Перейти к содержимому
Калькуляторы

Шторм во всей сети, как порезать

День добрый.

 

Есть сеть на 100 абонентов. В сети 6 домов. Схема: Интернет - Тазик с РоутерОС - DGS-1100-08, собирающий всё - DGS-1100-08 на домах, собирающий подъездные свитчи (тупые акорпы) + дома вдогонку. Оптикой и не пахло.

Авторизация по Static IP + MAC.

 

Человека, который это строил, уже не найти. (Модернизация до DGS-1100-08 моя, раньше были одни акорпы).

На DGS включены LB Detect, Storm Control (Мультикаст, юникаст и unknown до 5000 kbps) и Jumbo Frame до кучи.

 

Проблема: в сети периодически возникают лаги. Вылетают / фризятся игрушки (в том числе CS 1.6 в локалке), сайты открываются с N-ой попытки и т. д.

Последнюю неделю это происходит каждый день, раньше было раз в месяц.

Широковещательный домен один, поэтому колбасит всех. Последовательное отключение домов проблему не обнаружило - шторм то есть, то нет.

 

Резать мультикаст нельзя - абоненты облюбили богомерзкую Насси, да и вообще активно пользуются благами локальной сети.

Поэтому нужно как-то деликатно рубить шторм на уровне дома, где он появился.

 

Начальство готово выделить щедрую сумму на решение проблемы - 10-15 тысяч рублей.

Я эникей, не сисадмин, самый умный, кто посещает это село (это реально село).

Посоветуйте, что заменить, и как называется то, что нужно настроить - инструкцию я постараюсь найти сам :)

 

P.S. В кладовке еще лежит DGS-1100-06/ME, но я испугался обилия настроек и забил. Он планировался в центр.

P.P.S. Дяденьки, не бейте

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На каждый порт выведите по отдельному VLANу с отдельными подсетями. Я думаю, это облегчит жизнь. А так, оптика и умный доступ решит проблему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

поставте таки этот 1100-06\ме в центр, он хоть чуточку адекватние вебсмартов.

осильте снифер на микротике, хоть банальным торчем посмотрите что летает по сети в момент проблемы?

у вас есть предоставление локальной сети или вы со своей стороны только интернет обязуетесь предоставить? если только интернет - то трафик сегментейшн на свичах.

ещё лучше побейте сеть на вланы, влан на свич + такой себе аннамберед поверх вланов, что б адресацию сохранить, и если уже так локалка нужна то сверху проксиарп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В сети на 100 абоненто сделайте влан на порт везде где железо управляется. Про плоские ланговносервисы придётся забыть. Схема всё в одном влане всегда приводит к одну и тому же - л2 помойке

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ещё нужен свич, который умеет per-vlan-loopdetect, его включить. Он будет ложить те порты, которые флудят.

Да и шторм на 5к - чёт помоему много, поставьте 512

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да и шторм на 5к - чёт помоему много, поставьте 512

pps vs bps ;)

4k bps = 64 pps при минимальном размере пакета в 64 байт ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да и шторм на 5к - чёт помоему много, поставьте 512

pps vs bps ;)

4k bps = 64 pps при минимальном размере пакета в 64 байт ;)

О, а я раньше не видел на длинках в bps значение штормконтрола, буду знать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в разных моделях по разному встречаются, где-то bps, где-то pps. в последний раз bps видел, если мне память не изменяет, в dgs-3200.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

имхо только вайршарком глядеть такой масштаб

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сущетвует два способа ограничить широковещательный домен:

 

1) Роутер

2) Vlan'ы

 

Выбирайте устраивающий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На каждый порт выведите по отдельному VLANу с отдельными подсетями.

Мультикаст крайне желательно сохранить.

Нетворк Ассистант стоит почти у всех. Так сложилось исторически. И раз так сложилось, уже мы сами используем его в том числе, чтобы сообщать о работах на сети и так далее.

Это плохо, я понимаю.

 

побейте сеть на вланы, влан на свич + такой себе аннамберед поверх вланов, что б адресацию сохранить, и если уже так локалка нужна то сверху проксиарп

Убиваются виндошары и прочая гадость, но локалка остается? Это гуд. Когда будем готовы отказаться от мультикаста, попробую внедрить.

 

Размер штормконтроля был выбран опытным путем: сделал петлю и проверил, при каком значении сеть относительно работоспособна.

Стоит ставить меньше?

 

Перефразирую вопрос

Можно ли, оставив людям мультикаст и файлшары, как-то укрощать шторм в пределах дома?

Допустим, свитч анализирует трафик, видит каку и рубит порт. Через некоторое время проверяет, если кака осталась - порт не включает.

Что-то типа аналога LBD, но для L2-гадостей.

Изменено пользователем GeeZeeNburg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На каждый порт выведите по отдельному VLANу с отдельными подсетями.

Мультикаст крайне желательно сохранить.

Нетворк Ассистант стоит почти у всех. Так сложилось исторически. И раз так сложилось, уже мы сами используем его в том числе, чтобы сообщать о работах на сети и так далее.

Это плохо, я понимаю.

 

побейте сеть на вланы, влан на свич + такой себе аннамберед поверх вланов, что б адресацию сохранить, и если уже так локалка нужна то сверху проксиарп

Убиваются виндошары и прочая гадость, но локалка остается? Это гуд. Когда будем готовы отказаться от мультикаста, попробую внедрить.

 

Размер штормконтроля был выбран опытным путем: сделал петлю и проверил, при каком значении сеть относительно работоспособна.

Стоит ставить меньше?

 

Перефразирую вопрос

Можно ли, оставив людям мультикаст и файлшары, как-то укрощать шторм в пределах дома?

Допустим, свитч анализирует трафик, видит каку и рубит порт. Через некоторое время проверяет, если кака осталась - порт не включает.

Что-то типа аналога LBD, но для L2-гадостей.

 

ну епт, почитайте что такое прокси-арп.

л2 гадости нужно решать аккуратно, ибо свичу на доступе вообще может башню сорвать.

вот у меня был абонент вирус схватил, забивал полностью 100 мегабит порт всяким мусором, очень мелкими пакетами и паралелльно слал кадры с мак адресом шлюза, как отреагировал шторм контроль? - никак

лучший выход, сегментация сети сразу же, поверте, вы готовы отказатся от мультикаста у абонентов, любого мультикаста кроме вашего собственного вообще там быть не должно.

шара есть шара, только не будет она отображатся в сетевом окружении, будет доступ по ипу напрямую и вообще, раз так повелось, приучите абонентов к DC++, подымете у себя серверную часть, пускай балуются.

всякий нетбиос и прочий мусор как раз таки правильно убивать аклями на доступе.

по поводу укращений шторма - их лучше не допускать, а если всё таки случилось и вам повезло что с свич которого флудят и его соседям башню ещё не сорвало и у вас работает управление на свичах (кстати управление в отдельном влане?) - то только рубить порт откуда гадость идет, выяснить это несложно обычно, если флуд знатный.

Изменено пользователем GrandPr1de

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Размер штормконтроля был выбран опытным путем: сделал петлю и проверил, при каком значении сеть относительно работоспособна.

Петля и шторм это вовсе не одно и тоже. Шторм просто забивает канал, а петля еще и перестраивает логику сети.

 

Можно ли, оставив людям мультикаст и файлшары, как-то укрощать шторм в пределах дома?

А IPX они часом не хотят?

 

p.s. Прокси-арп - технология зла, не используйте ее. :)

 

Отучайте пользователей от всякой такой ерунды. Найдите уважаемого гика, поговорите с ним, пусть подает пример, используя, хотя бы, фтп. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если есть мультикаст включите на 1100 igmp snooping

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

собирающий всё - DGS-1100-08 на домах

Между этими свичами линк гигабитный ? Во время проблемы доступ на них есть ? Влан управления для этих свичей вынесен в отдельный влан ? Сколько тупарей в цепочке, больше трех ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отучайте пользователей от всякой такой ерунды. Найдите уважаемого гика, поговорите с ним, пусть подает пример, используя, хотя бы, фтп. :)

DC же есть для таких вещей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DC же есть для таких вещей.

 

Ах точно! Для меня просто его давно нет. :)

На >40k абонентов сейчас на локальном хабе онлайн 25 человек, шара >0 у 15 из них. Какой процент из них свои - хз.

В нашей сети DC мертв.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

p.s. Прокси-арп - технология зла, не используйте ее. :)

 

 

Да ладно? Делайте влан на клиента, вешайте туда адрес вида х.х.х.1, а нетворк = адресу абонента, например х.х.х.123, включите прокси арп, тогда у вас и трафик между абонентами будет ходить по старинке, и от мусора вы себя обезопасите. В таком случае схема привязки по маку будет не нужна.

То, что у вас сейчас есть, лучше переделать, 15 тысяч тут не хватит. В таких помойках обычно по PPPoE авторизуют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да ладно? Делайте влан на клиента, вешайте туда адрес вида х.х.х.1, а нетворк = адресу абонента, например х.х.х.123, включите прокси арп, тогда у вас и трафик между абонентами будет ходить по старинке, и от мусора вы себя обезопасите. В таком случае схема привязки по маку будет не нужна.

То, что у вас сейчас есть, лучше переделать, 15 тысяч тут не хватит. В таких помойках обычно по PPPoE авторизуют.

 

40 - это тысячи, а 15 - это штук.

Прокси-арп зло, т.к. не позволяет подключать больше 1 клиента в порт/влан, иначе другие устройства абонента получают фейковые ARP от прокси. Это если абсолютно все у абонента за роутер прятать, тогда да.

А трафик между абонентами гонять без прокси-арп очень просто - нужно нарисовать маршрут. Можно хоть по DHCP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нетворк Ассистант стоит почти у всех. Так сложилось исторически. И раз так сложилось, уже мы сами используем его в том числе, чтобы сообщать о работах на сети и так далее.

 

Замените на миранду - серверная часть под винду + клиентские Miranda IM (аля аська). В свое время переехалось очень даже шустро. Плючом идут сообщения для всех (в тч и офлайн), и рассылка сообщений командной строкой например с вашего внутреннего форума или веб-портала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прокси-арп зло, т.к. не позволяет подключать больше 1 клиента в порт/влан, иначе другие устройства абонента получают фейковые ARP от прокси. Это если абсолютно все у абонента за роутер прятать, тогда да.

А трафик между абонентами гонять без прокси-арп очень просто - нужно нарисовать маршрут. Можно хоть по DHCP.

 

 

То есть если оборудование абонента не умеет принимать маршруты, он останется без доступа на часть сети.

Странно, а у нас некоторым абонентам выдается несколько адресов, и они их устанавливают на свои разные компы, при этом на нашем порту работает прокси арп, работает без проблем. Почему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То есть если оборудование абонента не умеет принимать маршруты, он останется без доступа на часть сети.

Странно, а у нас некоторым абонентам выдается несколько адресов, и они их устанавливают на свои разные компы, при этом на нашем порту работает прокси арп, работает без проблем. Почему?

У меня в данный момент 91199 портов по базе, а клиент при этом не имеет доступа только к 23 (штукам). Переживают по этому поводу единицы, где то раз в полгода получаем просьбы разрешить доступ.

Обычно это надо соседям или офисам в одном здании. Прописываем маршрут и готово.

 

А если включить прокси арп, то прокси начнет отвечать на любой арп, в т.ч. и на тот, на который ответ уже был дан другим абонентским устройством. Дальше все зависит от поведения конкретной системы, какую запись она признает валидной. Я думаю проблемы есть, просто вы их не замечаете. Или прокси как то настраивается так, чтобы отвечать не на все арпы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1) поднять мониторинг юникаст и нон-юникаст пакетов на коммутаторе в ядре, используя cacti.

2) сегментировать сеть по vlan

3) поставить управляемые коммутаторы на дом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если включить прокси арп, то прокси начнет отвечать на любой арп, в т.ч. и на тот, на который ответ уже был дан другим абонентским устройством. Дальше все зависит от поведения конкретной системы, какую запись она признает валидной. Я думаю проблемы есть, просто вы их не замечаете. Или прокси как то настраивается так, чтобы отвечать не на все арпы?

 

У нас L3 доступ, поэтому прокси арп работает на своем маршрутизаторе с ограниченным количеством портов.

 

Хотя не понятно, от чего вообще должны быть проблемы? Прокси арп работает так - абонент сделал запрос на определение любого адреса, шлюз со стороны оператора ответил, что его мак и равен этому адресу, абонент начал передавать данные. Со стороны шлюза данные из прокси арп не используются для определения маршрутной информации. Проблема может быть только у абонента, когда один компьютер пингует второй адрес абонента и шлюз отвечает что этот адрес равен маку шлюза, тут абонент пытается установить этот адрес на винде и она ему ругается, что такой адрес уже используется в сети. Тут мы советуем абоненту выдернуть кабель и применить настройки адреса, тогда неприятностей не возникает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хотя не понятно, от чего вообще должны быть проблемы?

 

Вот от этого как раз:

когда один компьютер пингует второй адрес абонента и шлюз отвечает что этот адрес равен маку шлюза

 

Проще раз в 6-8 месяцев научить гика рисовать маршрут (выдавать по DHCP не хотим, т.к. реализация DHCP-клиентов сильно отличается между собой), чем делать с непричастным к теме абонентом вот так:

Тут мы советуем абоненту выдернуть кабель и применить настройки адреса

 

Мы пытаемся построить сеть удобную в первую очередь клиенту (до свидания PPPoE, PPTP, VPN) и только потом удобную нам. :) А прокси-арп доставляет неудобства как раз клиенту при сомнительном профите, нужном в 0,001% случаев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.