vcvitaly

Здравствуйте! Толком в поиске ничего не нашел. Сталкивались ли вы с сообщениями в стиле "We're sorry... but your computer or network may be sending automated queries" в поиске гугл или яндекс у ваших клиентов, которые сидят за NAT? Периодически сталкиваемся с этим, до сих пор не понятен механизм этих блокировок и как определить причину. Если есть возможность, то просто выдаем реальный айпи, но хотелось бы найти другое решение. На один сервер NAT повешено в районе тысячи-полторы клиентов, у некоторых из них реалки, точные цифры назвать не могу (работающих в любой момент времени соответственно +- несколько сотен). Если присутствующие не сталкивались с такой проблемой, то как у вас построена сеть?

Я писал там, никто по теме не ответил.

Здравствуйте! Есть проблема. Периодически обращаются клиенты с потерями. Довольно жесткими потерями - до 50%, проблема почти всегда наблюдается вечером. Включен impb со следующими настройками: config address_binding dhcp_snoop max_entry ports 1 limit no_limit config address_binding ip_mac ports 1 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 2 limit no_limit config address_binding ip_mac ports 2 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 3 limit no_limit config address_binding ip_mac ports 3 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 4 limit no_limit config address_binding ip_mac ports 4 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 5 limit no_limit config address_binding ip_mac ports 5 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 6 limit no_limit config address_binding ip_mac ports 6 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 7 limit no_limit config address_binding ip_mac ports 7 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 8 limit no_limit config address_binding ip_mac ports 8 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 9 limit no_limit config address_binding ip_mac ports 9 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 10 limit no_limit config address_binding ip_mac ports 10 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 11 limit no_limit config address_binding ip_mac ports 11 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 12 limit no_limit config address_binding ip_mac ports 12 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 13 limit no_limit config address_binding ip_mac ports 13 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 14 limit no_limit config address_binding ip_mac ports 14 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 15 limit no_limit config address_binding ip_mac ports 15 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 16 limit no_limit config address_binding ip_mac ports 16 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 17 limit no_limit config address_binding ip_mac ports 17 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 18 limit no_limit config address_binding ip_mac ports 18 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 19 limit no_limit config address_binding ip_mac ports 19 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 20 limit no_limit config address_binding ip_mac ports 20 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 21 limit no_limit config address_binding ip_mac ports 21 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 22 limit no_limit config address_binding ip_mac ports 22 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 23 limit no_limit config address_binding ip_mac ports 23 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 24 limit no_limit config address_binding ip_mac ports 24 stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 25 limit no_limit config address_binding dhcp_snoop max_entry ports 26 limit no_limit config address_binding ip_mac ports 1-24 protocol ipv4 config address_binding ip_mac ports 1-4,6-24 arp_inspection loose config address_binding ip_mac ports 1-24 allow_zeroip enable enable address_binding dhcp_snoop enable address_binding trap_log disable address_binding dhcp_snoop ipv6 disable address_binding nd_snoop config address_binding dhcp_snoop max_entry ports 1-26 limit no_limit ipv6 config address_binding nd_snoop ports 1-26 max_entry no_limit Если выключить arp_inspection на порту - все отлично, потерь нет, работает идеально. Потери наблюдаются в режимах strict и loose. ip_inspection отключено. При потерях, как правило, на порту увеличивается счетчик дропов. Что делать, что проверить? Кто-то сталкивался с такой проблемой? Пакеты теряются пачками по 10-15, иногда больше. При этом mac-адрес в fdb остается в состоянии forward. Проблема наблюдается только на ревизии C1, которую, похоже, создавали в аду. Прошивку хуже, чем под эту ревизию, даже намеренно тяжело сделать. Пока что решаем проблемы у клиентов банальным отключением address_binding. Наблюдается на версиях прошивок: 4.34.B013 4.35.B016 4.36.B005 На 4.33, насколько помню, не наблюдалось такого, но могу ошибаться. Мог бы проверить, но пока что не хочется экспериментировать на клиентах.

Нет, я заходил на некоторые роутеры - у них довольно большой аптайм. Сообщение появляется одновременно на всех портах, за которыми есть роутеры. И по несколько раз в сутки. Вы наблюдали такое при перезагрузке?

Коллеги, имеем много подобных записей в логах на D-Link 3200-26 C1, прошивка 4.34 B013, и все более ранние прошивки. 11368 2013-06-06 08:01:26 WARN(4) Unauthenticated IP-MAC address and discarded by IMPB(IP:<192.168.0.1>, MAC:<BC-F6-85-17-93-33>, Port<10>) За такими портами находятся роутеры D-Link, старых ревизий. Была, кажется, буквально пара случаев когда за портом был tp-link. Кто-нибудь сталкивался? Как боролись? D-Link рекомендует прошивать роутеры, но то ли я плохо смотрел, то ли на проблемных роутерах уже стоит последняя прошивка с ftp длинка.

Да может, шлет detected и recover trap.

Может кто-нибудь сталкивался, подскажет.... На доступе des-3028. Используем опцию 82 плюс привязки по портам, и прочувствовали на полную проблемы с хешами маков. В виланах одновременно находится около 50 человек, совпадение хешей встречается не редко. С получением айпи у флудящих маков все ок, айпи получают, создается imp привязка, но поскольку мака на порту нет, то дальше imp никуда не выпускает. Проблема пока что на временном уровне решается либо сменой мака у абонента, либо, что проще было бы для нас - добавлением перманент записи на порту. Но после добавления перманента, он очень скоро пропадает с порта, судя по всему либо после падения и появляения линка, либо еще чтолибо такое, так как меньше чем через сутки его уже нет. Но по запросу show static fdb добавленный перманент есть. Если удалить и создать заново - снова есть на порту до определенного времени. Кто нибудь знает почему так? Или может сами попытки объеденить imp и static fdb ошибочны... На форуме длинка их суппорт не отвечает уже третий день. Настройки addrbind такие enable address_binding dhcp_snoop enable address_binding trap_log config address_binding ip_mac ports 1-24 state enable strict allow_zeroip enable forward_dhcppkt enable config address_binding ip_mac ports 1-24 mode arp stop_learning_threshold 5 config address_binding dhcp_snoop max_entry ports 1-28 limit 5 config address_binding ip_mac ports 25-28 state disable allow_zeroip disable forward_dhcppkt enable config address_binding ip_mac ports 25-28 mode arp stop_learning_threshold 500