NightNET 81 Опубликовано: 2011-10-16 17:50:36 Share Опубликовано: 2011-10-16 17:50:36 Всем добрый вечер! С недавних пор вылезла трабла на 3100-24TG - выборочно не пропускает юзеров в порядке возрастания количества непропускаемых, пример - есть 3100-24TG из него волокна на дома, на концах DES 1210-28 , в большинстве Гбитной колбаской еще 1-3 DES 1210-28 . Так вот у клиента пропадает инет , прихожу к нему - пинга на роутер-биллинг(Нодени) - нет, пинга на оборудование в серверной - нет, на свичи на других оптических магистралях - тоже нет, есть только на 3100-24TG , на свич куда клиент воткнут и на свичи на текущей оптической магистрали.Айпи-МАК клиент не менял. Короче выходит ,что ТГшка изолирует его на одном порту. Включаюсь ноутом - все пингуеться. ... Но через время таких трабл в сети выплывает все больше и больше , до полного отвала ТГшки на все магистрали. Временно помогает reset настроек всего и вся на ТГшке . Что это может быть и что можно предпринять ? Переполнение кеша или арп в ТГшке , или флуд в сети ? . Включение всяческих антиштормовых фич не помогло. В сети около 400 юзеров, на ВЛАНы не разбито.Авторизация айпи+МАК.Loopback detection включено на всех 1210-28. Прошивка последняя v3.60.38 . спасибо Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2011-10-16 18:28:56 Share Опубліковано: 2011-10-16 18:28:56 Скорее 3100 не виноват, а виноваты 1210-28 и ихние кастрированные mac таблицы. Сегмент в 400 машин для таких свичей - самоубийство. Ссылка на сообщение Поделиться на других сайтах
NightNET 81 Опубліковано: 2011-10-16 18:50:02 Автор Share Опубліковано: 2011-10-16 18:50:02 Сейчас курю эту темку http://forum.dlink.ru/viewtopic.php?f=2&t=143955&hilit=3100+24tg . Вроде схожая проблема. А что не так с МАК-таблицами 1210-28 ? Планируем переходить на ВЛАНы. Ссылка на сообщение Поделиться на других сайтах
tivi 56 Опубліковано: 2011-10-16 18:58:22 Share Опубліковано: 2011-10-16 18:58:22 а точно в них ? веб-смарт не используем. но сейчас зашел на сайт д-линка глянул спецификации данной модели: 8к адресов. даже если реально будет 4к, то для сегмента в 400 пк - должно хватать. Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2011-10-16 19:14:06 Share Опубліковано: 2011-10-16 19:14:06 Я о проблемах с хешами которыми знаменит 3028. 1210-28 по идее от него практически не отличается. Ссылка на сообщение Поделиться на других сайтах
Субчик 185 Опубліковано: 2011-10-16 19:18:16 Share Опубліковано: 2011-10-16 19:18:16 Скорее 3100 не виноват, а виноваты 1210-28 и ихние кастрированные mac таблицы. Сегмент в 400 машин для таких свичей - самоубийство. Сегмент в 600 машин 1210-28, 1228 нормально работаю. Но лучше до такого не доводить. Так-как наблюдаются проблемы с другими девайсами: глючат вай-фай роутеры: почти все ТП-линки, длинки начиная с 320-го и выше ( 300-ые отлично работают) планеты 1022 перестают отвечать по вебу и телнету, хотя трафик через них бегает нормально длинк 3028 при подключении к сети зависает сразу Ссылка на сообщение Поделиться на других сайтах
zulu_Radist 856 Опубліковано: 2011-10-16 19:24:41 Share Опубліковано: 2011-10-16 19:24:41 У аффтара я так понял даже управляемое оборудование не в изолированном вилане. Прикольно. Почти пол тысячи маков в одном бродкастовом домене - самоубийство, и это только начало граблей. Срочно дроби сеть, все сразу отпустит. Ссылка на сообщение Поделиться на других сайтах
NightNET 81 Опубліковано: 2011-10-16 19:35:13 Автор Share Опубліковано: 2011-10-16 19:35:13 Я понимаю. многие так говорят, но мне это делать по горячему увы не по уму,в риск, надо было делать изначально так. А сейчас пол беды всем обьяснить как настройки сменить и побегать в роутерах поперебивать , так пока буду сегмент за сегментом переводить люди от недовольствия еще на КС, дышуший в спину, спрыгнут . К сожелению нельзя создать ВЛАНы не меняя адресс сервера и третью позицию в айпишнике. Ссылка на сообщение Поделиться на других сайтах
leda 114 Опубліковано: 2011-10-16 19:41:13 Share Опубліковано: 2011-10-16 19:41:13 dhcp,чтобы ручками не перебивать все адреса у юзеров Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2011-10-16 19:58:23 Share Опубліковано: 2011-10-16 19:58:23 Прокинуть по всей сети отдельный управляющий влан в котором будут ip свичей весьма не сложно и никаких изменений для клиентов не будет. А разбираться в ситуации станет проще. Ссылка на сообщение Поделиться на других сайтах
Субчик 185 Опубліковано: 2011-10-16 20:17:03 Share Опубліковано: 2011-10-16 20:17:03 Я понимаю. многие так говорят, но мне это делать по горячему увы не по уму,в риск, надо было делать изначально так. А сейчас пол беды всем обьяснить как настройки сменить и побегать в роутерах поперебивать , так пока буду сегмент за сегментом переводить люди от недовольствия еще на КС, дышуший в спину, спрыгнут . К сожелению нельзя создать ВЛАНы не меняя адресс сервера и третью позицию в айпишнике. Все равно, рано или поздно придется это делать. Если по уму, то можно сделать все незаметно для юзеров. Заранее всех перевести на ДХЦП а потом уже разделить на подсети. Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубліковано: 2011-10-16 20:46:09 Share Опубліковано: 2011-10-16 20:46:09 1210-28 Прошивка последняя v3.60.38. спасибо Позвольте несогласиться насчет данного вами утверждения Вот такая Firmware Version 5.20.B005 есть например Device DES-1210-28 Не утверждаю что вам она поможет, но там на длинке, и более последние есть, тыц Согласен с предыдущими постами, отдельный vlan на упр... PS: Важно !!! После заливки предложенной мной прошивки у вас конфиг будет по умолчанию ! Все настройки старой прошивки будут утеряны ! бэкап непомешает Хотя у вас и так почти всё по умолчанию Ссылка на сообщение Поделиться на других сайтах
NightNET 81 Опубліковано: 2011-10-16 21:33:22 Автор Share Опубліковано: 2011-10-16 21:33:22 1210-28 Прошивка последняя v3.60.38 . спасибо Позвольте несогласиться насчет данного вами утверждения Вот такая Firmware Version 5.20.B005 есть например Device Type DES-1210-28 Не утверждаю что вам она поможет, но там на длинке, и более последние есть, тыц Согласен с предыдущими постами, отдельный vlan на упр... PS: Важно !!! После заливки предложенной мной прошивки у вас конфиг будет по умолчанию ! Все настройки старой прошивки будут утеряны ! бэкап непомешает Хотя у вас и так почти всё по умолчанию v3.60.38 - это я имел ввиду прошивку 3100-24ТГ . На 1210-28 установлена "провайдерская" 5_10_B019 , поставил на пару штук самую последнюю 5_10_B022 , но она баговая какая то , даже на форуме Д-Линк есть темы , что свичи отваливаються во время прошивки, у нас тоже было... Конфиг при апдейте прошивок 5_10_B*** востанавливаеться сам.На счет по-дефолту вы неочень правы. Ссылка на сообщение Поделиться на других сайтах
zulu_Radist 856 Опубліковано: 2011-10-17 05:33:00 Share Опубліковано: 2011-10-17 05:33:00 Заранее всех перевести на ДХЦП а потом уже разделить на подсети. Правильное замечание. Поднять дхцп, написать объявление что всем получить настройки автоматом, кто сильно тупит - обзвонить или объехать. Потом уже по одному дому откидывать в отдельный вилан и пул, клиенты даже не успеют одуплиться. Ссылка на сообщение Поделиться на других сайтах
NightNET 81 Опубліковано: 2011-10-17 07:46:59 Автор Share Опубліковано: 2011-10-17 07:46:59 Хороший вариант. Но ,если там где установлены 1210-28 можно в ACL придушить юзерские ДХЦП , то есть еще небольшая часть сети на ФТП и тупых свичах . Ссылка на сообщение Поделиться на других сайтах
parazit 11 Опубліковано: 2011-10-17 07:57:08 Share Опубліковано: 2011-10-17 07:57:08 gen psi давно тебе говорил про разбиение сети... всегда готов помочь... Ссылка на сообщение Поделиться на других сайтах
NightNET 81 Опубліковано: 2011-10-17 08:38:09 Автор Share Опубліковано: 2011-10-17 08:38:09 Саш, писал тебе в аську/имейл , но ты наверно очень занят, так и не ответил. Ответь в аск, как сможешь. Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2011-10-17 12:57:14 Share Опубліковано: 2011-10-17 12:57:14 Хороший вариант. Но ,если там где установлены 1210-28 можно в ACL придушить юзерские ДХЦП , то есть еще небольшая часть сети на ФТП и тупых свичах . Скажем так, 'левые' dhcp по сравнению с вручную выставленными адресами это совсем уж мелкая проблема. Ссылка на сообщение Поделиться на других сайтах
Elisium 10 Опубліковано: 2011-10-17 19:01:14 Share Опубліковано: 2011-10-17 19:01:14 Хороший вариант. Но ,если там где установлены 1210-28 можно в ACL придушить юзерские ДХЦП , то есть еще небольшая часть сети на ФТП и тупых свичах Там спец. опция есть, DHCP Server Screening называется. Как раз для этого. п.с. 22я прошивка как раз таки уже со всеми мелкими исправлениями, которые понаприсылали с 19й версии еще. Все равно порекомендуют сначала поставить последнюю прошивку... Скажем так, 'левые' dhcp по сравнению с вручную выставленными адресами это совсем уж мелкая проблема. На 1210 есть IMP binding+Port security. И даже вполне себе работающие. Правда, в логах, ЕСЛИ ЧТО, информации днем с огнем не докопаешся... п.с. Ну это уже оффтоп ) Ссылка на сообщение Поделиться на других сайтах
NightNET 81 Опубліковано: 2011-10-17 20:12:22 Автор Share Опубліковано: 2011-10-17 20:12:22 Понятно. Верно , с 1210-28 проблем, кроме как отваливания пинга и вебморды на короткий период,при этом траф через них идет, - нету. А вот с ТГшкой пока решил вводить clear fdb all регулярно , елси проблема пропадет поставлю скрипт . Ссылка на сообщение Поделиться на других сайтах
alex_o 1 194 Опубліковано: 2011-10-18 05:38:11 Share Опубліковано: 2011-10-18 05:38:11 Я о проблемах с хешами которыми знаменит 3028. 1210-28 по идее от него практически не отличается. Вы ошибаетесь в корне!!! 1210-28 не имеет ничего общего с какашкой 3028! Вы видимо спутали 1210 с 1228, последний как раз является аналогом 3028. А вот у 1210 абсолютно напрочь отсутствует проблема с хэшами. Читайте внимательно наг.ру, там люди деладли замеры - все 8к МАС свич распознает без потерь. Рецепт счастья очень простой: 1. Управление свичами - в отдельный влан. 2. Порт-секурити на каждый абонентский порт (не более 4 МАС). 3. Шторм-контроль на каждый абонентский порт (минималку ппс/полосы на броадкаст+мультикаст). 4. ЛБД на каждый абонентский порт. 5. ДХЦП-скрининг на каждый абонентский порт. 6. АРП-спуффинг-превеншен для защиты шлюзов/серверов. 7. Убираем все абонентские порты из топологий СТП, запрещаем на этих портах бпду и смену роли рута. 8. Отключаем на абонентских портах ГВРП. После этого идем спать спокойно, ибо ничего упасть не сможет. Ссылка на сообщение Поделиться на других сайтах
Elisium 10 Опубліковано: 2011-10-18 09:31:50 Share Опубліковано: 2011-10-18 09:31:50 Рецепт счастья очень простой: ... После этого идем спать спокойно, ибо ничего упасть не сможет. Я бы еще добавил 9. АЦЛ на фильтрацию кучи УДП/ТСП портов. 10. CPU int. filtering для запрета левых igmp querierов, если в сети есть мультикаст. Ссылка на сообщение Поделиться на других сайтах
alex_o 1 194 Опубліковано: 2011-10-18 14:09:41 Share Опубліковано: 2011-10-18 14:09:41 10. CPU int. filtering для запрета левых igmp querierов, если в сети есть мультикаст. Это если мультик транслируется в общем влане с обычным игмп-снупингом. А если используется ISM Vlan (что в 1210-28 есть) то этой проблемы просто не будет. Ссылка на сообщение Поделиться на других сайтах
NightNET 81 Опубліковано: 2011-10-19 12:21:16 Автор Share Опубліковано: 2011-10-19 12:21:16 Я о проблемах с хешами которыми знаменит 3028. 1210-28 по идее от него практически не отличается. Вы ошибаетесь в корне!!! 1210-28 не имеет ничего общего с какашкой 3028! Вы видимо спутали 1210 с 1228, последний как раз является аналогом 3028. А вот у 1210 абсолютно напрочь отсутствует проблема с хэшами. Читайте внимательно наг.ру, там люди деладли замеры - все 8к МАС свич распознает без потерь. Рецепт счастья очень простой: 1. Управление свичами - в отдельный влан. 2. Порт-секурити на каждый абонентский порт (не более 4 МАС). 3. Шторм-контроль на каждый абонентский порт (минималку ппс/полосы на броадкаст+мультикаст). 4. ЛБД на каждый абонентский порт. 5. ДХЦП-скрининг на каждый абонентский порт. 6. АРП-спуффинг-превеншен для защиты шлюзов/серверов. 7. Убираем все абонентские порты из топологий СТП, запрещаем на этих портах бпду и смену роли рута. 8. Отключаем на абонентских портах ГВРП. После этого идем спать спокойно, ибо ничего упасть не сможет. 1. Нету. Буду думать как реализовать. 2. Нету.Не сложно , но много надо добавлять+часть сети тупая. 3. Есть. Сейчас стоит Broadcast 128 Kbps, поставлю минимум 64... 4. Есть. Можно ли включать на магистральных портах ? 5. Нету.Не юзаем ДХЦП. 6. Есть. Можно ли включать на магистральных портах ? 7. ? 8. ?? 9.Неочень понял. Лучьше б пример какойто. 10. Нету. Пока ввожу руками clear fdb all , Д-Линк знает о проблеме но решения нету. Пытаюсь сейчас сделать скрипт для автоввода каждый час clear fdb all с Винды или FreeBSD.Если у когото есть скрипт для телнет входа и выполнения команды - напишите.спасибо. Ссылка на сообщение Поделиться на других сайтах
Elisium 10 Опубліковано: 2011-10-19 13:04:28 Share Опубліковано: 2011-10-19 13:04:28 1. Нету. Буду думать как реализовать. 2. Нету.Не сложно , но много надо добавлять+часть сети тупая. 3. Есть. Сейчас стоит Broadcast 128 Kbps, поставлю минимум 64... 4. Есть. Можно ли включать на магистральных портах ? 5. Нету.Не юзаем ДХЦП. 6. Есть. Можно ли включать на магистральных портах ? 7. ? 8. ?? 9.Неочень понял. Лучьше б пример какойто. 10. Нету. 2. Это делается одной командой на каждом свиче: config port_security 1-24 admin_state enable lock_address_mode DeleteOnReset max_learning_addr 4 4. Нельзя. 5. Зря. 6. На клиентские 7. Forwarding BPDU disable, далее смотрим настройки СТП, какие там в вашей сети используются. 8. ГВРП отключен по умолчанию 9. Чето типа create access_profile profile_id 1 ip tcp dst_port_msk 0xFFFF config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 445 ports 1-28 deny По поводу скрипта - гуглите perl, Net-SNMP. За пару часов (это если вообще перл не знать) можно наваять нужный скриптец. А знания потом пригодятся. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас