Нужна помощь с DGS 3120 SC

[loki 86]

В момент глюков посмотрите на колл-во записей в CAM таблице, команда show mac address-table.

Может какой-то тупой свитч "топит" его.

[loki 86]

 

DHCP и так заглушен, как по мне там вообще какой-то флуд или даже петли из тупого сегмента лезут.

Петли он жует на раз и не давится, пока нет локализации все ваши действия до одного места.

 

 

 

 

Это как он-то петли так жует ???  Если петли, то loopdetect  должен срабатывать. Вопрос в том, как loopdetect (port based/ vlan based, recovery time)  настроен.

Тут адекватная мысль пролетала - сбросить свитч в дефаулт и настроить c нуля по мимнимуму.

Edited 2013-09-10 07:27:37 by loki

[chip_shpak 1]

 

 

DHCP и так заглушен, как по мне там вообще какой-то флуд или даже петли из тупого сегмента лезут.

Петли он жует на раз и не давится, пока нет локализации все ваши действия до одного места.

 

 

 

 

Это как он-то петли так жует ???  Если петли, то loopdetect  должен срабатывать. Вопрос в том, как loopdetect (port based/ vlan based, recovery time)  настроен.

Тут адекватная мысль пролетала - сбросить свитч в дефаулт и настроить c нуля по мимнимуму.

 

 

 

Вопервых выключите dhcp screening на магистральных портах или добавте его в исключение как было написано выше. Дальше в loopdetection тоже отключите на магистральных портах и выставите recovery time 3600 ну и главное подключите wireshark в момент проблемы и посмотрите что творится, был прикол с роутером tp-link 743  он генерил кучу dhcp-nak в секунду дахрена пакетов  и включите еше traffic control. А вобше похоже на кольцо потому как один и тот же ip светится на разных портах.

Edited 2013-09-10 07:55:43 by chip_shpak

[KaYot 3,732]

Маков в моменты шторма левых нет, и на шторм то не похоже в принципе.

Нужно смотреть на месте что происходит по хорошему, у клиента глядеть что выдается(т.е. в dhcp левом проблема или нет), есть ли пинг на сервер, смотреть arp таблицу на клиенте и на сервере, есть ли взаимные записи.

Попытки что-то волшебно настроить cо стороны свича это просто гадание на кохве.

[DiprizE 4]

В момент глюка при подключенном роутере пишет "Нет связи с ДНС сервером", после запуска Обновить IP роутер получает 0.0.0.0

При подключении напрямую, ПК получает свой IP но нету пинга на сервер.

[sanyadnepr 305]

Мак ПК на каком свиче заканчивается ? Пинг на соседние в свиче ПК есть ?

[loki 86]

А снифер к свитчу возможность подключить есть ? 

[DiprizE 4]

Выражаю огромную благодарность KaYot, который помог разрулить глюк, и так оперативно устранить!

Проблема решена следующим образом:

1) выключен ip mac port binding на свичах DGS 3120 SC - (в эти свичи еще подключаются дома с тупариками)
2) выключен local_relay
3) выключен igmp_snooping
4) включен traffic_segmentation

На домовых свича DES 3200-26(28), 3526, 3028 выключен igmp_snooping

 

Сеть сразу отпустило. Перестали сыпаться сообщения в логи. Проблему еще не до конца идентифицировали, на "зараженных" домах которые сейчас отображаются в логах, поставим умные свичики, и там уже дам точный ответ - что это было.

 

Всем спасибо за помощь и идеи!

Edited 2013-09-10 17:46:33 by DiprizE

[KaYot 3,732]

Вообще проблемы вылезли из-за изначально неверно выбранного дизайна сети - большие бродкаст сегменты и ipoe в них.

Где-то появился источник мультикастового флуда(подгоревший порт или злодей-клиент), от него все Свичи в сегменте периодически падали в 100% cpu usage и начинали терять записи в IPMB.

Включение сегментации подавило распространение флуда(источник пока не найден), а глобальное отключение igmp_snooping(мультик в сети неиспользуется) убрало проблемы с IPMB.

[NaviNavi 86]

Апну тему, чтоб не создавать новую. Стоят свитчи серии 3200 на многоэтажках и в частном секторе. Включил недавно функцию данную. Обьясните что будет происходить при обнаружении нелегального dhcp сервера со стороны абонента, которому будут пытаться "соседи" раздавать интернет?свитч будет блочить этот сервер или просто рапортовать в логах о том что обнаружен сервер?

[tiratore 22]

16 часов назад, NaviNavi сказал:

Апну тему, чтоб не создавать новую. Стоят свитчи серии 3200 на многоэтажках и в частном секторе. Включил недавно функцию данную. Обьясните что будет происходить при обнаружении нелегального dhcp сервера со стороны абонента, которому будут пытаться "соседи" раздавать интернет?свитч будет блочить этот сервер или просто рапортовать в логах о том что обнаружен сервер?

Если абон не получил адрес свитч не будет пропускать пакеты кроме запросов dhcp и будет блокировать ответы dhcp с абонентских портов, запросы от абонов не будут отправляться в другие абонентские порты

Edited 2019-04-26 13:01:35 by tiratore

[nedoinet 442]

22 часа назад, NaviNavi сказал:

Апну тему, чтоб не создавать новую. Стоят свитчи серии 3200 на многоэтажках и в частном секторе. Включил недавно функцию данную. Обьясните что будет происходить при обнаружении нелегального dhcp сервера со стороны абонента, которому будут пытаться "соседи" раздавать интернет?свитч будет блочить этот сервер или просто рапортовать в логах о том что обнаружен сервер?

Если dhcp screening включен на порту, то на этом порту блокируются ответы от стороннего dhcp сервера  соответствено на аплинке эта штука должна быть отключена. Допустим абонина порту вотнул кабель от свича в лан порт, дальше управляемого порта его ипы не будут распространятся в сеть.

Вообще дхцп фильтр и трафик сенментейшн и лбд это базовая настррйкп мутатора. Иначе хули с него толку если все друг друга видят и срут.

[NaviNavi 86]

1 минуту назад, nedoinet сказал:

Если dhcp screening включен на порту, то на этом порту блокируются ответы от стороннего dhcp сервера  соответствено на аплинке эта штука должна быть отключена. Допустим абонина порту вотнул кабель от свича в лан порт, дальше управляемого порта его ипы не будут распространятся в сеть.

Вообще дхцп фильтр и трафик сенментейшн и лбд это базовая настррйкп мутатора. Иначе хули с него толку если все друг друга видят и срут.

Спасибо, это и хотел узнать. Порты настроил правильно.