vadí, že tu všichni pouze spekulují a
> představitelé nixu stále mlčí, respektive vydali
> nicneříkající zprávu.
kde je ta zprava k dispozici ?
> NIX je sdružením mnoha ISP a když už by neříkají nic
> veřejnosti, tak by měli říct něco členům, kteří je platí.
to si trosku odporujete, ne ?
predpokladam, ze clenum neco rekli, ale osobne chapu, ze to neni verejne a ze se o tom verejne nepise...
Borek -
anonymní1. NIX nema dve centra kvuli teto moznosti. On ma ctyri uzly a to spise kvuli moznostem vypadku vseho mozneho od optiky pres proud az po ja nevim co. Ale proti zblbnuti patere neni odolne bohuzel nic.
2. "podrobnejsi statistiky z jinych zdroju" si predstavujete jak?
3. NIX i jeho clenove na reseni chyby kooperovali pomerne uzce a i nadale na konecnem reseni problemu pracuji.
4. Neni na 100% zrejme kde byla prapuvodni pricina problemu (toho uterniho, ten vikendovy packet-loss se vyresil) -
noname (neregistrovaný)1. jestli byl problém na jednom rozhraní jednoho stroje v jednom z uzlů a jestli je l2 struktura na každém uzlu ale uzly mezi sebou jsou odroutované a tak se přes to nemohl broadcast storm dostat a ostatní centra měla jet.
2. statistiky na webu jsou jen jedny z mála údajů, které jsou zachycovány a monitorovány a jen od pár členů
3. o tom bych myslím věděl
4. i to je vysvětlení té absence zpráv, pak by ale stálo za to říct "nevíme co se stalo, mohlo to být to, to, to; abychom to příště věděli a mohli pružněji zareagovat budeme implementovat to, to a to" a hlavně "omlouváme se za výpadek" -
anonymní1. neni to odroutovane. L2 struktura vsech uzlu je propojena, chova se to jako jeden segment (jako u jakehokoli jineho peeringoveho centra v Evrope s vyjimkou Stockholmu).
2. statistiky vsech portu vsech switchu jsou k dispozici vsem clenum sdruzeni
3. vzhledem k projevenym neznalostem v predchozich bodech o bych si o tom troufl docela uspesne pochybovat ;-)
4. to se take stalo. akorat tyto informace nebyly zverejneny. za vypadek se vam ma omluvit vas ISP, s NIXem zadny koncovy uzivatel nema zadny smluvni vztah. navic teorie je takova, ze i takovy vypadek NIXu by nemel ohrozit provoz na ceskem internetu, ktery se v takovem pripade ma routovat dalsimi cestami (tranzit, pripadne jina peeringova centra). To, ze vytuhly nekterym ISP pod tou brutalni zatezi spoustou malych packetu routery, je samozrejme chyba tech ISP, ze nepocitali s moznym zahlcenim svych zarizeni. -
noname (neregistrovaný)ad 1 - zde došlo k nepochopení - já vím že je to l2 struktura, také jsem to v prvním příspěvku psal, myslel jsem tím, že "kdyby" to bylo odroutované, tak se to tak nestalo.
ad 2 - ano vím, přesto tento článek a všechny ostatní informace čerpají jen z těch veřejně dostupných, tj. neúplných
ad 3 - pochybovat můžete, ale v tomto případě neúspěšně (ale fakt je, že nejsem technik, ale ten kdo dostává zprávy od techniků).
ad 4 - to bych se musel omluvit sám sobě. Teorie je krásná, praxe je jiná. Jak dobře víte, minimálně 50% traficu (záleží na isp) jede po NIXu a je to samozřejmě správně, odlehčuje se tím drahým zahraničním linkám. Když těchto >50% přelijete najednou do zahraniční linky, tak prostě nepojede taky. Takže reálně se stalo to, že ŽÁDNÝ poskytovatel, nejenom malí ale i všichni velcí včetně Telecomu atd. nefungoval vůbec (když vynechám komunikaci klientů ISP mezi sebou případně v některých případech komunikaci napřímo propojených ISP). -
anonymní1. jojo, vite, ja jsem si taky myslel, ze si tu flasku rumu v krame kupuju, kdyz jsem si ji schovaval pod kabat. Kdyby to bylo odroutovane, tak by to nefungovalo...
2. jiste...
3. ja bych rekl, ze docela uspesne. vubec se technikum nedivim, ze vas nepousteji k informacim, ublizili by ti nejvice sami sobe. rekl bych, ze vase konkurence ma nejvetsi konkurencni vyhodu, pokud nezamestnava nejake takove nadbytecne cosi vaseho typu ;-)
4. vy nemate dostatek nahradnich kapacit? Vyznamni operatori maji i zahranicni kapacity tolik, aby problem podobneho charakteru ustali. Pokud jej nemate vy, je to vase chyba... -
noname (neregistrovaný)tak thnet a ty menší neznám, ale aliatel a gts to naopak podle mých informací přestáli podobně blbě jako ostatní.
A odpověď na předchozí dotaz - to že někdo vytrhne kabel od nixu (a jen díky tomu že je náhodou na místě to stihnul velmi rychle) ještě neznamená, že neměl problémy - jestli se mu všechen český tok překlopil do zahraniční nedimenzované linky, tak měl problémy jako všichni ostatní. -
Petr Souček (neregistrovaný)Aliatel fungoval docela dobře, jen se krátkodobě trochu zvýšil packetloss. Tady je důkaz - statistiky připojení od nás do různých bodů:
NIX router GTS
páteř COL
Nextra Bratislava
Linx LondýnTen včerejší výpadek v grafech je výpadek našeho serveru, ne linky.
-
Karel Sotkovsky - TeliaSonera IC (neregistrovaný)Neda mi to a musim reagovat na mlzeni a obcas az zjevne nesmysly v teto konferenci.
V úterý 11. 5. mezi 16 a 19 hodinou jsme zaznamenali navýšení provozu u všech operátorů do a ze sítě TeliaSonera IC v České republice. Naprostá většina z nich využívá možnosti nastavení celkové propustnosti linky nad rámec aktuálního provozu a je jim k dispozici pásmo právě pro případné výpadky. Pražský uzel IP sítě TeliaSonera je v současnosti připojen dvěma nezávislými linkami 2,5Gbps tj. kapacitou více než dostatečnou pro úroveň provozu v ČR.
Zákazníci operátorů využívajících mezinárodní konektivitu společnosti TeliaSonera IC tak mezi sebou mohli komunikovat i po výpadku peeringového centra NIX.
-
majkl (neregistrovaný)Jo presne tak - meli by se omluvit beznym uzivatelum za vypadek.. chudak neznaly clovek - tomu akorat nejel cesky internet a nevedel proc a moh si stezovat na poskytovatele.. a byl by tak ci tak v pravu
IMHO mi prijde situace ceskeho internetu jako uboha ... sluzby jsou predrazene, kapacita nedostatecna, servery nestihaji - isp normalne sproste balamuti a okradaji lidi protoze jim nabizeji predrazene linky s nechutnou agregaci ztratami paketu apod - u ADSL tento fakt asi nikdo nezpochybnuje, ale je to i u kabelovky Karneval, ktera agregaci samozrejme a pomerne citelne aplikuje (opak je nerealizovatelny nesmysl) pritom se sproste veze na proflaknutosti ADSL agregace a sproste lze ze zadnou nema.
no jo aby en kdyz se rostouci ceska internetova komunita musi nacpat do 500mbit spickoveho prutoku NIXem
-
iNDY (neregistrovaný)OMG
Mel jste nekdy ADSL? Jestli ne, tak prosim mlcte. Jak muzete srovnavat ADSL paksvil od CTc s Karnevalem. Na Karnevalu je prirozena agregace, ale abych pravdu rekl, jeste jsem ji nepocitil, linka mi slape stale v prumeru 650 kbps Down, 150 kbps Up. CTc naproti tomu uplatnuje agregaci 1:50 na tvrdo na uzlu. -
majkl (neregistrovaný)Ahoj Indy,
(zname se z adsl fora a irc kde sem byl jako MIKE)
nevim proc to tak silene hajis jako fanaticky odsuzujes ADSL. Jo samozrejme ze to je lepsi jak telecomacke ADSL co jsem mej jeste na na zacatku roku, nevim jaka je situace ted ale pry se (rychlostne) zlepsuje. Co se tyce ryclosti toho KArnevalu - rychlost je ok na stahovani, ale jak rikam spatne odezvy stranek, a packetloss. ICMP protokol asi ted prioritizovali, ale zhruba kazdy 10 ping o dvojnasobek vyskoci nahoru, obcas naky ten packet co se vubec nevrati a v noci kdy to je radove lepsi tak to taky nejede uplne na 100% potencialu linky. Muzes rict ze sem zmlsanej, ale to nechutne zahazovani packetu nebo co to provadi zpusobuje ze kolikrat musi klikat stranku nekolikrat aby se otevrela - coz treba pri vyplnovani formularu docela nasere ze to nekdy posles ve vysledku vice nez 1x. O tom ze je sit byvaleho TESmedia ktere prebralo Intercable a pak se prejmenovalo na jeste idiotstejsi nazev nahovno se da najit i par prispevku z doby pred fuzi. Obecne zkurveny proxy server pro htpp a tezkej NAT protoze 90 procent looseru nema pevnou ip. I am sorry, ale za svych 1000 penez bych si predstavoval odpovidajici tak 1mbit s 99% spolehlivosti holt u nas clovek musi drzet hubu a krok a spokojit se s komunistickyma sluzbama.
-
brtnik.bcd (neregistrovaný)Mám jenom drobnou připomínku. 11.5.04 mezi 16:00 a 16:30 nad celým územím ČR podle údajů ČHMU (http://www.chmi.cz/meteo/rad/blesk/data.htm) neudeřil jediný blesk. Pokud se chcete podívat na obrázky, zde jsem je uložil:
- 16:00 - 16:10
- 16:10 - 16:20
- 16:20 - 16:30
- 16:30 - 16:40
-
Petr Liskar (neregistrovaný)Zdanlive padny protiargument, ale uplne mimo: Casy udavane na tech obrazcich jsou v UT, nikoliv v SELC. Plati, ze UT=SELC-2. Ty obrazky tudiz ukazuji, co se delo v case od 18:00 do 18:40... ;-)
Pokud se podivate na aktivitu blesku znovu (a pouzijete spravny UT cas 14:30), uvidite obrazek znacne odlisny... -
Petr (neregistrovaný)V sobotu 8.5.2004 jsem zjistil velke vypadky pingu smerem od GTS do DialTelecomu (ktery je tusim v budove Sitelu). Cesta zpet byla bezchybna. Pri 2k paketu byla ztrata chvilemi az 55%.
Je zarazejici, ze z jedne strany na druhou to delalo 55% ztratu a zpatky to bylo ok. Domnivam se, ze to slo uplne po jine ceste.
Dle sdeleni techniku obou stran byla zavada nekde v NIX. Vice info nemam.
-
Dusan (neregistrovaný)Proc nekteri provideri meli problemy jeste po velmi dlouhe dobe od toho casove omezeneho vypadku? Extremista byl (ostatne jako vzdy diky svemu totalne neschopnemu technickemu personalu) Karneval jehoz linka do NIXu mela vypadek jeste dva nasledujici dny.
Clovek by cekal, ze po skonceni bourky se behem hodky dvou z toho vsechna zarizeni proberou, ty co se neproberou nekdo zrestartujeme a jedeme dal mocalem cernym podel skal ... -
majkl (neregistrovaný)Karneval jede pres GTS ale jak pisu vyse sluzby jsou fakt *beep*
Kdyz sem tam jednou volal a ptal se na vypadek, kery byl od 2 v noci asi az asi do rana (vim jiste, ze asi 2 hod pak sem sel spat) v noci a o vikendu asi zadna technicky dozor neni. Tak mi rekli ze pry byl vypadek jen cca hodinu a ze to byla vina GTS! no nevim mozna GTS nejsou bez skraloupu ale toto? Nejvic me uzemil ten technik kdyz mu rikam ze stranky maji spatnou odezu, ze ping lita nahoru a dolu a ztraceji se packety - tak mi na to povedel ze je vina na me strane a protoze tomu samozrejme vubec nerozumim, nekde mi tam urcite bezi nejakej programek kerej to dela. To fakt musi bejt bud totalne vylizanej idiot nebo hajzl, keremu je rozbit hubu malo. -
Dildo (neregistrovaný)Tohle mi trochu pripomina zprznenou konfiguraci spanning-tree protokolu. Staci aby byly dva porty uvedene do portfast rezimu bez detekce zasmyckovani a pokud se vypne spanning-tree nad vlanama pripojenymi do techto portu, udela to pekne hogo-fogo. Mame to nekolikrat vyzkousene pri jedne obskurni L2 konfiguraci u zakaznika. Kdo jste byl na Cisco skolenich v Alef0, vite, ze tam maji hosi switch 3500XL, zapojeny prave takhle, ktery ma jedinou funkci, generovat gigabitovy traffic. Asi se to panum nektereho clena NIXu povedlo uvest do ostreho provozu, at uz chybou hardwaru nebo softwaru nebo vlastni blbosti.
-
David Rohleder (neregistrovaný)portfast jenom přepne port ze stavu blocking přímo do stavu forwarding a přeskočí fáze listening a learning. Ale neznamená to, že na těch portech nejede spanning tree. Takže teoreticky by mohlo nastat zahlcení pouze v intervalu než vyprší listening a learning timery, což není víc jak 30s. (pokud nebudeme počítat s tím, že pak spanning tree nezafunguje kvůli přetíženému procesoru switche).
-
Dildo (neregistrovaný)Portfast neni podminkou toho zasmyckovani, mate pravdu. Psal ale jsem vyse, ze je nutne vypnou ST nad VLANama pripojenych do toho portu. Nebo mit port ve stavu akceptace multiVLAN(u novejsich switchu to uz nejde)+ prislusny ST rezim nebo mit nekompatibilni switche co se tyce enkapsulace trunku + jiny rezim ST nebo asi dalsich pet veci, ktere ale kvuli potencialni zneuzitelnosti radeji na tuto diskuzi psat nebudu. Nechapu proc si nenamapujou L2 na L3, 6500(?) co tam maji by ten traffic pres MLS snad ustaly (ma tusim 9Gb/s backplane) nebo je tam moznost upgradu tusim na 256Gb/s a za lepsi bezpecnost pri podobnych incidentech a neskonale lepsi skalovatelnost to stoji ...
-
anonymníProtoze uroutovat L3 neni zalezitost backplane, ale procesoru. Dale L3 switche maji urcite vzorce chovani, ktere z nich nedelaji idealni zarizeni pro routovani velkeho mnozstvi ruznych datovych toku. Krome toho by to znamenalo, ze by si jednotlivi operatori jiz dale nemohli rozhodovat, s kym chteji peering mit a s kym nikoli (kazdy by mel BGP peer prave jen a pouze s tim routerem/L3 switchem uprostred) - coz by mozna na druhou stranu bylo svym zpusobem dobre... ;-)
-
Dildo (neregistrovaný)Vida, ze to jde bez invektiv. Ve svem prispevku o backplanu jsem mluvil o MLS a tam ta zatez neni nijak extremni ani pri ruznych datovych tocich, ale treba mate jinou zkusenost z praxe, kdo vi.
No vzdyt o to jde, aby to prepinalo pres ten centralni router. Chapu, ze na linkove vrstve to jde lepe, ale prave pokud dojde v ypadkum nebo k nejakemu "malicious" chovani, je toto k nezaplaceni :-)
