DiprizE 4 Опубликовано: 2013-09-01 14:29:52 Share Опубликовано: 2013-09-01 14:29:52 (відредаговано) Добрый день, нужна помощь! Уже на протяжении 2 недель в сети что-то происходит. На одном из центральных свичей DGS 3120SC куда приходит Аплинк (port 6) и подключается сервак (port 1,2) в логах свича постоянно выбивает сообщение: 933 2013-09-01 13:47:19 INFO(6) Detected untrusted DHCP server (IP: 10.251.0.1, Port: 1:13) 1932 2013-09-01 13:43:46 INFO(6) Detected untrusted DHCP server (IP: 10.251.0.1, Port: 1:7) 1931 2013-09-01 13:40:32 INFO(6) Detected untrusted DHCP server (IP: 10.251.0.1, Port: 1:8) 1930 2013-09-01 13:39:31 INFO(6) Detected untrusted DHCP server (IP: 10.251.0.1, Port: 1:18) 13, 18 порты - линки на ближайшие дома 7, 8 порты - линки на соседние DGS 3120SC Симптомы: - пропадает Интернет у абонентов на 15 мин, если изменить IP в биллинге - появляется, но не надолго; - в основном зацепило абонентов с роутерам TP-Link, D-Link и прочее подобных; На свичах с 7, 8, 13 и 18 портов в логах никаких подобных упоминаний про левые DHCP-сервера нету! Пробовал глубокой ночью отключать все сегменты и дома, и по очереди включать. По наблюдениям когда включаю каждый 3-ий дом, в логи начинает сыпаться сообщение с ругательством. Так же заметил что когда нету активного трафика в сети (закачки, торенты и т.д.) все ок, если превышает 2-5 мбит - начинает ругаться. Помогите в решении вопроса за вознаграждение! Відредаговано 2013-09-01 14:32:02 DiprizE Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2013-09-01 14:39:59 Share Опубліковано: 2013-09-01 14:39:59 Включите на всех свичах dhcp screening на клиентских портах и забудьте о проблеме. В идеале конечно включать надо на свичах доступа, но можно и на районных 3120, проблемы будут максимум внутри дома - заметите по жалобам или логам, поставите туда длинк типа 3200-26, включите все тот же screening и все. Ссылка на сообщение Поделиться на других сайтах
vaslan 45 Опубліковано: 2013-09-01 18:36:07 Share Опубліковано: 2013-09-01 18:36:07 (відредаговано) Можна Dlink DES-1210-28 Дешево й сердито, є ще Alcatel 6224 LS на форумі по 500 грн продають Відредаговано 2013-09-01 18:36:23 vaslan Ссылка на сообщение Поделиться на других сайтах
DiprizE 4 Опубліковано: 2013-09-03 17:49:42 Автор Share Опубліковано: 2013-09-03 17:49:42 (відредаговано) К сожалению не помогло. Инет у юзерей отваливается, пинги обрываются. Юзера подключаются в 3200-26 и тупарики. Все одинаково глючит. Відредаговано 2013-09-03 17:51:02 DiprizE Ссылка на сообщение Поделиться на других сайтах
zulu_Radist 856 Опубліковано: 2013-09-03 17:53:07 Share Опубліковано: 2013-09-03 17:53:07 сбрось в дефолт настрой заново. покажи конфиг. Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2013-09-03 17:58:58 Share Опубліковано: 2013-09-03 17:58:58 Чудес не бывает. Где-то у вас в сети есть 'левый' сервер, нужно его или поймать(ставите этот IP 10.251.0.1 на пинг и тушите по очереди порты) или сделать невозможным вообще работу левых серверов. Второй вариант естественно правильнее, включайте на всех управлялках dhcp screening на всех портах кроме аплинка(ну и кроме порта куда включен сам сервер конечно) и все, проблемы быть не может в принципе. Ссылка на сообщение Поделиться на других сайтах
DiprizE 4 Опубліковано: 2013-09-03 18:02:15 Автор Share Опубліковано: 2013-09-03 18:02:15 сбрось в дефолт настрой заново. покажи конфиг. Заменил свич. config3120sc.txt Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2013-09-03 18:25:57 Share Опубліковано: 2013-09-03 18:25:57 (відредаговано) # DhcpServerScreening config filter dhcp_server ports all state disable config filter dhcp_server ports 1:3-1:5,1:7-1:24 state enable config filter dhcp_server illegal_server_log_suppress_duration 5min config filter dhcp_server trap enable config filter dhcp_server log enable Уберите первую строку, она скорее всего фильтрацию и отключает. Отлючена она должна быть только на порту с dhcp-сервером, порты 1,2,6 у вас доверенные? Да и свичи то зачем менять? Відредаговано 2013-09-03 18:33:04 KaYot Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубліковано: 2013-09-03 18:31:52 Share Опубліковано: 2013-09-03 18:31:52 сбрось в дефолт настрой заново. покажи конфиг. Заменил свич. wireshark в зубы и заворачиваем(зеркалируем) траф с каждого из 4х портов. Ссылка на сообщение Поделиться на других сайтах
Mikca 1 Опубліковано: 2013-09-03 18:35:02 Share Опубліковано: 2013-09-03 18:35:02 (відредаговано) сбрось в дефолт настрой заново. покажи конфиг. Заменил свич. Прошивка - ровесник мамонта, обновитесь. Последняя DGS-3120 Series v3.00.B031, стабильная - v2.50.015 loopdetect mode port-based - у вас в каждый порт ходит один untag vlan? дефолтный vlan лучше не использовать вообще. 10.251.0.1 - нашли кому принадлежит? ftp://ftp.dlink.ru/pub/Switch/DGS-3120_Series/Description/DGS-3120_Series_FW_R2.50_CLI_Reference%20Guide.pdf - страница 261 читали? В каком порту находиться ваш dhcp сервер? по конфигу видно что в 1м config filter dhcp_server ports 1:3-1:5,1:7-1:24 state enable а где вы разрешили свой сервер на нужном вам порту? это будет что то вида config filter dhcp_server add permit server_ip 10.10.10.10 ports 1:1 show filter dhcp_server Enabled Ports: Trap State: Disabled Log State: Disabled Illegal Server Log Suppress Duration:5 minutes Permit DHCP Server/Client Table: Server IP Address Client MAC Address Port ----------------- ------------------ -------------------- 10.10.10.10 All Client MAC 1:1 Total Entries: 1 Відредаговано 2013-09-03 18:42:48 Mikca Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубліковано: 2013-09-03 18:35:11 Share Опубліковано: 2013-09-03 18:35:11 И предполагаю кайоту нужно карму повысить Ссылка на сообщение Поделиться на других сайтах
zulu_Radist 856 Опубліковано: 2013-09-03 18:38:12 Share Опубліковано: 2013-09-03 18:38:12 кайот верно ответил, карму поднял) Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубліковано: 2013-09-03 18:43:47 Share Опубліковано: 2013-09-03 18:43:47 кайот верно ответил, карму поднял) Пусть DiprizE проверит, и другую карму повысит Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2013-09-03 18:58:29 Share Опубліковано: 2013-09-03 18:58:29 Прошивка - ровесник мамонта, обновитесь. Последняя DGS-3120 Series v3.00.B031, стабильная - v2.50.015 2.0 там вполне нормальная прошивка, у нас такой с 1.0.2 больше года работал без вопросов, обновили при переводе магистралей на double tag. Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубліковано: 2013-09-04 19:43:02 Share Опубліковано: 2013-09-04 19:43:02 (відредаговано) DiprizE где пруф ? или как в подписи уч.ру Гореть в аду тем, кто спрашивает на форуме о решении проблемы ...И, после бурного обсуждения, пишет - "Спасибо, всё сам решил ещё неделю назад", но не говорит КАК! Стыдно ? Відредаговано 2013-09-04 19:43:52 sanyadnepr Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2013-09-04 20:15:35 Share Опубліковано: 2013-09-04 20:15:35 (відредаговано) У него там вообще где-то мультикаст флудил, укладывая CPU свичей волнами. Поотключал все лишнее, проблема с загрузкой исчезла. Ждем что человек скажет, может я там чего сломал случайно, а он чинит) Відредаговано 2013-09-04 20:39:14 KaYot Ссылка на сообщение Поделиться на других сайтах
DiprizE 4 Опубліковано: 2013-09-09 18:16:26 Автор Share Опубліковано: 2013-09-09 18:16:26 DiprizE где пруф ? или как в подписи уч.ру Гореть в аду тем, кто спрашивает на форуме о решении проблемы ... И, после бурного обсуждения, пишет - "Спасибо, всё сам решил ещё неделю назад", но не говорит КАК! Стыдно ? Проблема пока не решена. Я не люблю писать по 100500 сообщений, а одно но по существу. Ссылка на сообщение Поделиться на других сайтах
DiprizE 4 Опубліковано: 2013-09-09 18:18:36 Автор Share Опубліковано: 2013-09-09 18:18:36 Благодарю KaYot за выделенное время на указывание возможных причин глюка. Но к сожалению проблема пока не решилась, из-за нехватки знаний по железу. Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубліковано: 2013-09-09 19:04:26 Share Опубліковано: 2013-09-09 19:04:26 (відредаговано) Есть возможность отключить соседние 3120 (7,8порт) ? WireShark ? У вас есть 2й свич, аплинк и сервер/а в него, и с него линки только на соседние 3120, свичи доступа сюда не пхать ! заварачиваем траф с "больных" на соседние порты и смотрим тспдампом/ваиршарком что там происходит ! Иначе это гадание ничего полезного не принесет. PS: Прошивку до стабильной обновить. Відредаговано 2013-09-09 19:06:23 sanyadnepr Ссылка на сообщение Поделиться на других сайтах
max_m 92 Опубліковано: 2013-09-10 05:45:08 Share Опубліковано: 2013-09-10 05:45:08 А почему Вы просто не хотите в ACL заглушить все ДХСП сервера на портах, ну кроме ваших. 2 вариант определите мак левого ДХСП и заблочте его. Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2013-09-10 06:24:23 Share Опубліковано: 2013-09-10 06:24:23 DHCP и так заглушен, как по мне там вообще какой-то флуд или даже петли из тупого сегмента лезут. Ссылка на сообщение Поделиться на других сайтах
loki 86 Опубліковано: 2013-09-10 06:31:01 Share Опубліковано: 2013-09-10 06:31:01 loop detect на всех портах, кроме аплинковых. + попробуй http://www.netpatch.ru/dhcdrop.html Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2013-09-10 06:38:03 Share Опубліковано: 2013-09-10 06:38:03 loopdetect включен, ворнингов нет. Когда я по свичам лазил - везде был эпизодический multicast шторм, раз в минуту все свичи падали в 100% CPU. Отключение igmp snooping загрузку убрало, но проблемы 'с пропаданием интернета' не решило. Ссылка на сообщение Поделиться на других сайтах
loki 86 Опубліковано: 2013-09-10 06:45:13 Share Опубліковано: 2013-09-10 06:45:13 Storm Control для бродкаста и мультикаста стоит ? Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубліковано: 2013-09-10 06:58:43 Share Опубліковано: 2013-09-10 06:58:43 DHCP и так заглушен, как по мне там вообще какой-то флуд или даже петли из тупого сегмента лезут. Петли он жует на раз и не давится, пока нет локализации все ваши действия до одного места. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас