Azamat

это было сделано в первую очередь до обращения в форум. подобных тем полоно в гугле, на различных форумах. Но решения никто так и не нашел судя по репликам.

для того, чтобы появился флуд по tcn - собственно сам ивент tcn должен где то в сети появиться. Реально, проблему дает мультикаст со спуфленного IP адреса, почему то этим страдает зоопарк ТП-Линк/Тенда - в какой-то момент вполне себе правильно настроенная точка доступа начинает флудить на 224.0.0.252 c чужого IP адреса. И очень приличным ппс - порядка 8-10 кппс. И к этому флуду начинают подключаться еще несколько точек доступа того же вендора в этом влане. Тут уж проц на 3750 взлетает до 95 проц.

мак лист есть, но не помогает пробовали. Или что то не то делали, хотя возможности ошибиться не много. deny был from any на мак группы 224.0.0.252 - все равно в процессор падал трафик. Там ТТЛ = 1, может это дело раньше мак-листа в проц валится ?

Подниму старую тему, т.к. тогда не был найден рецепт. Может быть кто-то сможет выручить на новом витке эволюции ? все то же - как убить LLMNR если доступ на cisco 2950T, аггрег. на 3750 ?

На самом деле, когда нужда в 10Гб линках, то пара тыс. долл вряд ли становятся критичными, наверняка лишь малый проц. от доходов конторы. зато вопрос надежности становится как бы слегка более выпуклым. в той же 4924 два б/п - приятная мелочь. А есть что то у циски с 24 медных порта на 1Гб/с и 2 по 10Гб/с ?

Вопрос-то ясен из контекста топика :) самая ли дешевая да/нет ? кстати, позволяет ли перепрошивку как 3750 с IOS S на E ? bgp нужен

а ME-4924 с 2 гнездами под Х2 и 24 sfp гнездами никто не держал в стойле ?

Просьба к Гуру, плз подскажите, что дополнительно можно отжать из сущ. сервера NAT ? На данный момент: 4 интерфейса emX (2 in, 2 out) bgp ipfw nat ipcad текущая нагрузка что-то вроде: netstat -bdh -w1 input (Total) output packets errs idrops bytes packets errs bytes colls drops 269k 0 0 213M 265k 0 213M 0 0 Порядка 1,6Гбит/с in, 260Мбит/c out Один интерфейс на вход - полка на 980Мбит/с, второй порядка 550-600Мбит/с top: CPU 0: 1.6% user, 0.0% nice, 8.1% system, 32.3% interrupt, 58.1% idle CPU 1: 0.0% user, 0.0% nice, 3.2% system, 50.8% interrupt, 46.0% idle CPU 2: 1.6% user, 0.0% nice, 27.0% system, 17.5% interrupt, 54.0% idle CPU 3: 0.0% user, 0.0% nice, 31.7% system, 9.5% interrupt, 58.7% idle Шейпер выведен на мост. Сможет ли такая машина отнатить гигабита 4-5 при замене сетевых на 10Гб/с ? OS: 8.2-STABLE-201105 amd64

А что есть более нормальное, чем 576 (igb) - в качестве сетевых карт ?

я в начале темы сразу приписал : OS: FB 8.2 AMD-64

Уважаемые коллеги, просьба подсказать по теме, кто знает. Есть сервер, HP PL-160 G5 (CPU: Intel Xeon 5472 @ 3.00GHz, RAM 4G) OS: FB 8.2 AMD-64 на борту две двухголовые платы Intel PT (em0-3) emX: <Intel® PRO/1000 Network Connection 7.2.3> Сервер выполняет роль фильтрующего моста. платы собраны в два моста br0-1 br0: em0-1 br1: em2-3 при общем вход. трафике в 1,5Гбит и исход. 380-400Мбит (считается ли, что общий трафик через машину 1,5G x 2 + 380M x 2 = 3.7Gb ?) появляются небольшие потери на em3. На em3 в этот момент вход. трафик 92Мбайт/с, исход. 24-25Мбайт/с и порядка 78-80Кппс. dummynet в любой момент времени: 0 root -68 0 0K 224K CPU0 0 180:58 0.00% {dummynet} Общая загрузка машины порядка 45-55% на момент появления потерь на em3 input (em3) output packets errs idrops bytes packets errs bytes colls drops 79k 0 0 89M 54k 0 17M 0 0 81k 23 0 91M 53k 0 17M 0 0 Трафик через em3 не растет выше 95-97Мбайт/с. Очень надеюсь с помощью сообщества попробовать повысить утилизацию по em3 еще на 15-20Мбайт - до 116Мбайт/с, вроде есть еще ресурсы сервера. При этом заметил странное поведение сервера, при смене net.isr.direct: 0 -> 1 net.isr.direct_force: 0 -> 1 и наоборот ничего не происходит в топе - все всегда выглядит примерно так (не появляются процессы разбора очередей netisr): 0 root -68 0 0K 224K CPU3 3 181:46 45.41% {em3 taskq} 0 root -68 0 0K 224K - 2 185:13 41.60% {em2 taskq} 0 root -68 0 0K 224K CPU1 1 186:10 36.38% {em1 taskq} 0 root -68 0 0K 224K - 0 180:18 34.42% {em0 taskq} На другой машине (i7-3770) при изменении с 1 -> 0 изменился внешний вид топа (нагрузка сползла с em0 taskq на {swi1: netisr 3/2}) 12 root -44 - 0K 272K WAIT 2 881:28 46.97% {swi1: netisr 3} 0 root -68 0 0K 176K - 3 832:10 31.74% {em3 taskq} 0 root -68 0 0K 176K - 2 753:37 26.61% {em2 taskq} 12 root -44 - 0K 272K WAIT 1 379:46 25.44% {swi1: netisr 2} 0 root -68 0 0K 176K - 0 861:17 9.86% {em0 taskq} 0 root -68 0 0K 176K - 1 341:18 2.49% {em1 taskq} loader.conf одинаковые в обоих случаях (Xeon и i7-3770) hw.em.max_interrupt_rate=32000 kern.ipc.nmbclusters=65536 hw.em.rxd=4096 hw.em.txd=4096 net.inet.tcp.tcbhashsize=16384 net.isr.maxthreads=4 net.isr.defaultqlimit=4096 Просьба подсказать, какие именно рычаги еще можно пошевелить, чтобы дожать коробку ?

Использовали порядка 150 Ruby L2+ 2226C, сейчас заменили на c2950T Mgt отваливался от любого броадкаст штормика, хотя и был в 5-6 выделенных районных вланах управления. По нашей просьбе в свое время Руби включили в прошивку функционал перезагрузки при потере связи с задаваемым вышестоящим узлом (по icmp), но это дело не работало, если отваливался mgmt. Сейчас еще штук 25 в сети есть в разных местах, где не нужен мультикаст. Но мы в целом благодарны Руби, новые свичи L2+ 4 года назад по 200 долл за каждый - нас это выручило.

уважаемые коллеги, если кто то сталкивался с подобной проблемой, плз подскажите что делать. 1. Есть поток мультикаст (мегабит 400), приземляется как source на access порт в 10 влан на c4948E. Настроен ip pim sparse-mode, на int vlan 10 назначен IP адрес, который есть же рандеву точка на этой же 4948. (10 влан = мультикаст влан в нашей сети) 2. Транком к этой 4948 подключен 3750, на нем настроен mvr, mvr vlan 10, набор mvr group, mvr mode dynamic, на транковом порту в сторону 4948 назначено mvr type source. 3. Транком к 3750 подключен с2950Т, на обоих транках (и 3750 и 2950Т) назначено mvr type source, на 2950Т тоже включен весь необходимый набор мвр. mvr vlan 10. На 2950Т еще нет ни одного порта в режиме mvr receiver. Собственно, проблема такая: Обраружилось, что в транковый порт с 3750 ---> 2950Т летит 100 мбит (свичи тоже подключены друг к другу на 100Мбит/с). Пропали пинги до интерфейса управления на 2950Т. SPAN на 3750 показал, что в транке все 100 мбит - наш мультикаст поток - сколько влезло судя по всему в физический линк. Вопрос, как мог взяться поток в 100 мбит, если sh mvr group не показывает вообще запрошенных мультикаст групп с этого порта (3750-2950Т) со стороны 2950Т? debug ip igmp не показал какой либо активности (что естественно) со стороны 2950Т, некому там проявлять активность по igmp. Просто летит поток, потом может прекратиться вдруг, потом снова начаться. Подскажите, как продиагностировать или даже устранить проблему ?

раньше вместо c4948 стояла 3750 с настроенным mvr и она же была ip igmp snoop querer - все работало нормально. При том что source и mvr вланы были одним и тем же. Даже сейчас на 3750 приходят более одной с2950Т в которых есть клиенты IPTV и все работает вполне нормально, льется только запрошенный multicast. На сабжевой c2950T все те же самые настройки, как и на здоровых свичах. Но в ее транк прет незапрошенный мультикаст. Завтра попробуем ее заменить, может там что то в силиконе заболело.

уважаемые коллеги, если кто то сталкивался с подобной проблемой, плз подскажите что делать. 1. Есть поток мультикаст (мегабит 400), приземляется как source на access порт в 10 влан на c4948E. Настроен ip pim sparse-mode, на int vlan 10 назначен IP адрес, который есть же рандеву точка на этой же 4948. (10 влан = мультикаст влан в нашей сети) 2. Транком к этой 4948 подключен 3750, на нем настроен mvr, mvr vlan 10, набор mvr group, mvr mode dynamic, на транковом порту в сторону 4948 назначено mvr type source. 3. Транком к 3750 подключен с2950Т, на обоих транках (и 3750 и 2950Т) назначено mvr type source, на 2950Т тоже включен весь необходимый набор мвр. mvr vlan 10. На 2950Т еще нет ни одного порта в режиме mvr receiver. Собственно, проблема такая: Обраружилось, что в транковый порт с 3750 ---> 2950Т летит 100 мбит (свичи тоже подключены друг к другу на 100Мбит/с). Пропали пинги до интерфейса управления на 2950Т. SPAN на 3750 показал, что в транке все 100 мбит - наш мультикаст поток - сколько влезло судя по всему в физический линк. Вопрос, как мог взяться поток в 100 мбит, если sh mvr group не показывает вообще запрошенных мультикаст групп с этого порта (3750-2950Т) со стороны 2950Т? debug ip igmp не показал какой либо активности (что естественно) со стороны 2950Т, некому там проявлять активность по igmp. Просто летит поток, потом может прекратиться вдруг, потом снова начаться. На приложенном графике видно поведение. Подскажите, как продиагностировать или даже устранить проблему ?

Плз подскажите, возможно ли организовать запись тек. канала на внешнюю флешку, вставленную в приставку ? На пульте кнопка Запись есть, а фунционала в приставке нет.

А если давать возможность брать в течение месяца (при неоплаченной по предоплате абонплате) до 10 произвольных дней доступа с выбором из личного кабинета ? А если таки не оплатили в конце концов абонплату до конца мес - в след. месяц отключение наглухо. Прям таких нищебродов-то не так много ? а жест со стороны провайдера может быть и оценят ?

PIM зачем был бы в этой схеме ? Как таковой маршрутизации multicast в нашем случае не было, весь поток пока льется в один MVR влан, который и доводится до свичей доступа. Так надеялись, что и дальше будет так же с новой железкой в ядре. Где то в доках на Cisco наткнулся, что если не нужна маршрутизация мультикаста в клиентские вланы (наш случай), то вроде как достаточно на ядре организовать следующее: If the IP multicast traffic in a VLAN only needs to be layer 2 switched, an IP multicast router is not required. Without an IP multicast router on the VLAN, you must configure the Cisco Catalyst 6500 Series and Cisco Catalyst 4948 Switches to act as the IGMP querier so that the switch can send queries. Даже пример там приведен: The following example defines an IGMP query source address within VLAN 585, and enables and verifies the IGMP querier function on the VLAN: Router# interface vlan 585 Router(config-if)# ip address 10.22.142.242 255.255.255.224 Router(config-if)# exit Router(config)# ip igmp snooping querier Router(config)# no ip igmp snooping vlan 1 querier Router(config)# ip igmp snooping vlan 585 querier address 10.22.142.242 Видимо надо создать int vlan 10 (тот, который mvr) и на него навесить какой то IP адрес, а потом назначить в качестве querier в этот влан. Но, какие именно настройки надо использовать на транковом порту с4948 в сторону следующей с2970 ? со стороны с2970 будет mvr type source ? Не будет ли в сторону каждой с2970 (штук 15) лететь весь multicast stream, а уже с них раздаваться по свичам доступа by mvr ? В понедельник буду пробовать любые предложенные варианты.

Плз подскажите, кто сталкивался, можно ли решить такую задачу: Сеть построена на cisco свичах, в центре 3750, дальше 2970, на доступе 2950 Везде включен mvr, соотв. провешен mvr vlan, на 3750 source для IPTV потока. Все работает замечательно. Но, кол-во маков выросло за пределы 3750 платформы, купили 4948-E. Все в ней на вырост, кроме того, что нет mvr, только классический PIM Каким образом теперь нужно организовывать передачу multicast-а до абонентов ? В целом порядка 100 абон. вланов. Если на 4948 в один из портов (access в mvr влане) вливать общий мультикаст, дальше подскажите какой набор команд бы помог ? Например, на 4948 к порту Gi1/23 (access в 10 vlan, для оставшейся сети mvr vlan 10) будет подключен multicast поток. На порт Gi 1/1 подключена c2970 транком. На 2970 транковый порт mvr type source. Дальше к Gi 0/1 на 2970 подключен домовой свич 2950, на обоих концах транка mvr type source. У абонента на порту mvr type receiver Что прописать на 4948 в общий конфиг и конфиг порта (Gi1/1) чтобы все работало как и сейчас на 3750 + mvr ? Заранее спасибо и все такое.

Доброго дня, коллеги. Имеем несколько IP камер GeoVision. Как то не получается загнать поток с них в мультикаст. Вещают мин 10 и отваливаются. Есть ли на примете работающие варианты приличных камер на 1,3Мп, 5Мп, поток с которых можно было бы влить в мультикаст группы ? Заранее спасибо и все такое.

если там на плату 8Гб/с то значит ли это, что оверсаб будет 1:6 ? Ибо если оверсаб 1:8 то с платы при любом раскладе не прилетит больше 6Гб/с

оттуда взято: Purposefully designed for the wiring closet with 8:1 oversubscription, these 10/100/1000 interface modules cannot be equipped with distributed forwarding cards Fabric connection-These modules connect to the switch fabric through one 8-Gbps connection and the 32-Gbps shared bus 8 Gbps фулл дуплекс или например 6 на 2 ? Кстати вопрос, а в рамках группы из 8 портов сами порты обмениваются честным гигабитом ?

Написано 32 Gb shared bus, что это означает ? например 24Гб вверх, 8 вниз со всех портов одновременно ?

1Гб на 8 портов разве не на 6148 плате ? недавно было в обсуждении WS-X6148-GE-TX - лучше не ставить - там суммарно 1Г на 8 портов )) +1 замените на 6516

Если набить сервер DVB картами, сделать портал с флэш плейером и выпустить в открытый доступ. Честно говоря, вещаем легально мультикастом, платим немало за контент. Топик скорее, как бороться с этим явлением. Хотя бы получить предписание на закрытие доступа к подобным ресурсам для своих абонентов.