Перейти до

Проблема с D-Link DGS 3100-24TG


Рекомендованные сообщения

Всем добрый вечер! С недавних пор вылезла трабла на 3100-24TG - выборочно не пропускает юзеров в порядке возрастания количества непропускаемых, пример - есть 3100-24TG из него волокна на дома, на концах DES 1210-28 , в большинстве Гбитной колбаской еще 1-3 DES 1210-28 . Так вот у клиента пропадает инет , прихожу к нему - пинга на роутер-биллинг(Нодени) - нет, пинга на оборудование в серверной - нет, на свичи на других оптических магистралях - тоже нет, есть только на 3100-24TG , на свич куда клиент воткнут и на свичи на текущей оптической магистрали.Айпи-МАК клиент не менял. Короче выходит ,что ТГшка изолирует его на одном порту. Включаюсь ноутом - все пингуеться. ... Но через время таких трабл в сети выплывает все больше и больше , до полного отвала ТГшки на все магистрали. Временно помогает reset настроек всего и вся на ТГшке . Что это может быть и что можно предпринять ? Переполнение кеша или арп в ТГшке , или флуд в сети ? . Включение всяческих антиштормовых фич не помогло. В сети около 400 юзеров, на ВЛАНы не разбито.Авторизация айпи+МАК.Loopback detection включено на всех 1210-28. Прошивка последняя v3.60.38 . спасибо

Ссылка на сообщение
Поделиться на других сайтах

Скорее 3100 не виноват, а виноваты 1210-28 и ихние кастрированные mac таблицы. Сегмент в 400 машин для таких свичей - самоубийство.

Ссылка на сообщение
Поделиться на других сайтах

Сейчас курю эту темку http://forum.dlink.ru/viewtopic.php?f=2&t=143955&hilit=3100+24tg . Вроде схожая проблема. А что не так с МАК-таблицами 1210-28 ? Планируем переходить на ВЛАНы.

Ссылка на сообщение
Поделиться на других сайтах

а точно в них ?

веб-смарт не используем.

но сейчас зашел на сайт д-линка глянул спецификации данной модели: 8к адресов. даже если реально будет 4к, то для сегмента в 400 пк - должно хватать.

Ссылка на сообщение
Поделиться на других сайтах

Скорее 3100 не виноват, а виноваты 1210-28 и ихние кастрированные mac таблицы. Сегмент в 400 машин для таких свичей - самоубийство.

Сегмент в 600 машин 1210-28, 1228 нормально работаю. Но лучше до такого не доводить.

Так-как наблюдаются проблемы с другими девайсами:

глючат вай-фай роутеры: почти все ТП-линки, длинки начиная с 320-го и выше ( 300-ые отлично работают)

планеты 1022 перестают отвечать по вебу и телнету, хотя трафик через них бегает нормально

длинк 3028 при подключении к сети зависает сразу

Ссылка на сообщение
Поделиться на других сайтах

У аффтара я так понял даже управляемое оборудование не в изолированном вилане. Прикольно. :lol:

Почти пол тысячи маков в одном бродкастовом домене - самоубийство, и это только начало граблей.

Срочно дроби сеть, все сразу отпустит.

Ссылка на сообщение
Поделиться на других сайтах

Я понимаю. многие так говорят, но мне это делать по горячему увы не по уму,в риск, надо было делать изначально так. А сейчас пол беды всем обьяснить как настройки сменить и побегать в роутерах поперебивать , так пока буду сегмент за сегментом переводить люди от недовольствия еще на КС, дышуший в спину, спрыгнут . К сожелению нельзя создать ВЛАНы не меняя адресс сервера и третью позицию в айпишнике.

Ссылка на сообщение
Поделиться на других сайтах

Прокинуть по всей сети отдельный управляющий влан в котором будут ip свичей весьма не сложно и никаких изменений для клиентов не будет. А разбираться в ситуации станет проще.

Ссылка на сообщение
Поделиться на других сайтах

Я понимаю. многие так говорят, но мне это делать по горячему увы не по уму,в риск, надо было делать изначально так. А сейчас пол беды всем обьяснить как настройки сменить и побегать в роутерах поперебивать , так пока буду сегмент за сегментом переводить люди от недовольствия еще на КС, дышуший в спину, спрыгнут . К сожелению нельзя создать ВЛАНы не меняя адресс сервера и третью позицию в айпишнике.

Все равно, рано или поздно придется это делать. Если по уму, то можно сделать все незаметно для юзеров.

Заранее всех перевести на ДХЦП а потом уже разделить на подсети.

Ссылка на сообщение
Поделиться на других сайтах

1210-28 Прошивка последняя v3.60.38. спасибо

Позвольте несогласиться насчет данного вами утверждения ;)

Вот такая Firmware Version 5.20.B005 есть например :lol: Device DES-1210-28

Не утверждаю что вам она поможет, но там на длинке, и более последние есть, тыц

Согласен с предыдущими постами, отдельный vlan на упр...

 

PS: Важно !!! После заливки предложенной мной прошивки у вас конфиг будет по умолчанию !

Все настройки старой прошивки будут утеряны ! бэкап непомешает ;)

Хотя у вас и так почти всё по умолчанию ;)

Ссылка на сообщение
Поделиться на других сайтах

1210-28 Прошивка последняя v3.60.38 . спасибо

Позвольте несогласиться насчет данного вами утверждения ;)

Вот такая Firmware Version 5.20.B005 есть например :lol: Device Type DES-1210-28

Не утверждаю что вам она поможет, но там на длинке, и более последние есть, тыц

Согласен с предыдущими постами, отдельный vlan на упр...

 

PS: Важно !!! После заливки предложенной мной прошивки у вас конфиг будет по умолчанию !

Все настройки старой прошивки будут утеряны ! бэкап непомешает ;)

Хотя у вас и так почти всё по умолчанию ;)

 

v3.60.38 - это я имел ввиду прошивку 3100-24ТГ .

На 1210-28 установлена "провайдерская" 5_10_B019 , поставил на пару штук самую последнюю 5_10_B022 , но она баговая какая то , даже на форуме Д-Линк есть темы , что свичи отваливаються во время прошивки, у нас тоже было...

 

Конфиг при апдейте прошивок 5_10_B*** востанавливаеться сам.На счет по-дефолту вы неочень правы.

Ссылка на сообщение
Поделиться на других сайтах

Заранее всех перевести на ДХЦП а потом уже разделить на подсети.

Правильное замечание.

Поднять дхцп, написать объявление что всем получить настройки автоматом, кто сильно тупит - обзвонить или объехать.

Потом уже по одному дому откидывать в отдельный вилан и пул, клиенты даже не успеют одуплиться.

Ссылка на сообщение
Поделиться на других сайтах

Хороший вариант. Но ,если там где установлены 1210-28 можно в ACL придушить юзерские ДХЦП , то есть еще небольшая часть сети на ФТП и тупых свичах .

Ссылка на сообщение
Поделиться на других сайтах

Хороший вариант. Но ,если там где установлены 1210-28 можно в ACL придушить юзерские ДХЦП , то есть еще небольшая часть сети на ФТП и тупых свичах .

Скажем так, 'левые' dhcp по сравнению с вручную выставленными адресами это совсем уж мелкая проблема.

Ссылка на сообщение
Поделиться на других сайтах

Хороший вариант. Но ,если там где установлены 1210-28 можно в ACL придушить юзерские ДХЦП , то есть еще небольшая часть сети на ФТП и тупых свичах

Там спец. опция есть, DHCP Server Screening называется.

Как раз для этого.

п.с. 22я прошивка как раз таки уже со всеми мелкими исправлениями, которые понаприсылали с 19й версии еще.

Все равно порекомендуют сначала поставить последнюю прошивку...

 

Скажем так, 'левые' dhcp по сравнению с вручную выставленными адресами это совсем уж мелкая проблема.

На 1210 есть IMP binding+Port security. И даже вполне себе работающие.

Правда, в логах, ЕСЛИ ЧТО, информации днем с огнем не докопаешся...

 

п.с. Ну это уже оффтоп )

Ссылка на сообщение
Поделиться на других сайтах

Понятно.

 

Верно , с 1210-28 проблем, кроме как отваливания пинга и вебморды на короткий период,при этом траф через них идет, - нету.

А вот с ТГшкой пока решил вводить clear fdb all регулярно , елси проблема пропадет поставлю скрипт .

Ссылка на сообщение
Поделиться на других сайтах

Я о проблемах с хешами которыми знаменит 3028. 1210-28 по идее от него практически не отличается.

Вы ошибаетесь в корне!!! 1210-28 не имеет ничего общего с какашкой 3028! Вы видимо спутали 1210 с 1228, последний как раз является аналогом 3028. А вот у 1210 абсолютно напрочь отсутствует проблема с хэшами. Читайте внимательно наг.ру, там люди деладли замеры - все 8к МАС свич распознает без потерь.

 

Рецепт счастья очень простой:

1. Управление свичами - в отдельный влан.

2. Порт-секурити на каждый абонентский порт (не более 4 МАС).

3. Шторм-контроль на каждый абонентский порт (минималку ппс/полосы на броадкаст+мультикаст).

4. ЛБД на каждый абонентский порт.

5. ДХЦП-скрининг на каждый абонентский порт.

6. АРП-спуффинг-превеншен для защиты шлюзов/серверов.

7. Убираем все абонентские порты из топологий СТП, запрещаем на этих портах бпду и смену роли рута.

8. Отключаем на абонентских портах ГВРП.

 

После этого идем спать спокойно, ибо ничего упасть не сможет.

Ссылка на сообщение
Поделиться на других сайтах

Рецепт счастья очень простой:

...

После этого идем спать спокойно, ибо ничего упасть не сможет.

Я бы еще добавил

9. АЦЛ на фильтрацию кучи УДП/ТСП портов.

10. CPU int. filtering для запрета левых igmp querierов, если в сети есть мультикаст.

Ссылка на сообщение
Поделиться на других сайтах

10. CPU int. filtering для запрета левых igmp querierов, если в сети есть мультикаст.

Это если мультик транслируется в общем влане с обычным игмп-снупингом. А если используется ISM Vlan (что в 1210-28 есть) то этой проблемы просто не будет. ;)

Ссылка на сообщение
Поделиться на других сайтах

Я о проблемах с хешами которыми знаменит 3028. 1210-28 по идее от него практически не отличается.

Вы ошибаетесь в корне!!! 1210-28 не имеет ничего общего с какашкой 3028! Вы видимо спутали 1210 с 1228, последний как раз является аналогом 3028. А вот у 1210 абсолютно напрочь отсутствует проблема с хэшами. Читайте внимательно наг.ру, там люди деладли замеры - все 8к МАС свич распознает без потерь.

 

Рецепт счастья очень простой:

1. Управление свичами - в отдельный влан.

2. Порт-секурити на каждый абонентский порт (не более 4 МАС).

3. Шторм-контроль на каждый абонентский порт (минималку ппс/полосы на броадкаст+мультикаст).

4. ЛБД на каждый абонентский порт.

5. ДХЦП-скрининг на каждый абонентский порт.

6. АРП-спуффинг-превеншен для защиты шлюзов/серверов.

7. Убираем все абонентские порты из топологий СТП, запрещаем на этих портах бпду и смену роли рута.

8. Отключаем на абонентских портах ГВРП.

 

После этого идем спать спокойно, ибо ничего упасть не сможет.

 

 

1. Нету. Буду думать как реализовать.

2. Нету.Не сложно , но много надо добавлять+часть сети тупая.

3. Есть. Сейчас стоит Broadcast 128 Kbps, поставлю минимум 64...

4. Есть. Можно ли включать на магистральных портах ?

5. Нету.Не юзаем ДХЦП.

6. Есть. Можно ли включать на магистральных портах ?

7. ?

8. ??

9.Неочень понял. Лучьше б пример какойто.

10. Нету.

 

Пока ввожу руками clear fdb all , Д-Линк знает о проблеме но решения нету. Пытаюсь сейчас сделать скрипт для автоввода каждый час clear fdb all с Винды или FreeBSD.Если у когото есть скрипт для телнет входа и выполнения команды - напишите.спасибо.

Ссылка на сообщение
Поделиться на других сайтах

1. Нету. Буду думать как реализовать.

2. Нету.Не сложно , но много надо добавлять+часть сети тупая.

3. Есть. Сейчас стоит Broadcast 128 Kbps, поставлю минимум 64...

4. Есть. Можно ли включать на магистральных портах ?

5. Нету.Не юзаем ДХЦП.

6. Есть. Можно ли включать на магистральных портах ?

7. ?

8. ??

9.Неочень понял. Лучьше б пример какойто.

10. Нету.

 

2. Это делается одной командой на каждом свиче:

config port_security 1-24 admin_state enable lock_address_mode DeleteOnReset max_learning_addr 4

4. Нельзя.

5. Зря.

6. На клиентские

7. Forwarding BPDU disable, далее смотрим настройки СТП, какие там в вашей сети используются.

8. ГВРП отключен по умолчанию

9. Чето типа

create access_profile profile_id 1 ip tcp dst_port_msk 0xFFFF	
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 445 ports 1-28 deny

 

По поводу скрипта - гуглите perl, Net-SNMP.

За пару часов (это если вообще перл не знать) можно наваять нужный скриптец.

А знания потом пригодятся.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...