Iskatel_S

Нашёл типичное молчачее устройство - древний VoIP-шлюз Linksys SPA2102, на ethernet-порту у него по умолчанию 192.168.0.1, если стоит какой-то другой ip и это не знать - то вычислить его при помощи wireshark невозможно, от железки не будет приходит ничего. Вообще не понял как с этим работать

Так, вывод, любое устройство в Ethernet может молчать и его MAC-адрес будет при этом пропадать сиз mac-таблиц коммутаторов, но тем не менее к устройству можно будет обратиться, так как оно обязано ответить на броадкаст. Тогда вопрос, каким инструментом можно воспользоваться (желательно под Windows), чтобы отправить броадкаст и выловить трафик в Wireshark?

Это кстати удобно, когда тебе принесли несброшенный девайс, который работал в чужой сети, ты открываешь Wireshark и узнаёшь IP девайса. Я почему и думал, что это стандарт.

Всем привет! Есть у меня подозрение, что я неправильно понимаю один из базовых сетевых принципов потому, что когда-то неверно понял прочитанное. Вот есть стек протоколов TCP/IP, в нём есть протоколы: TCP, UDP, ICMP и т. д., и есть ARP - протокол 3 уровня, необходимый для сопоставления MAC-адреса IP-адресу, мне казалось, что должен существовать аналогичный протокол 2 уровня, необходимый для сопоставления MAC-адресов портам управляемого свитча, ну то есть, любое сетевое устройство, даже если оно не обменивается в настоящее время ни с кем сетевым трафиком обязано отправлять в сеть через какие-то промежутки времени пакеты, содержащие информацию "я - жив", потому что иначе его MAC-адрес исчезнет из сети, правильно? Вот мне хочется понять как это работает не в общем, а в конкретном понимании. Вот есть формат кадра "Ethernet II", содержащий MAC источника, MAC адресата, тег IEEE 802.1Q (если есть), сигнатуру, вложенный пакет 3 уровня и код типа этого самого пакета (EtherType), лезем в статью https://en.wikipedia.org/wiki/EtherType#Values и смотрим какие EtherType бывают: ARP, RARP, IPv4, IPv6, PPPoE, MPLS, ещё есть протоколы обнаружения от Cisco, MikroTik и прочих производителей, но я так понимаю, что если устройство у нас - самое обычное, например китайская IP-камера, не использующая IPv6 то источать она будет только 2 вида трафика из всего этого многообразия: ARP и IPv4. Так собственно вопрос, в рамках какого протокола будут отправляться пакеты, содержащие информацию "я - жив", ARP? Или вот пример. С коммутаторами D-Link все работали наверное, сталкивались наверное с ситуацией когда к коммутатору подключено что-нибудь, другой коммутатор, например, на котором вообще нет трафика, и мак этого коммутатора в "show fdb" будет не виден до тех пор пока ты этот коммутатор не начнёшь пинговать. Чем это объясняется?

Объясните, пожалуйста, как работает NAT в cisco, ну скажем на примере 7301. Пытаюсь понять по аналогии работы NAT в Linux и MikroTik, где есть правила типа: SNAT, DNAT, MASQUERADE и NETMAP, в cisco как я понял эти термины не используются, вместо них используется nat inside, nat outside и вот тут становится всё непонятно, как например сделать простейший SNAT для всех пакетов, уходящих через интерфейс Vlan50, имеющий IP 83.83.83.83 из подсети 192.168.0.0/24? И что за 4 столбца выводит команда "show ip nat translations"?

Аналогичная ситуация. Есть BDCOM P3310 и GR-EP-ONU1-1 (оба сброшены в дефолт), никаких настроек не делаю, кроме "no shutdown" на Epon-портах P3310. Порты тупо не поднимаются, счётчик пакетов говорит, что пакеты ходят от базовой станции к клиентской, но в обратную сторону нет, на GR-EP-ONU1-1 тоже счётчик TX в 0 стоит. Что не так? Кстати почему-то на GR-EP-ONU1-1 невозможно зайти по telnet по admin-admin, пишет что неверный пароль, хотя в web-интерфейс с ним пускает.

А ещё вопрос, на Juniper MX10003 тоже есть vrf, только там они называются logical-system. Как посмотреть какие интерфейсы и вланы в какой logical-system входят, что-то не гуглится?

Cisco 7301 не загружается В rommon войти можно, флешку видит, но после команды rommon 2 > boot slot0:c7301-adventerprisek9-mz.124-24.T8.bin ничего не происходит, как будто циска виснет. Другие флешки пробовал. Что, бобик сдох? Кстати в инете можно найти множество инстркуций как в rommon загрузить на флешку IOS по tftp, но они касаются серий 2xxx-3xxx, в 7301 в rommon даже команды такой tftpndl нет, то есть тут нет такой функции?

Нашёл ответ. Сначала полез гуглить про редистрибуцию маршрутов и ничего не нашёл, потом решил глянуть полный конфиг циски и увидел, что там есть vrf, и это при том, что "show vrf" ничего не показывает.

Редистрибуция OSPF в BGP происходит я так понимаю.

Вопрос простой, но прошу отнестись с пониманием, я - чайник в сетях. Хочу разобраться какой именно из маршрутизаторов сети анонсирует маршрут, ну скажем 172.21.144.0/20. Есть Cisco 7301 , на нём следующее: ??????>show ip route 172.21.144.0 Routing entry for 172.21.144.0/20 Known via "bgp ?????", distance 200, metric 20, type internal Last update from 172.31.5.186 7w0d ago Routing Descriptor Blocks: * 172.31.5.186, from 172.31.5.186, 7w0d ago Route metric is 20, traffic share count is 1 AS Hops 0 172.31.5.186 - это Juniper QFX. Иду на него, там следующее: ??????> show route table vrf-???????.inet.0 172.21.144.0 ???????.inet.0: 303 destinations, 303 routes (303 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 172.21.144.0/20 *[OSPF/150] 13w3d 13:21:53, metric 20, tag 0 > to 172.31.5.198 via irb.3018 Но 172.31.5.198 это - исходный Cisco 7301. Что же, они его друг другу анонсируют? А откуда тогда вообще этот маршрут изначально прилетает, как это понять?

Я пытаюсь посмотреть таблицу MACов и ARP-таблицу командами "show arp" и "show mac-address-table" и мне эти команды выдают подозрительно мало, а по идее должны выдавать простыню длиной в пять этажей.

Ох уж эти русскоязычные форумы. Вроде ж общаемся как родном языке, а понимаем как попало. Где я спрашивал про софт отдельно от железа, где? Меня интересует кто из вендоров, кроме cisco, использует микроядро, или мне быстрее вендорам написать чем знающих людей спрашивать?

Пока это информация для общего развития, но она может понадобиться, если в будущем придётся заниматься закупками.

https://ru.wikipedia.org/wiki/Микроядро примеры внизу статьи, там присутствует QNX, использующая в cisco

Короче, в каких ещё железках enterprise-уровня кроме цисок используется микроядро?

Смотрю характеристики маршрутизаторов и вижу, что нигде не пишут операционную систему, хотелось бы понять какие сделаны на Linux, а какие на QNX (ну либо любая другая ОС с микроядром). Микроядро ведь никогда не зависает практически.

Да, и у меня появилась ещё одна версия. Прочитал недавно статью как правильно нужно настраивать шейпинг на микротике https://habrahabr.ru/post/188718/ Вобщем у нас всё не так как в статье: дерева очередей в Queue tree нет, наличествуют очереди в Simple Queue и всё, причём очереди типа SFQ.

Ну все сисадмины когда-то были практикантами. По пингам с ноутбука... то есть вы хотите сказать, что простой пинг - более подходящий инструмент для тестирования чем ресурс speedtest.net и btest? И какой пинг в идеале должен быть? Я конечно да, подозреваю что я как раз неправильно средствами измерения пользуюсь. Опять про возможно-неправильное пользование средствами измерения. Логика такая: Петли порождают broadcast-шторм, так? broadcast-трафик - это в основном ARP-запросы и DHCP-запросы, так? DHCP работает по UDP-протоколу, ARP работает по ARP-протоколу, а TCP-протокол изначально чист от broadcast-трафика. create access_profile ip tcp dst_port_mask 0xFFFF profile_id 1 config access_profile profile_id 1 add access_id 1 ip tcp dst_port 135 port 1-9 deny config access_profile profile_id 1 add access_id 2 ip tcp dst_port 137 port 1-9 deny config access_profile profile_id 1 add access_id 3 ip tcp dst_port 138 port 1-9 deny config access_profile profile_id 1 add access_id 4 ip tcp dst_port 139 port 1-9 deny config access_profile profile_id 1 add access_id 5 ip tcp dst_port 445 port 1-9 deny create access_profile ip udp dst_port_mask 0xFFFF profile_id 2 config access_profile profile_id 2 add access_id 1 ip udp dst_port 135 port 1-9 deny config access_profile profile_id 2 add access_id 2 ip udp dst_port 137 port 1-9 deny config access_profile profile_id 2 add access_id 3 ip udp dst_port 138 port 1-9 deny config access_profile profile_id 2 add access_id 4 ip udp dst_port 139 port 1-9 deny config access_profile profile_id 2 add access_id 5 ip udp dst_port 445 port 1-9 deny create access_profile ip udp src_port_mask 0xffff profile_id 3 config access_profile profile_id 3 add access_id 1 ip udp src_port 67 port 1-9 deny create access_profile ethernet ethernet_type profile_id 4 config access_profile profile_id 4 add access_id 1 ethernet ethernet_type 0x86DD port 1-9 deny Мой предшественик делал так: create cpu_access_profile ip udp src_port_mask 0xffff profile_id 1 config cpu_access_profile profile_id 1 add access_id auto_assign ip udp src_port 67 port 1-9 deny

Я уже слышал это мнение и сам прекрасно понимаю, что 1влан-1пользователь - это идеальная схема. Но вы же понимаете, что перейти на эту схему просто так нельзя, нужно приобретать различное ПО: во-первых нужно ПО для автоматического управления свитчами, во-вторых нужна интеграция этого ПО с биллингом, чтобы как только оператор заводит/изменяет в биллинге пользователя - для него сразу же прописывался влан. Вполне может быть так, что систему биллинга вообще придётся менять, а это значит - перенос абонентов в другой биллинг, заказ ПО, стоимость такой модернизации может быть до полумиллиона рублей.

Вы написали только кто микротик главный подозреваемый. Что в нём смотреть надо? Процессоры загружены на 5-10%, в логе ничего подозрительного нет. Что ещё смотреть? Эти пару скриптов заколебёшся писать. Я пока застопорился на том как в bash-скрипте реализовать вход по телнету, нужно через секундрую паузу передать пароль ведь.

По настройкам коммутаторов я как раз ломал голову весь этот месяц. Коммутаторы действительно настроены "кто в лес кто по дрова". Составил политику настройки коммутаторов которая как раз описывает, что должен быть зарезан межабонентский трафик, должны быть включены trafic_segmentation и loop_detect и правилами acl должны блокироваться: левые dhcp-сервера, samba-трафик и ipv6-трафик. Проблема в том, что у нас отсутствует программное обеспечение, которым можно было бы массово опросить все коммутаторы с целью проверить наличие некоторых настроек, собираюсь в будущем внедрить NOC project или D-view, а так всего у нас длинков - 265, заходить телнетом на каждый затрахаешься. И ещё. Я же написал, что снимал дамп программой wireshark в одном из проблемных домов в вечернее время. Если допустим где-то не включён loopdetect и там как раз образована петля, я бы wireshark-ом увидел наличие широковещательного шторма. А тут я вижу, что у меня 99% трафика - tcp-трафик, граф в первом посте приложен. Возможно конечно, что я как-то не так меряю, я же сказал что у меня пока опыта мало. CCR-1036 Самая тупая. По MAC-адресу. Не угадал. Часть сети разделена влан на дом, часть сети - влан на квартал, есть сегменты где влан на 3-5 кварталов. Всего абонентских подсетей - 68.

Коллеги выручайте, месяц уже бьюсь с проблемой, а она всё запутаннее и запутанее. Вобщем есть сеть провайдерская, абонентов на 1200 и я эту сеть админю, опыта в таком деле ранее не было. Примерную схему сети выкладываю, всё практически построено на управляемых коммутаторах D-Link: Месяц назад была обнаружена проблема, что время от времени лагает сеть, абоненты жалуются на падения скорости и что тормозит воспроизведение мультимедиа-контента причём наблюдается такое в основном по вечерам. Ищу причину. Логика рассуждений следующая: проблемы могут быть на всех участках по которым трафик идёт от серверов Интернета к абонентам: на серверах, на канале с вышестоящим провайдером, на микротике, на длинках, в оптике и у самого абонента. Сервера и оборудование абонента отметаются потому как тестировалась связь и на другом провайдере и с заведомо-исправным оборудованием. Оптика тоже отметается, несмотря на том что присутсвуют ошибки на оптических портах длинков, потому как тестирование производилось также в офисе, где подключение чисто по меди. При проверке скорости при помощи сервиса speedtest.net на тестовой учётной записи для которой установлены параметры шейпирования входящего и исходящего трафика - 100 Мбит/с показывает входящую скорость 15-20 Мбит/с, исходящую 85-88 Мбит/с. При этом кривая, которую выдаёт шейпер микротика получается заборчикообразная, тоже выкладываю: Долгое время я грешил на сеть. Всего длинков 265, системы централизованного управления нет, вполне возможно что где-то кривые настройки или перегруз. Однако смотрел загрузку cpu коммутаторов в вечернее время на домах с которых идут заявки - показывает 20%, на опорных коммутаторах - то же самое. Потом было подозрение на то, что по сети гуляет слишком много мусорного трафика, порождённого например широковещательным штормом или неправильно настроенным IGMP snooping. Ходил в вечернее время на один из проблемных домов, подключал к коммутатору ноутбук, воспроизводил на на нём мультимедиа-контент, при этом снимал дамп в wireshark. Анализ дампа показал, что мусора нет, большинство трафика - это tcp-трафик. Кривую из wireshark выкладываю, она тоже заборчикообразная. ПРиоретизации трафика кстати в сети нет. А вот HP A5500-24G-SFP EI - единственное устройство, на котором я показания не снимал, потому что просто не знаю как это делается. Но по нему есть отдельная тема от меня http://forum.nag.ru/forum/index.php?showtopic=120438. Получается, что проблема либо в Микротике, либо в канале с вышестоящим провайдером, который кстати утверждает что проблем нет, либо всё-таки что-то в сети, но выводы мои были неверными.

В том-то и дело, что ни чем, но давно уже ломаю себе голову чем можно мониторить нагрузку.

Что-что посмотреть?