Jump to content

Des-3526 Vs Fedora Bridge

sergotm

By sergotm,
in For people

 Share Followers 1

Recommended Posts

sergotm

sergotm 1

Posted
Posted

Всем привет. Проблема такая: сервер работает под 2003 виндой. были замечены высокие скачки пинга на него, проблема решилась установкой моста между сетью и виндой на линукс платформе с закрытым нетбиосом (137-139,445). НО, вместо моста для теста был установлен дес-3526 с теми же правилами на порту, правила отрабатывались, но пинг так и подскакивал. с мостом такой проблемы нет. Собственно вопрос, с чем это может быть связано? Почему с мостом под никсами работает стабильно, а с 3526 проблема не исчезает? То, что свитч правила отрабатывает это 100%...может линукс по своей сути блокирует что-то еще, что не дает повышаться пингу на сервер, кто что скажет?

Link to post
Share on other sites
Sergek

Sergek 123

Posted
Posted

На сколько загружен интерфейс на винде? Под какие нужды используется? Какие параметры порта на коммутаторе?

Link to post
Share on other sites
sergotm

sergotm 1

Posted
  • Author
Posted
На сколько загружен интерфейс на винде? Под какие нужды используется? Какие параметры порта на коммутаторе?

Максимальная загрузка 30 мбит, сервер с установленным ТИ для раздачи инета. Линк воткнут в 25 гигабитный порт, на котором acl'ом запрещено вышеуказанное правило...

Link to post
Share on other sites
alex_o

alex_o 1,194

Posted
Posted
Максимальная загрузка 30 мбит, сервер с установленным ТИ для раздачи инета. Линк воткнут в 25 гигабитный порт, на котором acl'ом запрещено вышеуказанное правило...

Приведите полностью таблицу ACL свича. Видно он у вас не все режет.

Link to post
Share on other sites
sergotm

sergotm 1

Posted
  • Author
Posted
Приведите полностью таблицу ACL свича. Видно он у вас не все режет.

Запрещает пакеты с dst_ports 135 137 138 139 445

create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 30

config access_profile profile_id 30 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00870000 0x0 port 25 deny

config access_profile profile_id 30 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00890000 0x0 port 25 deny

config access_profile profile_id 30 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008A0000 0x0 port 25 deny

config access_profile profile_id 30 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008B0000 0x0 port 25 deny

config access_profile profile_id 30 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x01BD0000 0x0 port 25 deny

 

 

Запрещает пакеты с src_ports 135 137 138 139 445

create access_profile packet_content_mask offset_32-47 0x0 0x0000ffff 0x0 0x0 profile_id 40

config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x00000087 0x0 0x0 port 25 deny

config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x00000089 0x0 0x0 port 25 deny

config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0000008A 0x0 0x0 port 25 deny

config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0000008B 0x0 0x0 port 25 deny

config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x000001BD 0x0 0x0 port 25 deny

 

enable loopdetect

config loopdetect ports 1-24 state enabled

config loopdetect ports 26 state enabled

Link to post
Share on other sites
alex_o

alex_o 1,194

Posted
Posted

Семён Семеёныч!!!

 

ACL в длинке обрабатывает ТОЛЬКО ВХОДЯЩИЕ В ПОРТ ПАКЕТЫ! Посему псе правила профиля 40 просто не нужны, а профиль 30 надо применить к юзерским портам, а не к серверному. И вот тогда будет резать все как надо.

Link to post
Share on other sites
sergotm

sergotm 1

Posted
  • Author
Posted
Семён Семеёныч!!!

 

ACL в длинке обрабатывает ТОЛЬКО ВХОДЯЩИЕ В ПОРТ ПАКЕТЫ! Посему псе правила профиля 40 просто не нужны, а профиль 30 надо применить к юзерским портам, а не к серверному. И вот тогда будет резать все как надо.

То есть нетбиос будет запрещен на всех портах? Но клиентам нужны шары и файл сервер в этом свиче. П.с. С этими правилами все работало. То есть нетбиос отбрасывался только для 25 порта

Link to post
Share on other sites
alex_o

alex_o 1,194

Posted
Posted

Ну тоды ой :o

Свичи не умеют резать исходящие пакеты, только входящие в порт. А нетбиос очень любит сыпать броадкастами, и если вы их будете резать где-либо на входе, то шаринга не будет в сети.

С вашими правилами нетбиос на свиче отбрасывался только для входящих пакетов от сервера. Пакеты, уходящие на сервер, не фильтруются. То есть, сервер шаринг не видит, а остальные видят, но это никак не мешает бомбить сервер нетбиосом. Вот он и захлебывается.

Сделайте по-другому. Поставьте перед 3526 дешевый свич, куда воткнутся все клиенты. А потом воткните между сервером и дешевым свичем свич 3526. На 3526 запретите весь нетбиос как я указывал. и будет так как вам надо.

Link to post
Share on other sites
alex_o

alex_o 1,194

Posted
Posted

У вас провайдерская сеть? Если да, то вам все равно рано или поздно придется избавляться от нетбиоса и шаринга - порнография это и рудименты мелкософта. Сначала вам понадобится сервер wins, чтобы все шары нормально виделись, а потом по мере роста и его уже будет не хватать. А сетка будет с ростом только забиваться мусором и вирусней. Тогда уже не только на сервер будут пинги подпрыгивать.

Это так, советы куда смотреть на будущее...

Link to post
Share on other sites
sergotm

sergotm 1

Posted
  • Author
Posted

Ок. Спасибо, последую совету. И последний вопрос: как можно восстановить пароль на 3526? Звонил в киев сказали только везти к ним, но это не реально. . .

Link to post
Share on other sites
sergotm

sergotm 1

Posted
  • Author
Posted
Ну тоды ой :)

Свичи не умеют резать исходящие пакеты, только входящие в порт. А нетбиос очень любит сыпать броадкастами, и если вы их будете резать где-либо на входе, то шаринга не будет в сети.

С вашими правилами нетбиос на свиче отбрасывался только для входящих пакетов от сервера. Пакеты, уходящие на сервер, не фильтруются. То есть, сервер шаринг не видит, а остальные видят, но это никак не мешает бомбить сервер нетбиосом. Вот он и захлебывается.

Сделайте по-другому. Поставьте перед 3526 дешевый свич, куда воткнутся все клиенты. А потом воткните между сервером и дешевым свичем свич 3526. На 3526 запретите весь нетбиос как я указывал. и будет так как вам надо.

Сделал, поставил свич между 3526 и сетью - проблема не исчезла, периодически подскакивает пинг до 300 мс и связь падает.

Закрыл мультикаст.броадкаст и включил шторм:

config traffic control_trap both

config traffic control 1-5 broadcast enable multicast enable unicast disable action drop threshold 20

 

create access_profile ip destination_ip 240.0.0.0 profile_id 40

config access_profile profile_id 40 add access_id 1 ip destination_ip 224.0.0.0 port 1-26 deny

 

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 20

config access_profile profile_id 20 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1-26 deny

 

Почему??? Почему с тачкой с линуксом проблемы нет, а в моем слачаи вылазит?

Link to post
Share on other sites
serverusko

serverusko 12

Posted
Posted

Хто підскаже, у мене DES 3550, які порти необхідно закрити на портах, і можливо хтось напише маленький мануал, також необхідно розбити мережу по VLANах, можливо є статті а ще краще практика))) СПС на перед!!!

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 1
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...