GeeZeeNburg Опубликовано 24 мая, 2015 · Жалоба День добрый. Есть сеть на 100 абонентов. В сети 6 домов. Схема: Интернет - Тазик с РоутерОС - DGS-1100-08, собирающий всё - DGS-1100-08 на домах, собирающий подъездные свитчи (тупые акорпы) + дома вдогонку. Оптикой и не пахло. Авторизация по Static IP + MAC. Человека, который это строил, уже не найти. (Модернизация до DGS-1100-08 моя, раньше были одни акорпы). На DGS включены LB Detect, Storm Control (Мультикаст, юникаст и unknown до 5000 kbps) и Jumbo Frame до кучи. Проблема: в сети периодически возникают лаги. Вылетают / фризятся игрушки (в том числе CS 1.6 в локалке), сайты открываются с N-ой попытки и т. д. Последнюю неделю это происходит каждый день, раньше было раз в месяц. Широковещательный домен один, поэтому колбасит всех. Последовательное отключение домов проблему не обнаружило - шторм то есть, то нет. Резать мультикаст нельзя - абоненты облюбили богомерзкую Насси, да и вообще активно пользуются благами локальной сети. Поэтому нужно как-то деликатно рубить шторм на уровне дома, где он появился. Начальство готово выделить щедрую сумму на решение проблемы - 10-15 тысяч рублей. Я эникей, не сисадмин, самый умный, кто посещает это село (это реально село). Посоветуйте, что заменить, и как называется то, что нужно настроить - инструкцию я постараюсь найти сам :) P.S. В кладовке еще лежит DGS-1100-06/ME, но я испугался обилия настроек и забил. Он планировался в центр. P.P.S. Дяденьки, не бейте Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 24 мая, 2015 · Жалоба На каждый порт выведите по отдельному VLANу с отдельными подсетями. Я думаю, это облегчит жизнь. А так, оптика и умный доступ решит проблему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 24 мая, 2015 · Жалоба поставте таки этот 1100-06\ме в центр, он хоть чуточку адекватние вебсмартов. осильте снифер на микротике, хоть банальным торчем посмотрите что летает по сети в момент проблемы? у вас есть предоставление локальной сети или вы со своей стороны только интернет обязуетесь предоставить? если только интернет - то трафик сегментейшн на свичах. ещё лучше побейте сеть на вланы, влан на свич + такой себе аннамберед поверх вланов, что б адресацию сохранить, и если уже так локалка нужна то сверху проксиарп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 25 мая, 2015 · Жалоба В сети на 100 абоненто сделайте влан на порт везде где железо управляется. Про плоские ланговносервисы придётся забыть. Схема всё в одном влане всегда приводит к одну и тому же - л2 помойке Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 25 мая, 2015 · Жалоба Ещё нужен свич, который умеет per-vlan-loopdetect, его включить. Он будет ложить те порты, которые флудят. Да и шторм на 5к - чёт помоему много, поставьте 512 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 25 мая, 2015 · Жалоба Да и шторм на 5к - чёт помоему много, поставьте 512 pps vs bps ;) 4k bps = 64 pps при минимальном размере пакета в 64 байт ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 25 мая, 2015 · Жалоба Да и шторм на 5к - чёт помоему много, поставьте 512 pps vs bps ;) 4k bps = 64 pps при минимальном размере пакета в 64 байт ;) О, а я раньше не видел на длинках в bps значение штормконтрола, буду знать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 25 мая, 2015 · Жалоба в разных моделях по разному встречаются, где-то bps, где-то pps. в последний раз bps видел, если мне память не изменяет, в dgs-3200. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skinner Опубликовано 25 мая, 2015 · Жалоба имхо только вайршарком глядеть такой масштаб Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aak Опубликовано 25 мая, 2015 · Жалоба Сущетвует два способа ограничить широковещательный домен: 1) Роутер 2) Vlan'ы Выбирайте устраивающий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GeeZeeNburg Опубликовано 25 мая, 2015 (изменено) · Жалоба На каждый порт выведите по отдельному VLANу с отдельными подсетями. Мультикаст крайне желательно сохранить. Нетворк Ассистант стоит почти у всех. Так сложилось исторически. И раз так сложилось, уже мы сами используем его в том числе, чтобы сообщать о работах на сети и так далее. Это плохо, я понимаю. побейте сеть на вланы, влан на свич + такой себе аннамберед поверх вланов, что б адресацию сохранить, и если уже так локалка нужна то сверху проксиарп Убиваются виндошары и прочая гадость, но локалка остается? Это гуд. Когда будем готовы отказаться от мультикаста, попробую внедрить. Размер штормконтроля был выбран опытным путем: сделал петлю и проверил, при каком значении сеть относительно работоспособна. Стоит ставить меньше? Перефразирую вопрос Можно ли, оставив людям мультикаст и файлшары, как-то укрощать шторм в пределах дома? Допустим, свитч анализирует трафик, видит каку и рубит порт. Через некоторое время проверяет, если кака осталась - порт не включает. Что-то типа аналога LBD, но для L2-гадостей. Изменено 25 мая, 2015 пользователем GeeZeeNburg Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 25 мая, 2015 (изменено) · Жалоба На каждый порт выведите по отдельному VLANу с отдельными подсетями. Мультикаст крайне желательно сохранить. Нетворк Ассистант стоит почти у всех. Так сложилось исторически. И раз так сложилось, уже мы сами используем его в том числе, чтобы сообщать о работах на сети и так далее. Это плохо, я понимаю. побейте сеть на вланы, влан на свич + такой себе аннамберед поверх вланов, что б адресацию сохранить, и если уже так локалка нужна то сверху проксиарп Убиваются виндошары и прочая гадость, но локалка остается? Это гуд. Когда будем готовы отказаться от мультикаста, попробую внедрить. Размер штормконтроля был выбран опытным путем: сделал петлю и проверил, при каком значении сеть относительно работоспособна. Стоит ставить меньше? Перефразирую вопрос Можно ли, оставив людям мультикаст и файлшары, как-то укрощать шторм в пределах дома? Допустим, свитч анализирует трафик, видит каку и рубит порт. Через некоторое время проверяет, если кака осталась - порт не включает. Что-то типа аналога LBD, но для L2-гадостей. ну епт, почитайте что такое прокси-арп. л2 гадости нужно решать аккуратно, ибо свичу на доступе вообще может башню сорвать. вот у меня был абонент вирус схватил, забивал полностью 100 мегабит порт всяким мусором, очень мелкими пакетами и паралелльно слал кадры с мак адресом шлюза, как отреагировал шторм контроль? - никак лучший выход, сегментация сети сразу же, поверте, вы готовы отказатся от мультикаста у абонентов, любого мультикаста кроме вашего собственного вообще там быть не должно. шара есть шара, только не будет она отображатся в сетевом окружении, будет доступ по ипу напрямую и вообще, раз так повелось, приучите абонентов к DC++, подымете у себя серверную часть, пускай балуются. всякий нетбиос и прочий мусор как раз таки правильно убивать аклями на доступе. по поводу укращений шторма - их лучше не допускать, а если всё таки случилось и вам повезло что с свич которого флудят и его соседям башню ещё не сорвало и у вас работает управление на свичах (кстати управление в отдельном влане?) - то только рубить порт откуда гадость идет, выяснить это несложно обычно, если флуд знатный. Изменено 25 мая, 2015 пользователем GrandPr1de Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 26 мая, 2015 · Жалоба Размер штормконтроля был выбран опытным путем: сделал петлю и проверил, при каком значении сеть относительно работоспособна. Петля и шторм это вовсе не одно и тоже. Шторм просто забивает канал, а петля еще и перестраивает логику сети. Можно ли, оставив людям мультикаст и файлшары, как-то укрощать шторм в пределах дома? А IPX они часом не хотят? p.s. Прокси-арп - технология зла, не используйте ее. :) Отучайте пользователей от всякой такой ерунды. Найдите уважаемого гика, поговорите с ним, пусть подает пример, используя, хотя бы, фтп. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexspils Опубликовано 26 мая, 2015 · Жалоба если есть мультикаст включите на 1100 igmp snooping Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosmich7 Опубликовано 26 мая, 2015 · Жалоба собирающий всё - DGS-1100-08 на домах Между этими свичами линк гигабитный ? Во время проблемы доступ на них есть ? Влан управления для этих свичей вынесен в отдельный влан ? Сколько тупарей в цепочке, больше трех ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 26 мая, 2015 · Жалоба Отучайте пользователей от всякой такой ерунды. Найдите уважаемого гика, поговорите с ним, пусть подает пример, используя, хотя бы, фтп. :) DC же есть для таких вещей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 26 мая, 2015 · Жалоба DC же есть для таких вещей. Ах точно! Для меня просто его давно нет. :) На >40k абонентов сейчас на локальном хабе онлайн 25 человек, шара >0 у 15 из них. Какой процент из них свои - хз. В нашей сети DC мертв. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 мая, 2015 · Жалоба p.s. Прокси-арп - технология зла, не используйте ее. :) Да ладно? Делайте влан на клиента, вешайте туда адрес вида х.х.х.1, а нетворк = адресу абонента, например х.х.х.123, включите прокси арп, тогда у вас и трафик между абонентами будет ходить по старинке, и от мусора вы себя обезопасите. В таком случае схема привязки по маку будет не нужна. То, что у вас сейчас есть, лучше переделать, 15 тысяч тут не хватит. В таких помойках обычно по PPPoE авторизуют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 26 мая, 2015 · Жалоба Да ладно? Делайте влан на клиента, вешайте туда адрес вида х.х.х.1, а нетворк = адресу абонента, например х.х.х.123, включите прокси арп, тогда у вас и трафик между абонентами будет ходить по старинке, и от мусора вы себя обезопасите. В таком случае схема привязки по маку будет не нужна. То, что у вас сейчас есть, лучше переделать, 15 тысяч тут не хватит. В таких помойках обычно по PPPoE авторизуют. 40 - это тысячи, а 15 - это штук. Прокси-арп зло, т.к. не позволяет подключать больше 1 клиента в порт/влан, иначе другие устройства абонента получают фейковые ARP от прокси. Это если абсолютно все у абонента за роутер прятать, тогда да. А трафик между абонентами гонять без прокси-арп очень просто - нужно нарисовать маршрут. Можно хоть по DHCP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergioDeMaster Опубликовано 26 мая, 2015 · Жалоба Нетворк Ассистант стоит почти у всех. Так сложилось исторически. И раз так сложилось, уже мы сами используем его в том числе, чтобы сообщать о работах на сети и так далее. Замените на миранду - серверная часть под винду + клиентские Miranda IM (аля аська). В свое время переехалось очень даже шустро. Плючом идут сообщения для всех (в тч и офлайн), и рассылка сообщений командной строкой например с вашего внутреннего форума или веб-портала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 мая, 2015 · Жалоба Прокси-арп зло, т.к. не позволяет подключать больше 1 клиента в порт/влан, иначе другие устройства абонента получают фейковые ARP от прокси. Это если абсолютно все у абонента за роутер прятать, тогда да. А трафик между абонентами гонять без прокси-арп очень просто - нужно нарисовать маршрут. Можно хоть по DHCP. То есть если оборудование абонента не умеет принимать маршруты, он останется без доступа на часть сети. Странно, а у нас некоторым абонентам выдается несколько адресов, и они их устанавливают на свои разные компы, при этом на нашем порту работает прокси арп, работает без проблем. Почему? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 26 мая, 2015 · Жалоба То есть если оборудование абонента не умеет принимать маршруты, он останется без доступа на часть сети. Странно, а у нас некоторым абонентам выдается несколько адресов, и они их устанавливают на свои разные компы, при этом на нашем порту работает прокси арп, работает без проблем. Почему? У меня в данный момент 91199 портов по базе, а клиент при этом не имеет доступа только к 23 (штукам). Переживают по этому поводу единицы, где то раз в полгода получаем просьбы разрешить доступ. Обычно это надо соседям или офисам в одном здании. Прописываем маршрут и готово. А если включить прокси арп, то прокси начнет отвечать на любой арп, в т.ч. и на тот, на который ответ уже был дан другим абонентским устройством. Дальше все зависит от поведения конкретной системы, какую запись она признает валидной. Я думаю проблемы есть, просто вы их не замечаете. Или прокси как то настраивается так, чтобы отвечать не на все арпы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 26 мая, 2015 · Жалоба 1) поднять мониторинг юникаст и нон-юникаст пакетов на коммутаторе в ядре, используя cacti. 2) сегментировать сеть по vlan 3) поставить управляемые коммутаторы на дом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 мая, 2015 · Жалоба А если включить прокси арп, то прокси начнет отвечать на любой арп, в т.ч. и на тот, на который ответ уже был дан другим абонентским устройством. Дальше все зависит от поведения конкретной системы, какую запись она признает валидной. Я думаю проблемы есть, просто вы их не замечаете. Или прокси как то настраивается так, чтобы отвечать не на все арпы? У нас L3 доступ, поэтому прокси арп работает на своем маршрутизаторе с ограниченным количеством портов. Хотя не понятно, от чего вообще должны быть проблемы? Прокси арп работает так - абонент сделал запрос на определение любого адреса, шлюз со стороны оператора ответил, что его мак и равен этому адресу, абонент начал передавать данные. Со стороны шлюза данные из прокси арп не используются для определения маршрутной информации. Проблема может быть только у абонента, когда один компьютер пингует второй адрес абонента и шлюз отвечает что этот адрес равен маку шлюза, тут абонент пытается установить этот адрес на винде и она ему ругается, что такой адрес уже используется в сети. Тут мы советуем абоненту выдернуть кабель и применить настройки адреса, тогда неприятностей не возникает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 26 мая, 2015 · Жалоба Хотя не понятно, от чего вообще должны быть проблемы? Вот от этого как раз: когда один компьютер пингует второй адрес абонента и шлюз отвечает что этот адрес равен маку шлюза Проще раз в 6-8 месяцев научить гика рисовать маршрут (выдавать по DHCP не хотим, т.к. реализация DHCP-клиентов сильно отличается между собой), чем делать с непричастным к теме абонентом вот так: Тут мы советуем абоненту выдернуть кабель и применить настройки адреса Мы пытаемся построить сеть удобную в первую очередь клиенту (до свидания PPPoE, PPTP, VPN) и только потом удобную нам. :) А прокси-арп доставляет неудобства как раз клиенту при сомнительном профите, нужном в 0,001% случаев. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...