Jump to content
Калькуляторы

Шторм во всей сети, как порезать

День добрый.

 

Есть сеть на 100 абонентов. В сети 6 домов. Схема: Интернет - Тазик с РоутерОС - DGS-1100-08, собирающий всё - DGS-1100-08 на домах, собирающий подъездные свитчи (тупые акорпы) + дома вдогонку. Оптикой и не пахло.

Авторизация по Static IP + MAC.

 

Человека, который это строил, уже не найти. (Модернизация до DGS-1100-08 моя, раньше были одни акорпы).

На DGS включены LB Detect, Storm Control (Мультикаст, юникаст и unknown до 5000 kbps) и Jumbo Frame до кучи.

 

Проблема: в сети периодически возникают лаги. Вылетают / фризятся игрушки (в том числе CS 1.6 в локалке), сайты открываются с N-ой попытки и т. д.

Последнюю неделю это происходит каждый день, раньше было раз в месяц.

Широковещательный домен один, поэтому колбасит всех. Последовательное отключение домов проблему не обнаружило - шторм то есть, то нет.

 

Резать мультикаст нельзя - абоненты облюбили богомерзкую Насси, да и вообще активно пользуются благами локальной сети.

Поэтому нужно как-то деликатно рубить шторм на уровне дома, где он появился.

 

Начальство готово выделить щедрую сумму на решение проблемы - 10-15 тысяч рублей.

Я эникей, не сисадмин, самый умный, кто посещает это село (это реально село).

Посоветуйте, что заменить, и как называется то, что нужно настроить - инструкцию я постараюсь найти сам :)

 

P.S. В кладовке еще лежит DGS-1100-06/ME, но я испугался обилия настроек и забил. Он планировался в центр.

P.P.S. Дяденьки, не бейте

Share this post


Link to post
Share on other sites

На каждый порт выведите по отдельному VLANу с отдельными подсетями. Я думаю, это облегчит жизнь. А так, оптика и умный доступ решит проблему.

Share this post


Link to post
Share on other sites

поставте таки этот 1100-06\ме в центр, он хоть чуточку адекватние вебсмартов.

осильте снифер на микротике, хоть банальным торчем посмотрите что летает по сети в момент проблемы?

у вас есть предоставление локальной сети или вы со своей стороны только интернет обязуетесь предоставить? если только интернет - то трафик сегментейшн на свичах.

ещё лучше побейте сеть на вланы, влан на свич + такой себе аннамберед поверх вланов, что б адресацию сохранить, и если уже так локалка нужна то сверху проксиарп.

Share this post


Link to post
Share on other sites

В сети на 100 абоненто сделайте влан на порт везде где железо управляется. Про плоские ланговносервисы придётся забыть. Схема всё в одном влане всегда приводит к одну и тому же - л2 помойке

Share this post


Link to post
Share on other sites

Ещё нужен свич, который умеет per-vlan-loopdetect, его включить. Он будет ложить те порты, которые флудят.

Да и шторм на 5к - чёт помоему много, поставьте 512

Share this post


Link to post
Share on other sites

Да и шторм на 5к - чёт помоему много, поставьте 512

pps vs bps ;)

4k bps = 64 pps при минимальном размере пакета в 64 байт ;)

Share this post


Link to post
Share on other sites

Да и шторм на 5к - чёт помоему много, поставьте 512

pps vs bps ;)

4k bps = 64 pps при минимальном размере пакета в 64 байт ;)

О, а я раньше не видел на длинках в bps значение штормконтрола, буду знать.

Share this post


Link to post
Share on other sites

в разных моделях по разному встречаются, где-то bps, где-то pps. в последний раз bps видел, если мне память не изменяет, в dgs-3200.

Share this post


Link to post
Share on other sites

имхо только вайршарком глядеть такой масштаб

Share this post


Link to post
Share on other sites

Сущетвует два способа ограничить широковещательный домен:

 

1) Роутер

2) Vlan'ы

 

Выбирайте устраивающий.

Share this post


Link to post
Share on other sites

На каждый порт выведите по отдельному VLANу с отдельными подсетями.

Мультикаст крайне желательно сохранить.

Нетворк Ассистант стоит почти у всех. Так сложилось исторически. И раз так сложилось, уже мы сами используем его в том числе, чтобы сообщать о работах на сети и так далее.

Это плохо, я понимаю.

 

побейте сеть на вланы, влан на свич + такой себе аннамберед поверх вланов, что б адресацию сохранить, и если уже так локалка нужна то сверху проксиарп

Убиваются виндошары и прочая гадость, но локалка остается? Это гуд. Когда будем готовы отказаться от мультикаста, попробую внедрить.

 

Размер штормконтроля был выбран опытным путем: сделал петлю и проверил, при каком значении сеть относительно работоспособна.

Стоит ставить меньше?

 

Перефразирую вопрос

Можно ли, оставив людям мультикаст и файлшары, как-то укрощать шторм в пределах дома?

Допустим, свитч анализирует трафик, видит каку и рубит порт. Через некоторое время проверяет, если кака осталась - порт не включает.

Что-то типа аналога LBD, но для L2-гадостей.

Edited by GeeZeeNburg

Share this post


Link to post
Share on other sites

На каждый порт выведите по отдельному VLANу с отдельными подсетями.

Мультикаст крайне желательно сохранить.

Нетворк Ассистант стоит почти у всех. Так сложилось исторически. И раз так сложилось, уже мы сами используем его в том числе, чтобы сообщать о работах на сети и так далее.

Это плохо, я понимаю.

 

побейте сеть на вланы, влан на свич + такой себе аннамберед поверх вланов, что б адресацию сохранить, и если уже так локалка нужна то сверху проксиарп

Убиваются виндошары и прочая гадость, но локалка остается? Это гуд. Когда будем готовы отказаться от мультикаста, попробую внедрить.

 

Размер штормконтроля был выбран опытным путем: сделал петлю и проверил, при каком значении сеть относительно работоспособна.

Стоит ставить меньше?

 

Перефразирую вопрос

Можно ли, оставив людям мультикаст и файлшары, как-то укрощать шторм в пределах дома?

Допустим, свитч анализирует трафик, видит каку и рубит порт. Через некоторое время проверяет, если кака осталась - порт не включает.

Что-то типа аналога LBD, но для L2-гадостей.

 

ну епт, почитайте что такое прокси-арп.

л2 гадости нужно решать аккуратно, ибо свичу на доступе вообще может башню сорвать.

вот у меня был абонент вирус схватил, забивал полностью 100 мегабит порт всяким мусором, очень мелкими пакетами и паралелльно слал кадры с мак адресом шлюза, как отреагировал шторм контроль? - никак

лучший выход, сегментация сети сразу же, поверте, вы готовы отказатся от мультикаста у абонентов, любого мультикаста кроме вашего собственного вообще там быть не должно.

шара есть шара, только не будет она отображатся в сетевом окружении, будет доступ по ипу напрямую и вообще, раз так повелось, приучите абонентов к DC++, подымете у себя серверную часть, пускай балуются.

всякий нетбиос и прочий мусор как раз таки правильно убивать аклями на доступе.

по поводу укращений шторма - их лучше не допускать, а если всё таки случилось и вам повезло что с свич которого флудят и его соседям башню ещё не сорвало и у вас работает управление на свичах (кстати управление в отдельном влане?) - то только рубить порт откуда гадость идет, выяснить это несложно обычно, если флуд знатный.

Edited by GrandPr1de

Share this post


Link to post
Share on other sites

Размер штормконтроля был выбран опытным путем: сделал петлю и проверил, при каком значении сеть относительно работоспособна.

Петля и шторм это вовсе не одно и тоже. Шторм просто забивает канал, а петля еще и перестраивает логику сети.

 

Можно ли, оставив людям мультикаст и файлшары, как-то укрощать шторм в пределах дома?

А IPX они часом не хотят?

 

p.s. Прокси-арп - технология зла, не используйте ее. :)

 

Отучайте пользователей от всякой такой ерунды. Найдите уважаемого гика, поговорите с ним, пусть подает пример, используя, хотя бы, фтп. :)

Share this post


Link to post
Share on other sites

если есть мультикаст включите на 1100 igmp snooping

Share this post


Link to post
Share on other sites

собирающий всё - DGS-1100-08 на домах

Между этими свичами линк гигабитный ? Во время проблемы доступ на них есть ? Влан управления для этих свичей вынесен в отдельный влан ? Сколько тупарей в цепочке, больше трех ?

Share this post


Link to post
Share on other sites
Отучайте пользователей от всякой такой ерунды. Найдите уважаемого гика, поговорите с ним, пусть подает пример, используя, хотя бы, фтп. :)

DC же есть для таких вещей.

Share this post


Link to post
Share on other sites

DC же есть для таких вещей.

 

Ах точно! Для меня просто его давно нет. :)

На >40k абонентов сейчас на локальном хабе онлайн 25 человек, шара >0 у 15 из них. Какой процент из них свои - хз.

В нашей сети DC мертв.

Share this post


Link to post
Share on other sites

p.s. Прокси-арп - технология зла, не используйте ее. :)

 

 

Да ладно? Делайте влан на клиента, вешайте туда адрес вида х.х.х.1, а нетворк = адресу абонента, например х.х.х.123, включите прокси арп, тогда у вас и трафик между абонентами будет ходить по старинке, и от мусора вы себя обезопасите. В таком случае схема привязки по маку будет не нужна.

То, что у вас сейчас есть, лучше переделать, 15 тысяч тут не хватит. В таких помойках обычно по PPPoE авторизуют.

Share this post


Link to post
Share on other sites

Да ладно? Делайте влан на клиента, вешайте туда адрес вида х.х.х.1, а нетворк = адресу абонента, например х.х.х.123, включите прокси арп, тогда у вас и трафик между абонентами будет ходить по старинке, и от мусора вы себя обезопасите. В таком случае схема привязки по маку будет не нужна.

То, что у вас сейчас есть, лучше переделать, 15 тысяч тут не хватит. В таких помойках обычно по PPPoE авторизуют.

 

40 - это тысячи, а 15 - это штук.

Прокси-арп зло, т.к. не позволяет подключать больше 1 клиента в порт/влан, иначе другие устройства абонента получают фейковые ARP от прокси. Это если абсолютно все у абонента за роутер прятать, тогда да.

А трафик между абонентами гонять без прокси-арп очень просто - нужно нарисовать маршрут. Можно хоть по DHCP.

Share this post


Link to post
Share on other sites

Нетворк Ассистант стоит почти у всех. Так сложилось исторически. И раз так сложилось, уже мы сами используем его в том числе, чтобы сообщать о работах на сети и так далее.

 

Замените на миранду - серверная часть под винду + клиентские Miranda IM (аля аська). В свое время переехалось очень даже шустро. Плючом идут сообщения для всех (в тч и офлайн), и рассылка сообщений командной строкой например с вашего внутреннего форума или веб-портала.

Share this post


Link to post
Share on other sites

Прокси-арп зло, т.к. не позволяет подключать больше 1 клиента в порт/влан, иначе другие устройства абонента получают фейковые ARP от прокси. Это если абсолютно все у абонента за роутер прятать, тогда да.

А трафик между абонентами гонять без прокси-арп очень просто - нужно нарисовать маршрут. Можно хоть по DHCP.

 

 

То есть если оборудование абонента не умеет принимать маршруты, он останется без доступа на часть сети.

Странно, а у нас некоторым абонентам выдается несколько адресов, и они их устанавливают на свои разные компы, при этом на нашем порту работает прокси арп, работает без проблем. Почему?

Share this post


Link to post
Share on other sites

То есть если оборудование абонента не умеет принимать маршруты, он останется без доступа на часть сети.

Странно, а у нас некоторым абонентам выдается несколько адресов, и они их устанавливают на свои разные компы, при этом на нашем порту работает прокси арп, работает без проблем. Почему?

У меня в данный момент 91199 портов по базе, а клиент при этом не имеет доступа только к 23 (штукам). Переживают по этому поводу единицы, где то раз в полгода получаем просьбы разрешить доступ.

Обычно это надо соседям или офисам в одном здании. Прописываем маршрут и готово.

 

А если включить прокси арп, то прокси начнет отвечать на любой арп, в т.ч. и на тот, на который ответ уже был дан другим абонентским устройством. Дальше все зависит от поведения конкретной системы, какую запись она признает валидной. Я думаю проблемы есть, просто вы их не замечаете. Или прокси как то настраивается так, чтобы отвечать не на все арпы?

Share this post


Link to post
Share on other sites

1) поднять мониторинг юникаст и нон-юникаст пакетов на коммутаторе в ядре, используя cacti.

2) сегментировать сеть по vlan

3) поставить управляемые коммутаторы на дом.

Share this post


Link to post
Share on other sites

А если включить прокси арп, то прокси начнет отвечать на любой арп, в т.ч. и на тот, на который ответ уже был дан другим абонентским устройством. Дальше все зависит от поведения конкретной системы, какую запись она признает валидной. Я думаю проблемы есть, просто вы их не замечаете. Или прокси как то настраивается так, чтобы отвечать не на все арпы?

 

У нас L3 доступ, поэтому прокси арп работает на своем маршрутизаторе с ограниченным количеством портов.

 

Хотя не понятно, от чего вообще должны быть проблемы? Прокси арп работает так - абонент сделал запрос на определение любого адреса, шлюз со стороны оператора ответил, что его мак и равен этому адресу, абонент начал передавать данные. Со стороны шлюза данные из прокси арп не используются для определения маршрутной информации. Проблема может быть только у абонента, когда один компьютер пингует второй адрес абонента и шлюз отвечает что этот адрес равен маку шлюза, тут абонент пытается установить этот адрес на винде и она ему ругается, что такой адрес уже используется в сети. Тут мы советуем абоненту выдернуть кабель и применить настройки адреса, тогда неприятностей не возникает.

Share this post


Link to post
Share on other sites

Хотя не понятно, от чего вообще должны быть проблемы?

 

Вот от этого как раз:

когда один компьютер пингует второй адрес абонента и шлюз отвечает что этот адрес равен маку шлюза

 

Проще раз в 6-8 месяцев научить гика рисовать маршрут (выдавать по DHCP не хотим, т.к. реализация DHCP-клиентов сильно отличается между собой), чем делать с непричастным к теме абонентом вот так:

Тут мы советуем абоненту выдернуть кабель и применить настройки адреса

 

Мы пытаемся построить сеть удобную в первую очередь клиенту (до свидания PPPoE, PPTP, VPN) и только потом удобную нам. :) А прокси-арп доставляет неудобства как раз клиенту при сомнительном профите, нужном в 0,001% случаев.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this