Перейти до

Des-3526 Vs Fedora Bridge

sergotm

Від sergotm
в Для людей

 Share

Рекомендованные сообщения

sergotm Точу Зубы

sergotm

Опубликовано:
Опубликовано:

Всем привет. Проблема такая: сервер работает под 2003 виндой. были замечены высокие скачки пинга на него, проблема решилась установкой моста между сетью и виндой на линукс платформе с закрытым нетбиосом (137-139,445). НО, вместо моста для теста был установлен дес-3526 с теми же правилами на порту, правила отрабатывались, но пинг так и подскакивал. с мостом такой проблемы нет. Собственно вопрос, с чем это может быть связано? Почему с мостом под никсами работает стабильно, а с 3526 проблема не исчезает? То, что свитч правила отрабатывает это 100%...может линукс по своей сути блокирует что-то еще, что не дает повышаться пингу на сервер, кто что скажет?

Sergek Вампир

Sergek

Опубліковано:
Опубліковано:

На сколько загружен интерфейс на винде? Под какие нужды используется? Какие параметры порта на коммутаторе?

sergotm Точу Зубы

sergotm

Опубліковано:
  • Автор
Опубліковано:
На сколько загружен интерфейс на винде? Под какие нужды используется? Какие параметры порта на коммутаторе?

Максимальная загрузка 30 мбит, сервер с установленным ТИ для раздачи инета. Линк воткнут в 25 гигабитный порт, на котором acl'ом запрещено вышеуказанное правило...

alex_o Дракон

alex_o

Опубліковано:
Опубліковано:
Максимальная загрузка 30 мбит, сервер с установленным ТИ для раздачи инета. Линк воткнут в 25 гигабитный порт, на котором acl'ом запрещено вышеуказанное правило...

Приведите полностью таблицу ACL свича. Видно он у вас не все режет.

sergotm Точу Зубы

sergotm

Опубліковано:
  • Автор
Опубліковано:
Приведите полностью таблицу ACL свича. Видно он у вас не все режет.

Запрещает пакеты с dst_ports 135 137 138 139 445

create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 30

config access_profile profile_id 30 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00870000 0x0 port 25 deny

config access_profile profile_id 30 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00890000 0x0 port 25 deny

config access_profile profile_id 30 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008A0000 0x0 port 25 deny

config access_profile profile_id 30 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008B0000 0x0 port 25 deny

config access_profile profile_id 30 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x01BD0000 0x0 port 25 deny

 

 

Запрещает пакеты с src_ports 135 137 138 139 445

create access_profile packet_content_mask offset_32-47 0x0 0x0000ffff 0x0 0x0 profile_id 40

config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x00000087 0x0 0x0 port 25 deny

config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x00000089 0x0 0x0 port 25 deny

config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0000008A 0x0 0x0 port 25 deny

config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0000008B 0x0 0x0 port 25 deny

config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x000001BD 0x0 0x0 port 25 deny

 

enable loopdetect

config loopdetect ports 1-24 state enabled

config loopdetect ports 26 state enabled

alex_o Дракон

alex_o

Опубліковано:
Опубліковано:

Семён Семеёныч!!!

 

ACL в длинке обрабатывает ТОЛЬКО ВХОДЯЩИЕ В ПОРТ ПАКЕТЫ! Посему псе правила профиля 40 просто не нужны, а профиль 30 надо применить к юзерским портам, а не к серверному. И вот тогда будет резать все как надо.

sergotm Точу Зубы

sergotm

Опубліковано:
  • Автор
Опубліковано:
Семён Семеёныч!!!

 

ACL в длинке обрабатывает ТОЛЬКО ВХОДЯЩИЕ В ПОРТ ПАКЕТЫ! Посему псе правила профиля 40 просто не нужны, а профиль 30 надо применить к юзерским портам, а не к серверному. И вот тогда будет резать все как надо.

То есть нетбиос будет запрещен на всех портах? Но клиентам нужны шары и файл сервер в этом свиче. П.с. С этими правилами все работало. То есть нетбиос отбрасывался только для 25 порта

alex_o Дракон

alex_o

Опубліковано:
Опубліковано:

Ну тоды ой :o

Свичи не умеют резать исходящие пакеты, только входящие в порт. А нетбиос очень любит сыпать броадкастами, и если вы их будете резать где-либо на входе, то шаринга не будет в сети.

С вашими правилами нетбиос на свиче отбрасывался только для входящих пакетов от сервера. Пакеты, уходящие на сервер, не фильтруются. То есть, сервер шаринг не видит, а остальные видят, но это никак не мешает бомбить сервер нетбиосом. Вот он и захлебывается.

Сделайте по-другому. Поставьте перед 3526 дешевый свич, куда воткнутся все клиенты. А потом воткните между сервером и дешевым свичем свич 3526. На 3526 запретите весь нетбиос как я указывал. и будет так как вам надо.

alex_o Дракон

alex_o

Опубліковано:
Опубліковано:

У вас провайдерская сеть? Если да, то вам все равно рано или поздно придется избавляться от нетбиоса и шаринга - порнография это и рудименты мелкософта. Сначала вам понадобится сервер wins, чтобы все шары нормально виделись, а потом по мере роста и его уже будет не хватать. А сетка будет с ростом только забиваться мусором и вирусней. Тогда уже не только на сервер будут пинги подпрыгивать.

Это так, советы куда смотреть на будущее...

sergotm Точу Зубы

sergotm

Опубліковано:
  • Автор
Опубліковано:

Ок. Спасибо, последую совету. И последний вопрос: как можно восстановить пароль на 3526? Звонил в киев сказали только везти к ним, но это не реально. . .

sergotm Точу Зубы

sergotm

Опубліковано:
  • Автор
Опубліковано:
Ну тоды ой :)

Свичи не умеют резать исходящие пакеты, только входящие в порт. А нетбиос очень любит сыпать броадкастами, и если вы их будете резать где-либо на входе, то шаринга не будет в сети.

С вашими правилами нетбиос на свиче отбрасывался только для входящих пакетов от сервера. Пакеты, уходящие на сервер, не фильтруются. То есть, сервер шаринг не видит, а остальные видят, но это никак не мешает бомбить сервер нетбиосом. Вот он и захлебывается.

Сделайте по-другому. Поставьте перед 3526 дешевый свич, куда воткнутся все клиенты. А потом воткните между сервером и дешевым свичем свич 3526. На 3526 запретите весь нетбиос как я указывал. и будет так как вам надо.

Сделал, поставил свич между 3526 и сетью - проблема не исчезла, периодически подскакивает пинг до 300 мс и связь падает.

Закрыл мультикаст.броадкаст и включил шторм:

config traffic control_trap both

config traffic control 1-5 broadcast enable multicast enable unicast disable action drop threshold 20

 

create access_profile ip destination_ip 240.0.0.0 profile_id 40

config access_profile profile_id 40 add access_id 1 ip destination_ip 224.0.0.0 port 1-26 deny

 

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 20

config access_profile profile_id 20 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1-26 deny

 

Почему??? Почему с тачкой с линуксом проблемы нет, а в моем слачаи вылазит?

serverusko Точу Зубы

serverusko

Опубліковано:
Опубліковано:

Хто підскаже, у мене DES 3550, які порти необхідно закрити на портах, і можливо хтось напише маленький мануал, також необхідно розбити мережу по VLANах, можливо є статті а ще краще практика))) СПС на перед!!!

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Перейти до переліку тем
×
×
  • Створити нове...