[unknownameorg]

Привет всем! Сегодня произошел случай на моей практике первый , т.к я нуб с кривыми руками живущий там, где раки водят хороводы, но хочется все же постигнуть "Силу" и решить мою проблему, и так, имею сеть 211 голов убиквити из них 11 APs и 200 STs , VLAN per User, на коммутаторах никаких ACL, никакх фильтров ничего не настроено, тупо вланы на пользователя и все, единтсвенное что включил loopdetection ports на свитчах, далее, сегодня утром в 7 утра заббик прислал мне смску, посмотрел в заббикс и понял, что сеть моргает как светофор, базы отваливаются, клиенты отваливаются и снова подключаются, у тех кто подклчен сигналы в норме -54 - 60 ccq в норме, но почему они отваливаются я так и не понял, в вебморде трех APs увидел в графике загрузки что идет ровнейшая полоска показывающая поток трафика в 6 мегабит одинаковая аж на 3 рядомстоящих базах, после 50 минут смотрения в экран ноутбука до меня дошло, что просто нужно начать с просмотра show utilization ports на свитче где собираются часть APs и до других мачт расходятся мосты ( за мостами так же свитчи и APs)

 

вот что показал show utilization ports

 

1. 6157 31 5 bs1

2. 6122 33 5 bs2

3. 6186 109 5 bs3

4. 6110 25 5 bs4

5. 2 0 1

6. 0 0 0

7. 31 24 1

8. 0 0 0

9. 0 0 0

10. 6438 246 6 bridge2 to APs

11. 6327 163 6 bridge1 Client

12. 6519 475 6 bridge3 to APs

13. 6210 147 5 bridge4 Client

14. 6555 278 7 bridge5 Client

15. 25 19 15

16. 787 6598 8 bridge6 to APs Входящий multicast

17. 0 0 0

18. 8154 2742 2 UPLINK до ядра сетки

 

по табличке видно что multicast прилетел с 16 порта и разлетелся по остальным, в итоге добравшись до свитча который находится за 16-ым портом текущего коммутатора , я выяснил что трафик идет с одной из APs, на этой APs нашел клиента откуда идет TX multicast в итоге посмотрев статистику понял, что идет 6-8 мегабит мултикаста и в районе 6000 frames 128-250 что и положило все мое радио, поставив igmp snooping и acl на коммутаторе я ограничил выливание неконтролируемого трафика в сеть, тем самым локализовав проблему лишь в пределах одной AP теперь клиент гадит только внутри своей AP, мешая соседям данной AP , ВОПРОС )) ! Как на убиквити убить мультикаст на клиентской точке , фаервол не помог !!! ???

 

вот пробовал два варианта , трафик прет и не остановливается

 

 

вотстандартная настройка клиентской точки, точка в режиме бриджа, 2 влан на управление , 1174 влан клиента,

 

Вот Advanced

Изменено 13 января, 2017 пользователем unknownameorg

[swechka]

Возможно получится зарезать в конфиге

radio.1.mcastrate=15

поставить 0

[Ancient]

на вкладке ADVANCED проверьте не стоит ли галочка "Multicast data" - она по-умолчанию включена на цпе

[unknownameorg]

на вкладке ADVANCED проверьте не стоит ли галочка "Multicast data" - она по-умолчанию включена на цпе

всегда убираю мультик в Advanced на клиентах и на AP

Изменено 13 января, 2017 пользователем unknownameorg

[Saab95]

Если CPE не работают роутерами, то нужно создать мильон правил для решения данной проблемы. Если бы в радио все CPE работали роутерами, и авторизация через PPPoE, то такого события вообще не могло бы быть в принципе, и даже если от абонента пойдет какой-то вредоносный трафик, его можно скинуть с сервера и проблема локализована - больше абонент ничего передавать в сеть не сможет, можно спокойно к нему съездить и разобраться откуда ноги растут.

 

УБНТ, кстати, поддерживает работу роутером с PPPoE клиентом.

[unknownameorg]

Если CPE не работают роутерами, то нужно создать мильон правил для решения данной проблемы. Если бы в радио все CPE работали роутерами, и авторизация через PPPoE, то такого события вообще не могло бы быть в принципе, и даже если от абонента пойдет какой-то вредоносный трафик, его можно скинуть с сервера и проблема локализована - больше абонент ничего передавать в сеть не сможет, можно спокойно к нему съездить и разобраться откуда ноги растут.

 

УБНТ, кстати, поддерживает работу роутером с PPPoE клиентом.

PPPOE ))))) спасибо

[pingz]

Авторизация абонентов какая?

 

Нельзя ли сессию подымать на CPE клиента, а его Wi-Fi делать бриджом?

[unknownameorg]

Авторизация абонентов какая?

 

Нельзя ли сессию подымать на CPE клиента, а его Wi-Fi делать бриджом?

DHCP

[pingz]

Авторизация абонентов какая?

 

Нельзя ли сессию подымать на CPE клиента, а его Wi-Fi делать бриджом?

DHCP

 

А с чем связано, то что у клиента авторизация на его оборудование? vCPE?

[unknownameorg]

Авторизация абонентов какая?

 

Нельзя ли сессию подымать на CPE клиента, а его Wi-Fi делать бриджом?

DHCP

 

 

А с чем связано, то что у клиента авторизация на его оборудование? vCPE?

 

ну стильно, модно, молодежно

Изменено 13 января, 2017 пользователем unknownameorg

[pingz]

Авторизация абонентов какая?

 

Нельзя ли сессию подымать на CPE клиента, а его Wi-Fi делать бриджом?

DHCP

 

 

А с чем связано, то что у клиента авторизация на его оборудование? vCPE?

 

ну стильно, модно, молодежно

 

У меня Pppoe и авторизация сделана на самом CPE если абоненту нужен белый IP настраиваем бридж.

 

Не сильно модно и молодежно, но с такими проблемами не встречался.

[rdc]

Вдогонку -

 

- на коммутаторах есть ограничение полосы/pps мультикаста на портах, просто ставится самое минимальное значение и всё.

совсем резать нельзя, убьёте ipv6.

 

- на базах нужно включить изоляцию клиентов.

также можно поставить такую же изоляцию на коммутаторе, где несколько баз

 

- и ещё полезно на абонентских девайсах зашейпить исходящий трафик

[Saab95]

PPPOE ))))) спасибо

 

А чем плохо? Кинули канал с БС до центра, при чем изолированный, и никаких проблем с маками и прочим мусором. Если 4 БС на одной крыши, можно их совместный трафик изолировать, и сам абонент может к любой БС подключиться и работать, да и IP адреса для управления не нужны.

 

ну стильно, модно, молодежно

 

Влан на абонента хорошо работает в проводных сетях, а в радио нет.

 

У меня Pppoe и авторизация сделана на самом CPE если абоненту нужен белый IP настраиваем бридж.

 

А что нельзя поверх PPPoE поднять EoIP туннель, и в нем уже выдать белый IP абоненту? Либо пробросить ему все порты через DMZ на какой-то его внутренний IP? Или настроить OSPF и проанонсировать ему белый IP с порта локально, оставив там же и DHCP серой локалки, то есть абонент может использовать белый IP на своем одном устройстве, а все остальное на серых работает.

[rdc]

А что нельзя поверх PPPoE поднять EoIP туннель, и в нем уже выдать белый IP абоненту?

Это что-то типа диалапа через воип?

[pingz]

Проще подать бридж в основном это юрики. Диагностику проще делать тех. Поддержке.

[sokrat]

А с чем связано, то что у клиента авторизация на его оборудование? vCPE?

 

Только в соседнем топике Saab-у уши притирал, поясню тут.

Клиент с авторизацией на CPE, ну пропил он свои деньги, к нему Вася Пупкин заглянул на чашечку самогона, а у того еще теплится надежда что есть какая-то копеечка на счете и как это..

 

ну стильно, модно, молодежно

 

тут Вася Пупкин корешу и говорит, пошел ты в жопу со своей стильностью, хрен в инет от тебя выйдешь.....

Так и ушел не похмелившись.....

[sokrat]

Проще подать бридж в основном это юрики. Диагностику проще делать тех. Поддержке.

 

тоже на пальцах поясню. Мы когда-то практиковали такие закидоны, ставили у каково-нибудь клиента точку в бридже, а от него несколько его соседей скорешились на это подключение, дабы дешево разбросать на всех, соответственно и коммутатор ставиться тупой( управляшка ничем не будет отличаться, ее бог в грозу не милует), так вот если какой-то порт начнет вые...осы корчить твоей техподдержки работы хоть отбавляй. И в настоящий момент осталось пару-тройку таких стыков, так как штормить начинает, сразу знаем куда копать, а если точка в роутинге, пусть "техподдержка у клиента" сама рулит, он нам не мешает. Просто еще горя не хватил, но не далек тот день и мона услышать подобный вопрос, ну все же работало до настоящего времени, что могло случиться и куда копать? Как можно ГЛЫБЖЕ, при помощи лопаток и каких то матерей.

[jarolde]

Проще подать бридж в основном это юрики. Диагностику проще делать тех. Поддержке.

 

тоже на пальцах поясню. Мы когда-то практиковали такие закидоны, ставили у каково-нибудь клиента точку в бридже, а от него несколько его соседей скорешились на это подключение, дабы дешево разбросать на всех, соответственно и коммутатор ставиться тупой( управляшка ничем не будет отличаться, ее бог в грозу не милует), так вот если какой-то порт начнет вые...осы корчить твоей техподдержки работы хоть отбавляй. И в настоящий момент осталось пару-тройку таких стыков, так как штормить начинает, сразу знаем куда копать, а если точка в роутинге, пусть "техподдержка у клиента" сама рулит, он нам не мешает. Просто еще горя не хватил, но не далек тот день и мона услышать подобный вопрос, ну все же работало до настоящего времени, что могло случиться и куда копать? Как можно ГЛЫБЖЕ, при помощи лопаток и каких то матерей.

У меня есть абоны которые скорешились, СПЕ в бридже, у всех стоят роутеры домашние DHCP. Модно и молодежной и нет проблем и сектор не нагружен и абонов побольше. Трафик шейпится на центральном роутере и торренты днем запрещены.

[sokrat]

У меня есть абоны которые скорешились, СПЕ в бридже, у всех стоят роутеры домашние DHCP. Модно и молодежной и нет проблем и сектор не нагружен и абонов побольше. Трафик шейпится на центральном роутере и торренты днем запрещены.

 

Я только что написал выше, видно не познал вкус прелести лечения гемороя, когда от какого либо клиента мусор полезет. Тут тема такая , как долго работаешь, сколько клиентов в сети, скорость на беспроводного клиента если проводные. А вот как написал режу торренты, меня улыбнуло, а по чЁ так-то? У мя если 3-шка днем, пусть хоть усерится, а ночью 10 пусть хавает.Я догадываюсь что клиентура высказывает по поводу резки торрентов. Далеко не уходи, у тебя еще много вопросов возникнет.

[pingz]

Проще подать бридж в основном это юрики. Диагностику проще делать тех. Поддержке.

 

тоже на пальцах поясню. Мы когда-то практиковали такие закидоны, ставили у каково-нибудь клиента точку в бридже, а от него несколько его соседей скорешились на это подключение, дабы дешево разбросать на всех, соответственно и коммутатор ставиться тупой( управляшка ничем не будет отличаться, ее бог в грозу не милует), так вот если какой-то порт начнет вые...осы корчить твоей техподдержки работы хоть отбавляй. И в настоящий момент осталось пару-тройку таких стыков, так как штормить начинает, сразу знаем куда копать, а если точка в роутинге, пусть "техподдержка у клиента" сама рулит, он нам не мешает. Просто еще горя не хватил, но не далек тот день и мона услышать подобный вопрос, ну все же работало до настоящего времени, что могло случиться и куда копать? Как можно ГЛЫБЖЕ, при помощи лопаток и каких то матерей.

 

 

 

Если даем бридж сразу же режим абонентом на CPE скорость на бридже. Т.к. были случаи когда абонент берет учётку со 100 мб\с.

 

З.Ы. Сеть 800 абонентов на каждую базовку свой влан.

[sokrat]

Если даем бридж сразу же режим абонентом на CPE скорость на бридже. Т.к. были случаи когда абонент берет учётку со 100 мб\с.

 

улыбнуло, когда за бриджем флудит клиент или его оборудование, кто и как енто вылавливает, не говори что все замечательно, просто я с коленок вырос, а случаи со 100 мгб от куда взялось-то? билинг скорость распоряжается На клиентских точках , в роутинге, и тем более на базах ни каких правил, все прозрачно. Сеть то строил, или пришел по приглашению на обслуживание. Это не маловажная деталь в провайдинге. Написать можно что угодно, понять сложно.

[pingz]

Сеть не я строил, кто строил ушел. Раньше базовки были не разнесены по виланам была порнография. Сейчас уже год как все разнес обращения в основном по уровню сигнала т.к сделали отсикание и асл листы на каждой базовой станций.

 

Было пару умных пользователей брали учетки с проводного подключения. С ними отдельный разговор был. Всего было 3 случая в основном абоненты на этой базовке начинали жаловаться на скорость проверялось сравнением списков авторизованных абонентов и списком подключившихся точек к бс( каждая точка подписана абонент не может зайти в настроики точки.)

 

 

З.ы. сеть понимал примерно 1.5 года.

З.з.ы. на свичах пропускается только пппое пакеты.

[Saab95]

Сеть не я строил, кто строил ушел. Раньше базовки были не разнесены по виланам была порнография. Сейчас уже год как все разнес обращения в основном по уровню сигнала т.к сделали отсикание и асл листы на каждой базовой станций.

 

Ну так сразу видно что те, кто строили или ленились, или не понимали, чем занимаются. Т.к. уже лет 5 назад многие знали что такое влан, и разбить сеть на сегменты уже можно было без проблем, даже убнт в то время умело вланы. Опять же асл листы это лишнее, если нужен учет доступа, то есть что бы те, кто не должен, не подключались к сети, то это надо авторизацию по радиусу в радио делать, а не забивать кучу маков на БС.

 

Есть много сетей, где только пароль на подключение к радио и никаких асл, никаких проблем нет, и никто левый к сети не подключается, зато какая простота в настройке всего и подключения абонентов.

 

Было пару умных пользователей брали учетки с проводного подключения. С ними отдельный разговор был. Всего было 3 случая в основном абоненты на этой базовке начинали жаловаться на скорость проверялось сравнением списков авторизованных абонентов и списком подключившихся точек к бс( каждая точка подписана абонент не может зайти в настроики точки.)

 

Если есть кабельная сеть и радио, то их никак нельзя соединять вместе. Для кабельной должен быть свой сервер доступа, для беспроводной свой, и тогда никто кабельную учетку в радио не подключит.

 

З.ы. сеть понимал примерно 1.5 года.

 

Странно, правильную сеть и понимать не надо, т.к. она состоит из простых узлов, которые можно собирать как паззл.

 

З.з.ы. на свичах пропускается только пппое пакеты.

 

Если радио сеть, то трафик от абонентов в центр должен идти через L3 туннель, и все лишнее сразу на БС и должно отсекаться, пропуская только PPPoE пакеты в центр.

[pingz]

Когда были деревья зеленее, а трава выше виланов не было в вебморде. Пару точек есть, еще не вымерли, которым через скрипты накидываются виланы. АЦЛ настроили на БС т.к. Sensitivity Threshold отрабатывается лучше на БС.

 

Чтобы разделить на разные сервисы либо нужно сменить авторизацию абонентов на проводе или на радио, либо ставить параллельно второй билинг UTM5 не самый гибкий можно нарисовать скриптов :D.

 

Сеть это пазл, если ее собирали в течении 5 лет и при этом собирали разные люди раньше было много л2 каналов через магистрала. Было очень много железа с разными паролями при этом некоторые были в 100-300 км.

 

З.Ы. Раньше раз 1-3 месяца сидел в серверной до 12, тьфу тьфу теперь раз в пол года и то в основном электрика приехать поставить генератор.

[Adim]

Если есть кабельная сеть и радио, то их никак нельзя соединять вместе. Для кабельной должен быть свой сервер доступа, для беспроводной свой, и тогда никто кабельную учетку в радио не подключит.

по моему тут хозяин нужен... а не дядя Вася подключил дядю Петю к дяде Игорю

Изменено 17 января, 2017 пользователем Adim