https://www.opennet.ru/openforum/vsluhforumID6/1629.html Добрый день! Есть juniper EX8200 (является шлюзом для сети), который получает fullview bgp и есть коммутаторы доступа EX3300, через которых подключаются клиенты. Если попытаться пинговать с компьютера, подключенного к коммутатору доступа, один адрес 80.82.46.209, то пинги не проходят. Если пинговать со шлюза то пинги проходят.<br><br>пинг со стороны клиента<br>[code]<br>cisco#ping 80.82.46.209<br><br>Type escape sequence to abort.<br>Sending 5, 100-byte ICMP Echos to 80.82.46.209, timeout is 2 seconds:<br>.....<br>Success rate is 0 percent (0/5)<br><br>[/code]<br><br>пинг со шлюза<br>[code]<br>cor-1&gt; ping 80.82.46.209<br>PING 80.82.46.209 (80.82.46.209): 56 data bytes<br>64 bytes from 80.82.46.209: icmp_seq=0 ttl=54 time=22.040 ms<br>64 bytes from 80.82.46.209: icmp_seq=1 ttl=54 time=21.875 ms<br>64 bytes from 80.82.46.209: icmp_seq=2 ttl=54 time=22.899 ms<br>64 bytes from 80.82.46.209: icmp_seq=3 ttl=54 time=21.974 ms<br>[/code]<br><br>маршрут до него на шлюзе<br>[code]<br>cor-1&gt; show route 80.82.46.209<br><br>inet.0: 535933 destinations, 1067038 routes (531 https://www.opennet.ru/openforum/vsluhforumID6/1629.html#9 Thu, 26 Feb 2015 08:19:33 GMT &gt; Была такая мысль, но администратор говорит, что ничего не блокировал.<br><br>Отлично. Запустите бесконечный пинг на 80.82.46.209<br>И продолжайте писать жалобы, теперь ещё и администратору сети 80.82.46...<br>Типа, просьба проверить, есть ли движение паекетов src:x.x.x.x dst:80.82.46.209<br>администратор хоста 80.82.46.209 утверждает, что пакеты до него не долетают.<br>По трассе выглядит так:<br>traceroute 80.82.46.209<br>...<br>...<br>Соседние хосты типа 80.82.46.199 мне нормально возвращают пакеты.<br><br>Пока там рассматривают ваши жалобы, можете настроить<br>source NAT. Транслируете свои проблемные-srcip в свои беспроблемные-srcip,<br>только те пакеты, которые летят на dstip 80.82.46.209.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/1629.html#8 Thu, 26 Feb 2015 06:26:14 GMT &gt; Поверхностно выглядит так, что администратор хоста 80.82.46.209 зафильтровал у себя пакеты <br>&gt; от одного из ваших ip-блоков.<br>&gt; (возможно когда-то этот блок нагадил ему спамом или флудом). Это типичная распространенная <br>&gt; практика.<br>&gt; Пишите ему жалобу, типа "просьба проверить, с вашего хоста 80.82.46.209, не возвращаются <br>&gt; пакеты на ip-блок такой-то." <br><br>Была такая мысль, но администратор говорит, что ничего не блокировал.<br><br>&gt; NAT в данном случае, нужен только как временный костыль, чтобы получить доступ <br>&gt; к крайне необходимому ресурсу с проблемных IP-адресов клиентов.(тут уж смотрите, стоит <br>&gt; ли овчинка выделки) <br><br>Простите не понял, как вы нат предлагаете использовать?<br><br> https://www.opennet.ru/openforum/vsluhforumID6/1629.html#7 Tue, 24 Feb 2015 09:22:56 GMT &gt;[оверквотинг удален]<br>&gt;&gt; На данном этапе локализации проблемы, принципиальный вопрос следующий: <br>&gt; [code]ping 80.82.46.199 <br>&gt; Обмен пакетами с 80.82.46.199 по с 32 байтами данных: <br>&gt; Ответ от 80.82.46.199: число байт=32 время=28мс TTL=55 <br>&gt; Ответ от 80.82.46.199: число байт=32 время=28мс TTL=55[/code] <br>&gt; Хотя трасса до него все равно не доходит <br>&gt;&gt; Пока они будут чинить вашу жалобу, можете оттранслировать(NAT) проблемные src в ваши <br>&gt; у нас не используется NAT, клиентам выдается белый IP.<br>&gt; Что-то я теперь совсем теряюсь в догадках. В логах коммутатора доступа ничего <br>&gt; подозрительного не обнаружено. Какие еще есть мысли по этому поводу?<br><br>Крайне маловероятен глюк обычного коммутатора, который бы спецфично влиял на ip.<br>Трасировка не важно, может доходить, может нет, зависит от udp/icmp и фильтрации где-то того или иного.<br><br>Поверхностно выглядит так, что администратор хоста 80.82.46.209 зафильтровал у себя пакеты от одного из ваших ip-блоков.<br>(возможно когда-то этот блок нагадил ему спамом или ф https://www.opennet.ru/openforum/vsluhforumID6/1629.html#6 Mon, 23 Feb 2015 13:02:24 GMT &gt;&gt; по всему блоку такая ситуация <br><br>уточнил, проблема наблюдается только на определенных коммутаторах доступа, ответственных за определенную подcеть в AS<br><br>&gt; На данном этапе локализации проблемы, принципиальный вопрос следующий: <br><br>[code]ping 80.82.46.199<br><br>Обмен пакетами с 80.82.46.199 по с 32 байтами данных:<br>Ответ от 80.82.46.199: число байт=32 время=28мс TTL=55<br>Ответ от 80.82.46.199: число байт=32 время=28мс TTL=55[/code]<br>Хотя трасса до него все равно не доходит<br><br><br>&gt; Пока они будут чинить вашу жалобу, можете оттранслировать(NAT) проблемные src в ваши<br><br>у нас не используется NAT, клиентам выдается белый IP.<br><br>Что-то я теперь совсем теряюсь в догадках. В логах коммутатора доступа ничего подозрительного не обнаружено. Какие еще есть мысли по этому поводу? <br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/1629.html#5 Fri, 20 Feb 2015 12:40:57 GMT &gt; по всему блоку такая ситуация <br><br>На данном этапе локализации проблемы, принципиальный вопрос следующий:<br><br>Как с проблемного src-блока ваших адресов пингаются соседние dst-хосты, например<br>ping 80.82.46.211 или 80.82.46.203, вместо 80.82.46.209<br><br>Т.е. писать ли вам жалобу владельцу конкретного хоста или администратору всей тамошней сети грубо говоря.<br><br>Пока они будут чинить вашу жалобу, можете оттранслировать(NAT) проблемные src в ваши же беспроблемные src (ну или в интерфейс аплинка),<br>только те пакеты, которые летят на нужный удаленный хост/блок-ip.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/1629.html#4 Fri, 20 Feb 2015 12:19:41 GMT &gt; Если не отвечает только 80.82.46.209, то проблема скорее именно на нем.<br><br>так со шлюза этот адрес отвечает на пинги, да и из другой сети то же отвечает.<br><br>&gt; Ещё можно попингать 80.82.46.209 с соседнего src-клиента из вашего блока ip-адресов.<br><br>по всему блоку такая ситуация<br><br>&gt; На худой конец гляньте дамп с аплинков(ваших внешних каналов), точно ли не <br>&gt; возвращаются к вам пакеты только с определенного dst на конкретный dst. <br><br>я смотрел логи bgp, но там ничего нету по этому поводу. <br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/1629.html#3 Fri, 20 Feb 2015 11:39:04 GMT &gt; с остальным миром вроде проблем нету (по крайней мере никто не жаловался). <br>&gt; Если запустить трассу с джунипера, то она доходит до узла без <br>&gt; проблем, но если попробовать уже с компа в сети, то трасса <br>&gt; обрывается на последнем хопе.<br><br>Попингайте с проблемного src-клиента соседний dst-хост, например<br>ping 80.82.46.211 или 80.82.46.203, вместо 80.82.46.209<br><br>Если не отвечает только 80.82.46.209, то проблема скорее именно на нем.<br><br>Ещё можно попингать 80.82.46.209 с соседнего src-клиента из вашего блока ip-адресов.<br><br>На худой канец гляньте дамп с аплинков(ваших внешних каналов), точно ли не возвращаются к вам пакеты только с определенного dst на конкретный dst.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/1629.html#2 Fri, 20 Feb 2015 11:09:18 GMT &gt;[оверквотинг удален]<br>&gt;&gt; bgp и есть коммутаторы доступа EX3300, через которых подключаются клиенты. Если <br>&gt;&gt; попытаться пинговать с компьютера, подключенного к коммутатору доступа, один адрес <br>&gt;&gt; 80.82.46.209, то пинги не проходят. Если пинговать со шлюза то <br>&gt;&gt; пинги проходят.<br>&gt; Локализовывать проблему несвязности надо в категориях src dst.<br>&gt; Например с джунипера попингайте с разных его src адресов (типа с внешнего <br>&gt; и внутреннего).<br>&gt; ping 80.82.46.209 source &lt;ip-ext&gt; <br>&gt; ping 80.82.46.209 source &lt;ip-int&gt; <br>&gt; Таким образом поймете, есть ли связность вашего ip-блока с миром.<br><br>с остальным миром вроде проблем нету (по крайней мере никто не жаловался). Если запустить трассу с джунипера, то она доходит до узла без проблем, но если попробовать уже с компа в сети, то трасса обрывается на последнем хопе.<br><br>Что вы подразумиваете под &lt;ip-int&gt; и &lt;ip-ext&gt;. &lt;ip-int&gt; - наш внешний адрес? &lt;ip-ext&gt; - адрес пира?<br> https://www.opennet.ru/openforum/vsluhforumID6/1629.html#1 Fri, 20 Feb 2015 10:29:23 GMT &gt; Добрый день! Есть juniper EX8200 (является шлюзом для сети), который получает fullview <br>&gt; bgp и есть коммутаторы доступа EX3300, через которых подключаются клиенты. Если <br>&gt; попытаться пинговать с компьютера, подключенного к коммутатору доступа, один адрес <br>&gt; 80.82.46.209, то пинги не проходят. Если пинговать со шлюза то <br>&gt; пинги проходят.<br><br>Локализовывать проблему несвязности надо в категориях src dst.<br><br>Например с джунипера попингайте с разных его src адресов (типа с внешнего и внутреннего).<br><br>ping 80.82.46.209 source &lt;ip-ext&gt;<br>ping 80.82.46.209 source &lt;ip-int&gt;<br><br>Таким образом поймете, есть ли связность вашего ip-блока с миром.<br>