loki 86 Опубліковано: 2013-09-10 07:08:27 Share Опубліковано: 2013-09-10 07:08:27 В момент глюков посмотрите на колл-во записей в CAM таблице, команда show mac address-table. Может какой-то тупой свитч "топит" его. Ссылка на сообщение Поделиться на других сайтах
loki 86 Опубліковано: 2013-09-10 07:27:18 Share Опубліковано: 2013-09-10 07:27:18 (відредаговано) DHCP и так заглушен, как по мне там вообще какой-то флуд или даже петли из тупого сегмента лезут. Петли он жует на раз и не давится, пока нет локализации все ваши действия до одного места. Это как он-то петли так жует ??? Если петли, то loopdetect должен срабатывать. Вопрос в том, как loopdetect (port based/ vlan based, recovery time) настроен. Тут адекватная мысль пролетала - сбросить свитч в дефаулт и настроить c нуля по мимнимуму. Відредаговано 2013-09-10 07:27:37 loki Ссылка на сообщение Поделиться на других сайтах
chip_shpak 1 Опубліковано: 2013-09-10 07:52:26 Share Опубліковано: 2013-09-10 07:52:26 (відредаговано) DHCP и так заглушен, как по мне там вообще какой-то флуд или даже петли из тупого сегмента лезут. Петли он жует на раз и не давится, пока нет локализации все ваши действия до одного места. Это как он-то петли так жует ??? Если петли, то loopdetect должен срабатывать. Вопрос в том, как loopdetect (port based/ vlan based, recovery time) настроен. Тут адекватная мысль пролетала - сбросить свитч в дефаулт и настроить c нуля по мимнимуму. Вопервых выключите dhcp screening на магистральных портах или добавте его в исключение как было написано выше. Дальше в loopdetection тоже отключите на магистральных портах и выставите recovery time 3600 ну и главное подключите wireshark в момент проблемы и посмотрите что творится, был прикол с роутером tp-link 743 он генерил кучу dhcp-nak в секунду дахрена пакетов и включите еше traffic control. А вобше похоже на кольцо потому как один и тот же ip светится на разных портах. Відредаговано 2013-09-10 07:55:43 chip_shpak Ссылка на сообщение Поделиться на других сайтах
KaYot 3 710 Опубліковано: 2013-09-10 08:05:54 Share Опубліковано: 2013-09-10 08:05:54 Маков в моменты шторма левых нет, и на шторм то не похоже в принципе. Нужно смотреть на месте что происходит по хорошему, у клиента глядеть что выдается(т.е. в dhcp левом проблема или нет), есть ли пинг на сервер, смотреть arp таблицу на клиенте и на сервере, есть ли взаимные записи. Попытки что-то волшебно настроить cо стороны свича это просто гадание на кохве. Ссылка на сообщение Поделиться на других сайтах
DiprizE 4 Опубліковано: 2013-09-10 08:12:35 Автор Share Опубліковано: 2013-09-10 08:12:35 В момент глюка при подключенном роутере пишет "Нет связи с ДНС сервером", после запуска Обновить IP роутер получает 0.0.0.0 При подключении напрямую, ПК получает свой IP но нету пинга на сервер. Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубліковано: 2013-09-10 09:58:42 Share Опубліковано: 2013-09-10 09:58:42 Мак ПК на каком свиче заканчивается ? Пинг на соседние в свиче ПК есть ? Ссылка на сообщение Поделиться на других сайтах
loki 86 Опубліковано: 2013-09-10 10:26:46 Share Опубліковано: 2013-09-10 10:26:46 А снифер к свитчу возможность подключить есть ? Ссылка на сообщение Поделиться на других сайтах
DiprizE 4 Опубліковано: 2013-09-10 17:40:45 Автор Share Опубліковано: 2013-09-10 17:40:45 (відредаговано) Выражаю огромную благодарность KaYot, который помог разрулить глюк, и так оперативно устранить! Проблема решена следующим образом: 1) выключен ip mac port binding на свичах DGS 3120 SC - (в эти свичи еще подключаются дома с тупариками)2) выключен local_relay3) выключен igmp_snooping4) включен traffic_segmentationНа домовых свича DES 3200-26(28), 3526, 3028 выключен igmp_snooping Сеть сразу отпустило. Перестали сыпаться сообщения в логи. Проблему еще не до конца идентифицировали, на "зараженных" домах которые сейчас отображаются в логах, поставим умные свичики, и там уже дам точный ответ - что это было. Всем спасибо за помощь и идеи! Відредаговано 2013-09-10 17:46:33 DiprizE Ссылка на сообщение Поделиться на других сайтах
KaYot 3 710 Опубліковано: 2013-09-10 19:07:08 Share Опубліковано: 2013-09-10 19:07:08 Вообще проблемы вылезли из-за изначально неверно выбранного дизайна сети - большие бродкаст сегменты и ipoe в них. Где-то появился источник мультикастового флуда(подгоревший порт или злодей-клиент), от него все Свичи в сегменте периодически падали в 100% cpu usage и начинали терять записи в IPMB. Включение сегментации подавило распространение флуда(источник пока не найден), а глобальное отключение igmp_snooping(мультик в сети неиспользуется) убрало проблемы с IPMB. Ссылка на сообщение Поделиться на других сайтах
NaviNavi 86 Опубліковано: 2019-04-25 20:06:28 Share Опубліковано: 2019-04-25 20:06:28 Апну тему, чтоб не создавать новую. Стоят свитчи серии 3200 на многоэтажках и в частном секторе. Включил недавно функцию данную. Обьясните что будет происходить при обнаружении нелегального dhcp сервера со стороны абонента, которому будут пытаться "соседи" раздавать интернет?свитч будет блочить этот сервер или просто рапортовать в логах о том что обнаружен сервер? Ссылка на сообщение Поделиться на других сайтах
tiratore 22 Опубліковано: 2019-04-26 12:49:31 Share Опубліковано: 2019-04-26 12:49:31 (відредаговано) 16 часов назад, NaviNavi сказал: Апну тему, чтоб не создавать новую. Стоят свитчи серии 3200 на многоэтажках и в частном секторе. Включил недавно функцию данную. Обьясните что будет происходить при обнаружении нелегального dhcp сервера со стороны абонента, которому будут пытаться "соседи" раздавать интернет?свитч будет блочить этот сервер или просто рапортовать в логах о том что обнаружен сервер? Если абон не получил адрес свитч не будет пропускать пакеты кроме запросов dhcp и будет блокировать ответы dhcp с абонентских портов, запросы от абонов не будут отправляться в другие абонентские порты Відредаговано 2019-04-26 13:01:35 tiratore Ссылка на сообщение Поделиться на других сайтах
nedoinet 440 Опубліковано: 2019-04-26 18:18:50 Share Опубліковано: 2019-04-26 18:18:50 22 часа назад, NaviNavi сказал: Апну тему, чтоб не создавать новую. Стоят свитчи серии 3200 на многоэтажках и в частном секторе. Включил недавно функцию данную. Обьясните что будет происходить при обнаружении нелегального dhcp сервера со стороны абонента, которому будут пытаться "соседи" раздавать интернет?свитч будет блочить этот сервер или просто рапортовать в логах о том что обнаружен сервер? Если dhcp screening включен на порту, то на этом порту блокируются ответы от стороннего dhcp сервера соответствено на аплинке эта штука должна быть отключена. Допустим абонина порту вотнул кабель от свича в лан порт, дальше управляемого порта его ипы не будут распространятся в сеть. Вообще дхцп фильтр и трафик сенментейшн и лбд это базовая настррйкп мутатора. Иначе хули с него толку если все друг друга видят и срут. Ссылка на сообщение Поделиться на других сайтах
NaviNavi 86 Опубліковано: 2019-04-26 18:25:21 Share Опубліковано: 2019-04-26 18:25:21 1 минуту назад, nedoinet сказал: Если dhcp screening включен на порту, то на этом порту блокируются ответы от стороннего dhcp сервера соответствено на аплинке эта штука должна быть отключена. Допустим абонина порту вотнул кабель от свича в лан порт, дальше управляемого порта его ипы не будут распространятся в сеть. Вообще дхцп фильтр и трафик сенментейшн и лбд это базовая настррйкп мутатора. Иначе хули с него толку если все друг друга видят и срут. Спасибо, это и хотел узнать. Порты настроил правильно. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас