motorhunter

Добрый день. Ситуация такая - есть бордер Cisco 3845, подключенный портом Gi0/1 к конвертеру аплинка. И периодически стал гаснуть порт. Иногда раз в неделю, иногда несколько раз в день. Меняли патчкорд, ни к чему не привело. Маршрутизатор говорит при потере связи: GigabitEthernet0/1 is down, line protocol is down Помогает выполнение shutdown/no shutdown на интерфейсе. Подскажите, куда копать, где искать источник проблемы?

Спасибо за ответы, буду настраивать терминацию на квартальных. Если будут проблемы с ними - тогда переведу на Cisco, Zyxel останутся только как L2.

IOS - 12.2(44)SE1 А без снупинга невозможно никак настроить? Есть же там dhcp smart-relay, для чего тогда он?

Добрый день. Не получается разобраться с DHCP relay на коммутаторе Cisco 3750G. До него использовался Zyxel, там всё просто - опция включается глобально сразу для всех VLAN, и формат информации, добавляемой в запрос, следующий: 1 байт: Slot ID (=0 всегда); 1 байт: Port ID (номер порта, с которого прилетел запрос); 2 байта: VLAN ID (номер VLAN, которой принадлежит порт); до 32-х байт: имя системы-релея (задается в настройках). Пока удалось добиться только того, что пакет пересылается на сервер DHCP, однако сервер пишет в лог "no free leases", что означает, скорей всего, что не найдено соответствие по match. Нигде не могу найти, каков формат добавляемой информации у Cisco. Может быть, она как-то настраивается? Возможно ли настроить так же, как у Zyxel, чтобы не переделывать конфиг DHCP (важны только первые 4 байта с номером порта и VLAN)? И еще - возможно ли включить DHCP relay сразу для всех VLAN и портов, глобально? Или нужно настраивать обязательно для каждого в отдельности?

Доброго времени суток. Есть сеть, состоящая из центрального коммутатора Cisco 3750G и 12 квартальных коммутаторов L3 Zyxel ES-4124, от них уже линии идут на дома. Изначально сеть была настроена так, что все физики находились в одном сегменте /16 (и, соответственно, в одном VLANе), сейчас есть потребность разделить его. Планирую сделать VLAN на дом (группу домов). В связи с этим хочу спросить, как будет идеологически правильней это реализовать: заводить отдельные VLANы на квартальных коммутаторах (по одному на порт), терминировать на них, а дальше уже гнать трафик через L3, либо же все VLANы завести и терминировать на Cisco в центре? Пробовал и то, и другое - работает, отличий особых вроде бы не заметил... Что можете посоветовать?

wanderer_from, спасибо за ответ. Раз у Вас всё так качественно и хорошо, позволю себе еще один вопрос - допустим, позвонил абонент в два часа ночи и в результате беседы с самым адекватным человеком из ТП выяснилось, что проблема у не у него, а на Вашем оборудовании где-то, то как быстро к нему выдвинутся "полупьяные монтажники"? Сразу же ночью или будет ждать утра, а потом еще и своей очереди?

Понимаю, что единого решения нет. Потому и спрашиваю, чтобы узнать, как это организовано у других, определиться и выбрать наиболее приемлемый путь.

Доброго дня. Перед нами стоит задача - организовать работу технической поддержки. В настоящий момент дела обстоят так: ТП работает с 8 до 21 часа в будние дни и с 10 до 16 в выходные. Ночного дежурства нет. В офисе сидят 1-2 человека, достаточно грамотных для того, чтобы отсеять большую часть ненужных заявок (вирусы, криво настроенные роутеры или файрволы, отключенная локалка и т.п.). Двое-трое ездят по завякам (в основном замена/ребут оборудования, переобжим/починка проводов, платное лечение вирусов). При этом есть жалобы от абонентов (всего абонентов порядка 2500) и просьбы организовать круглосуточную поддержку. Хочется узнать, как обстоят дела у коллег-провайдеров с этим делом. Конкретно интересуют такие моменты: 1. Кол-во абонентов (физики + юрики), если не секрет. 2. Кол-во сотрудников ТП (сколько в офисе на телефоне сидят, сколько ездят). 3. Квалификация сотрудников (девочка, которая может лишь посоветовть "перезагрузить ПК" либо более продвинутые товарищи). 4. Время работы ТП (круглосуточно или нет, как работают в выходные и праздники...) 5. Характер и технология предоставляемых услуг (интернет, телефония, IPTV). У нас пока только локальная сеть и интернет по VPN (PPTP). 6. Оборудование (везде ли управляемое?) Прошу поделиться своими подходами. Нужно в основном для того, чтобы сделать всё грамотно и мотивировать перед руководством либо увеличение штата, либо модернизацию сети (сейчас практически все коммутаторы на домах - неуправляемые).

Имеет ли смысл при покупке переплачивать за прошивку Enchanced (функции роутинга нужны), или можно купить Standard и потом залить другую? Вопрос по 3750G-24TS.

Спасибо за ответы, будем смотреть в сторону Cisco. Сразу вопрос - чем отличается 35-я от 37-й серии? Присмотрел пару моделей, по описанию почти одинаковые. Может, функционал? WS-C3560G-24TS WS-C3750G-24TS

Что же взять аналогичное? Сейчас заказали на тестирование XGS-4728, но нет уверенности, что он так же себя не поведет. Основные требования - L3, 24 гигабитных порта (очень желательно комбинированные медь/SFP), сеть порядка 3000 абонентов, растет...

Доброго дня. Есть коммутатор Zyxel GS-4024, установленный в ядре сети. На нем терминируются несколько VLAN, в которых он имеет IP-интерфейсы. Периодически выплывают некоторые "странности" в его работе - увеличивается время пинга (его самого), а то и вовсе пропадает, загрузка подскакивает до 100%, хотя в обычном состоянии загружен на 40-50%. Причем в этом состоянии он продолжает пропускать трафик, но некоторые абоненты начинают жаловаться на разрывы VPN. Другие коммутаторы в ядре работают нормально. Было подозрение изначально на arp-спуфинг, но сколько ни смотрели в моменты пропадания связи - arp -a выводит правильный mac. Подскажите, как узнать, от чего он ложится?

Воспользовавшись услугами isp-servis.ru, зарегистрировали сеть /20 PI-адресов. Несмотря на то, что сами немного протормозили, попали под действие скидки, что очень радует :) Всё было сделано оперативно, четко и грамотно. Видно, что компания идет навстречу клиентам. Спасибо!

Включите логирование в DHCP-сервере и посмотрите, что до него долетает. Я при отладке писал такие строки: if exists agent.circuit-id { log (info, concat("Option 82: ",binary-to-ascii(10,8,".", option agent.circuit-id))); log (concat("DHCP relay VLAN: ",binary-to-ascii(10,16,"",substring(option agent.circuit-id,2,2)))); } Соответственно, получал вывод: dhcpd: Option 82: 0.8.7.209.69.83.45.52.49.50.52 dhcpd: DHCP relay VLAN: 2001 Откуда ясно, что Option 82 долетает нормально. А еще - покажите конфиг свитчей. Особенно интересует MES.

Не обязательно, если настраивать в разделе Global (а не отдельно для каждого VLANа), то работает и без адреса.

sillybilly У нас работает точно такая же схема, которую привели Вы. С той лишь разницей, что в ядре стоит Zyxel GS-4024, но это не принципиально, т.к. DHCP Relay поднят на абонентских MES-3528. При этом абонентские свитчи не имеют адреса в том VLANе, где находится DHCP-сервер. Вот краткий конфиг свитчей. GS-4024 VLAN 1: (192.168.1.1/24) (влан для маршрутизации трафика между L3-свитчами) VLAN 100: (10.10.0.1/24) (разные серверы, в т.ч. DHCP, имеющий адрес 10.10.0.4) MES-3528 VLAN 1: (192.168.1.21/24) (маршрутизирующий) VLAN 2006: (10.20.6.1/24) (абонентский) На MES-3528 настроен default gateway на 192.168.1.1, а также DHCP Snooping для VLAN 2006, где свитч выступает релеем для пересылки DHCP-запросов на адрес 10.10.0.4 (сначала делал глобальный DHCP-релей, тоже работает). На GS-4024 настроен маршрут на 10.20.6.0/24 через 192.168.1.21. Фрагмент конфига DHCP: class "vlan-2006" { match if binary-to-ascii(10,16,"",substring(option agent.circuit-id,2,2)) = "2006"; } subnet 10.20.6.0 netmask 255.255.255.0 { pool { range 10.20.6.10 10.20.6.254; allow members of "vlan-2006"; option routers 10.20.6.1; } } У Вас, возможно, не настроена маршрутизация между коммутаторами. MES должен видеть DHCP-сервер (проверяется пингом...) И еще меня смущает следующая строчка из Вашего конфига: class "vlan1002" {match if ( substring( option agent.circuit-id, 3, 3)="1002"); } Во-первых, коммутатор добавляет номер VLANа в hex-коде, и чтобы сравнивать с символами ("1002"), соответственно, надо сперва преобразовать в ascii (binary-to-ascii). Во-вторых, почему берете три символа? Согласно документации Zyxel, он добавляет в option 82 следующие поля: Slot ID (1 byte); Port ID (1 byte); VLAN ID (2 bytes); Information (up to 64 bytes). Поэтому правильней было бы Вам написать class "vlan1002" {match if binary-to-ascii(10,16,"",substring( option agent.circuit-id,2,2))="1002"; } Удачи :)

Доброго дня. Недавно приобрели сервер HP ProLiant, подключил, поставил, настроил... И возникли какие-то странности с трафиком. Например, web-сервер не отзывался, пока не выполнишь ping... При пинговании тоже часто терялись первые 2-3 пакета. Менял IP-адреса, забивал статически привязку мака к IP и порту на коммутаторе - не помогало. Потом повнимательней посмотрел на MAC-адреса обоих интерфейсов, почитал статью на Wiki о структуре маков и возникли некоторые вопросы. МАС-адреса сетевых интерфейсов начинаются так: D4-85-64-... Согласно статье на Wiki, первый бит адреса определяет, является ли адрес одиночным или групповым. Второй бит - является он глобальным или локально администрируемым. Получается, что на данном сервере HP присвоил сетевым картам ГРУППОВЫЕ и ЛОКАЛЬНО АДМИНИСТРИРУЕМЫЕ адреса (т.к. оба старших бита установлены в 1). С другой стороны, проверил эти октеты по базе IEEE (http://standards.ieee.org/develop/regauth/oui/public.html), оказалось, что они действительно зарегистрированы на HP. Но почему тогда установлен бит "локально администрируемый"? Проблемы с откликом полностью решили, установив дополнительные сетевые карточки с "нормальными" MAC-адресами. Но все равно интересно, почему сервер заранее так некорректно запрограммирован? Или я чего-то не понимаю? Поделитесь, кто сталкивался с серверами HP или подобными маками.

Сделал, часть ошибок ушла, часть остались. # make [ 17%] Built target triton [ 20%] Building C object accel-pptpd/CMakeFiles/accel-pptpd.dir/ppp/ppp.c.o In file included from /srv/install/accel-pptp-1.0/accel-pptpd/ppp/ppp.c:13: /usr/include/linux/if_ppp.h:102: error: field ‘b’ has incomplete type /usr/include/linux/if_ppp.h:107: error: field ‘b’ has incomplete type /usr/include/linux/if_ppp.h:116: error: expected specifier-qualifier-list before ‘aligned_u64’ make[2]: *** [accel-pptpd/CMakeFiles/accel-pptpd.dir/ppp/ppp.c.o] Error 1 make[1]: *** [accel-pptpd/CMakeFiles/accel-pptpd.dir/all] Error 2 make: *** [all] Error 2

# uname -a Linux hosting 2.6.27.19-5-pae #1 SMP 2009-02-28 04:40:21 +0100 i686 i686 i386 GNU/Linux SLES 11

Добрый день, скачал вчера accel с SourceForge, пытаюсь поставить - make выдает ошибку... [ 20%] Building C object accel-pptpd/CMakeFiles/accel-pptpd.dir/ppp/ppp.c.o In file included from /srv/install/accel-pptp-1.0/accel-pptpd/ppp/ppp.c:11: /usr/include/linux/ppp_defs.h:102: error: expected ‘=’, ‘,’, ‘;’, ‘asm’ or ‘__attribute__’ before ‘ext_accm’ /usr/include/linux/ppp_defs.h:118: error: expected specifier-qualifier-list before ‘__u32’ /usr/include/linux/ppp_defs.h:134: error: expected specifier-qualifier-list before ‘__u32’ /usr/include/linux/ppp_defs.h:145: error: expected specifier-qualifier-list before ‘__u32’ In file included from /srv/install/accel-pptp-1.0/accel-pptpd/ppp/ppp.c:12: /usr/include/linux/if_ppp.h:96: error: expected specifier-qualifier-list before ‘__u8’ /usr/include/linux/if_ppp.h:102: error: field ‘b’ has incomplete type /usr/include/linux/if_ppp.h:107: error: field ‘b’ has incomplete type /usr/include/linux/if_ppp.h:113: error: expected specifier-qualifier-list before ‘__u16’ make[2]: *** [accel-pptpd/CMakeFiles/accel-pptpd.dir/ppp/ppp.c.o] Error 1 make[1]: *** [accel-pptpd/CMakeFiles/accel-pptpd.dir/all] Error 2 make: *** [all] Error 2 Подскажите, что поправить?

Есть сеть примерно на 2500 абонентов. Оборудование на домах в большинстве случаем неуправляемое. Но каждый дом (в крайнем случае - 2) подключен к порту квартального L3-коммутатора. Абонентам раздаются IP-адреса по DHCP, все в одном VLANе, адреса раздаются одинаково всем, базы МАКов нет. Доступ в интернет получают по VPN (PPTP). При этом в сети есть и локальные ресурсы (торрент, DC++, FTP и т.п.), доступ к которым осуществляется в обход VPN. Когда заканчиваются деньги на счете у абонента, Радиус выдает отказ в авторизации и, соответственно, VPN не поднимается, инета нет. А локальные ресурсы продолжают быть доступны. Задача - сделать так, чтобы при отрицательном балансе абонент не мог бы пользоваться и локальными ресурсами. Пока есть 2 идеи, как это сделать: 1. Собрать все МАК-адреса, прописать их в DHCP и выдавать IP по ним. Соответственно МАКи должников убирать из конфига DHCP и рестартовать его. Недостаток - огромный конфиг DHCP, необходимость его постоянно править и передергивать сервер. К тому же абоненту никто не мешает прописать адрес вручную и продолжать пользоваться локалкой, если ему не выдался по DHCP. 2. У квартальных коммутаторов (Zyxel-4124) есть функция MAC Port Authentication, при получении нового МАКа он отправляет запрос на Радиус с этим МАКом и, в зависимости от ответа, разрешает прохождение пакетов с ним или нет. Тут тоже придется собирать МАКи у абонентов, да еще неизвестно, насколько отлажена эта функция (Port MAC Authentication). Как лучше? Может быть, есть еще какие-то способы, как это реализовать, прошу поделиться...

Проблема с STP-кольцами вроде как решилась после того, как убрал все IP-интерфейсы у коммутаторов в абонентских VLAN-ах, оставил только в управляющем. Уже 2 недели работает стабильно, хотя раньше чуть не каждый день штормили.

Спасибо, добавлю. Т.е. просто дропать, и всё, без всяких ответов типа tcp-reset или icmp-host-unreachable?

Доброго дня. Подскажите, как настроить маршрутизацию, чтобы избавиться от лишнего трафика. Что имеем: на стыке с провайдером верхнего уровня стоит Cicso 3845, за ней - несколько NASов, между Cisco и NASами поднят RIP, когда абонент подключается (VPN PPTP с выдачей белого адреса) к серверу доступа, на Cisco добавляется маршрут на него. Когда абонент отключается, маршрут, соответственно, исчезает, в то же время на его адрес продолжает поступать поток внешнего трафика, иногда весьма существенный. Раньше, когда NAS был один, я просто статически маршрутизировал на него весь трафик, поступающий на наши блоки адресов, и, если абонента с таким адресом на нем не оказывалось, такой трафик попадал под правило -j REJECT --reject-with icmp-host-unreachable. В принципе, можно и сейчас так же поступить, жестко завернув весь трафик, не прошедший по динамическим маршрутам, на один из NASов и обработать так же, но не хочется его лишнего гонять, да еще NAS грузить. Подскажите, можно ли как-то обработать его подобным образом прямо с маршрутизатора?

white_crow , если используете storm control, какие значения пакетрейта выставляете? Ограничиваете только бродкаст, или мультикаст и DLF тоже?