sergotm 1 Опубликовано: 2009-03-18 21:54:19 Share Опубликовано: 2009-03-18 21:54:19 Всем привет. Проблема такая: сервер работает под 2003 виндой. были замечены высокие скачки пинга на него, проблема решилась установкой моста между сетью и виндой на линукс платформе с закрытым нетбиосом (137-139,445). НО, вместо моста для теста был установлен дес-3526 с теми же правилами на порту, правила отрабатывались, но пинг так и подскакивал. с мостом такой проблемы нет. Собственно вопрос, с чем это может быть связано? Почему с мостом под никсами работает стабильно, а с 3526 проблема не исчезает? То, что свитч правила отрабатывает это 100%...может линукс по своей сути блокирует что-то еще, что не дает повышаться пингу на сервер, кто что скажет? Ссылка на сообщение Поделиться на других сайтах
Sergek 123 Опубліковано: 2009-03-18 22:10:38 Share Опубліковано: 2009-03-18 22:10:38 На сколько загружен интерфейс на винде? Под какие нужды используется? Какие параметры порта на коммутаторе? Ссылка на сообщение Поделиться на других сайтах
sergotm 1 Опубліковано: 2009-03-18 22:13:48 Автор Share Опубліковано: 2009-03-18 22:13:48 На сколько загружен интерфейс на винде? Под какие нужды используется? Какие параметры порта на коммутаторе? Максимальная загрузка 30 мбит, сервер с установленным ТИ для раздачи инета. Линк воткнут в 25 гигабитный порт, на котором acl'ом запрещено вышеуказанное правило... Ссылка на сообщение Поделиться на других сайтах
alex_o 1 194 Опубліковано: 2009-03-19 07:12:56 Share Опубліковано: 2009-03-19 07:12:56 Максимальная загрузка 30 мбит, сервер с установленным ТИ для раздачи инета. Линк воткнут в 25 гигабитный порт, на котором acl'ом запрещено вышеуказанное правило... Приведите полностью таблицу ACL свича. Видно он у вас не все режет. Ссылка на сообщение Поделиться на других сайтах
sergotm 1 Опубліковано: 2009-03-19 10:12:31 Автор Share Опубліковано: 2009-03-19 10:12:31 Приведите полностью таблицу ACL свича. Видно он у вас не все режет. Запрещает пакеты с dst_ports 135 137 138 139 445 create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 30 config access_profile profile_id 30 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00870000 0x0 port 25 deny config access_profile profile_id 30 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00890000 0x0 port 25 deny config access_profile profile_id 30 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008A0000 0x0 port 25 deny config access_profile profile_id 30 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008B0000 0x0 port 25 deny config access_profile profile_id 30 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x01BD0000 0x0 port 25 deny Запрещает пакеты с src_ports 135 137 138 139 445 create access_profile packet_content_mask offset_32-47 0x0 0x0000ffff 0x0 0x0 profile_id 40 config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x00000087 0x0 0x0 port 25 deny config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x00000089 0x0 0x0 port 25 deny config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0000008A 0x0 0x0 port 25 deny config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0000008B 0x0 0x0 port 25 deny config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x000001BD 0x0 0x0 port 25 deny enable loopdetect config loopdetect ports 1-24 state enabled config loopdetect ports 26 state enabled Ссылка на сообщение Поделиться на других сайтах
alex_o 1 194 Опубліковано: 2009-03-19 13:03:26 Share Опубліковано: 2009-03-19 13:03:26 Семён Семеёныч!!! ACL в длинке обрабатывает ТОЛЬКО ВХОДЯЩИЕ В ПОРТ ПАКЕТЫ! Посему псе правила профиля 40 просто не нужны, а профиль 30 надо применить к юзерским портам, а не к серверному. И вот тогда будет резать все как надо. Ссылка на сообщение Поделиться на других сайтах
sergotm 1 Опубліковано: 2009-03-19 13:51:34 Автор Share Опубліковано: 2009-03-19 13:51:34 Семён Семеёныч!!! ACL в длинке обрабатывает ТОЛЬКО ВХОДЯЩИЕ В ПОРТ ПАКЕТЫ! Посему псе правила профиля 40 просто не нужны, а профиль 30 надо применить к юзерским портам, а не к серверному. И вот тогда будет резать все как надо. То есть нетбиос будет запрещен на всех портах? Но клиентам нужны шары и файл сервер в этом свиче. П.с. С этими правилами все работало. То есть нетбиос отбрасывался только для 25 порта Ссылка на сообщение Поделиться на других сайтах
alex_o 1 194 Опубліковано: 2009-03-19 14:16:23 Share Опубліковано: 2009-03-19 14:16:23 Ну тоды ой Свичи не умеют резать исходящие пакеты, только входящие в порт. А нетбиос очень любит сыпать броадкастами, и если вы их будете резать где-либо на входе, то шаринга не будет в сети. С вашими правилами нетбиос на свиче отбрасывался только для входящих пакетов от сервера. Пакеты, уходящие на сервер, не фильтруются. То есть, сервер шаринг не видит, а остальные видят, но это никак не мешает бомбить сервер нетбиосом. Вот он и захлебывается. Сделайте по-другому. Поставьте перед 3526 дешевый свич, куда воткнутся все клиенты. А потом воткните между сервером и дешевым свичем свич 3526. На 3526 запретите весь нетбиос как я указывал. и будет так как вам надо. Ссылка на сообщение Поделиться на других сайтах
fima1981 32 Опубліковано: 2009-03-19 14:22:52 Share Опубліковано: 2009-03-19 14:22:52 Или поменяй сервер Ссылка на сообщение Поделиться на других сайтах
alex_o 1 194 Опубліковано: 2009-03-19 14:30:47 Share Опубліковано: 2009-03-19 14:30:47 У вас провайдерская сеть? Если да, то вам все равно рано или поздно придется избавляться от нетбиоса и шаринга - порнография это и рудименты мелкософта. Сначала вам понадобится сервер wins, чтобы все шары нормально виделись, а потом по мере роста и его уже будет не хватать. А сетка будет с ростом только забиваться мусором и вирусней. Тогда уже не только на сервер будут пинги подпрыгивать. Это так, советы куда смотреть на будущее... Ссылка на сообщение Поделиться на других сайтах
sergotm 1 Опубліковано: 2009-03-19 17:26:30 Автор Share Опубліковано: 2009-03-19 17:26:30 Ок. Спасибо, последую совету. И последний вопрос: как можно восстановить пароль на 3526? Звонил в киев сказали только везти к ним, но это не реально. . . Ссылка на сообщение Поделиться на других сайтах
fima1981 32 Опубліковано: 2009-03-19 20:51:11 Share Опубліковано: 2009-03-19 20:51:11 снять пароль просто, в нети полно инструкций по этому, все что нужно только кабель, 5 минут работы Ссылка на сообщение Поделиться на других сайтах
sergotm 1 Опубліковано: 2009-03-21 20:30:34 Автор Share Опубліковано: 2009-03-21 20:30:34 Ну тоды ой Свичи не умеют резать исходящие пакеты, только входящие в порт. А нетбиос очень любит сыпать броадкастами, и если вы их будете резать где-либо на входе, то шаринга не будет в сети. С вашими правилами нетбиос на свиче отбрасывался только для входящих пакетов от сервера. Пакеты, уходящие на сервер, не фильтруются. То есть, сервер шаринг не видит, а остальные видят, но это никак не мешает бомбить сервер нетбиосом. Вот он и захлебывается. Сделайте по-другому. Поставьте перед 3526 дешевый свич, куда воткнутся все клиенты. А потом воткните между сервером и дешевым свичем свич 3526. На 3526 запретите весь нетбиос как я указывал. и будет так как вам надо. Сделал, поставил свич между 3526 и сетью - проблема не исчезла, периодически подскакивает пинг до 300 мс и связь падает. Закрыл мультикаст.броадкаст и включил шторм: config traffic control_trap both config traffic control 1-5 broadcast enable multicast enable unicast disable action drop threshold 20 create access_profile ip destination_ip 240.0.0.0 profile_id 40 config access_profile profile_id 40 add access_id 1 ip destination_ip 224.0.0.0 port 1-26 deny create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 20 config access_profile profile_id 20 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1-26 deny Почему??? Почему с тачкой с линуксом проблемы нет, а в моем слачаи вылазит? Ссылка на сообщение Поделиться на других сайтах
serverusko 12 Опубліковано: 2009-03-22 17:58:42 Share Опубліковано: 2009-03-22 17:58:42 Хто підскаже, у мене DES 3550, які порти необхідно закрити на портах, і можливо хтось напише маленький мануал, також необхідно розбити мережу по VLANах, можливо є статті а ще краще практика))) СПС на перед!!! Ссылка на сообщение Поделиться на других сайтах
alex_o 1 194 Опубліковано: 2009-03-23 04:54:25 Share Опубліковано: 2009-03-23 04:54:25 http://forum.dlink.ru/viewforum.php?f=2&am...6fcc2df4c01a142 Отличный форум, где все это обсуждалось неоднократно. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас