Jump to content
Калькуляторы

Проблемы с сетью

Reply to this topic

gor_kk   

gor_kk
Posted

Доброго времени суток!

имеем сеть на 180 человек

в основе rb2011ahх2 uplink приходит оптикой от выше стоящего провайдера,канал 130/130 мбит/с

авторизация по pppoe ,все порты кроме wan соеденены в бридж и на него повешен pppoe server

скоростя по 4/1 мбит

ограничения Queue Tree

так вот днем все нормально пинг 20-28 мс! все скоростя ,WoT,smart tv работают без проблем

но в интервал с 19-22 часов канал подрыгивает до 120 мбит и начинается аврал !

до этого такого не было ,новых клиентов не подключали а наоборот канал расширили!как вычислить откуда берется столько скорости?по соеденениям и по правилам превышений нет

Share this post

Link to post
Share on other sites

GrandPr1de   

GrandPr1de
Posted

И убирай PPPoE и Queue Tree и переходи на Simple

И вообще:

"Надо было ставить линукс" ©

Че с нагрузкой на проц у микротика то?

Врубить торч и глянут много ли бегает нежелательного броадкаста\мультикаста.

Была б проблема в сегментации сети - у него б сеть не три часа в сутки штормило. Сегментация штука хорошая но тут явно не в ней проблема.

Share this post

Link to post
Share on other sites

EShirokiy   

EShirokiy
Posted

rb2011

сеть на 180 человек

130/130 мбит/с

Я бы начал с замены данной мыльницы на что-нибудь более производительное + сегментация всей сети.

UPD: если ТС перепутал модели и у него RB1100, тогда проблема с флудом и железо менять не надо.

Share this post

Link to post
Share on other sites

gor_kk   

gor_kk
Posted

проц на 20-25 %

 

 

как вычислить то вирусованного

 

вот как сегментировать ее если pppoe на бридж настроено?!или бегать по клиентам и перенастраивать?я вот просто пока догнать не могу

Share this post

Link to post
Share on other sites

pingz   

pingz
Posted

На форуме каждый месяц задают такой вопрос.

1. В сети нужно зарезать весь трафик кроме пппое до микротика если резать на самом микротика эффекта не будет т.к. пакеты всеровно будут приходить.

Так же избавимся от того, что один абоненент может дать трафик другому. Пример:

https://m.habrahabr.ru/post/123038/

2. Убрать весь лишний трафик с микротика т.е. как предлагают выше сегментировать сеть убрать бридж и км каждый интерфейс поведать свой пппое сервер. Тогда как минимум можно определить в каком направление проблема. Желательно каждый дом поместить в свой вилан и в каждом вилане сервер. Убрать все лишние интерфейсы с микротика и с соседних железок т.е. допустим на коммутатор создан вилан в котором допустим крутится сеть организаций да же если на микротике нет этого вилана, а на коммутатор есть то микротика всеровно будет обрабатывать эти пакеты и отбрасыфать.

3. Правила фаервола у меня всего 3 правила 1. Запретить всесь трафик кроме интерфейса выше стоящего оператора. Для заблокированых мы даем 64 кб/с поэтому их только перенаправляет на заглушку. Ну и маскарадинг в инет.

4. Systems-> pakets отключаем все не нужные пакеты. Так же советую посмотреть tols-> profil

Share this post

Link to post
Share on other sites

NiTr0   

NiTr0
Posted

достаточно одного завирусованного клиента

только вот беда - сегментация от завирусованного клиентане избавит. не, в целом она полезна, хотя бы для того чтобы мусор бродкастов по всей сети не гулял, но вот в данном конкретном случае она не поможет.

Share this post

Link to post
Share on other sites

pingz   

pingz
Posted

достаточно одного завирусованного клиента

только вот беда - сегментация от завирусованного клиентане избавит. не, в целом она полезна, хотя бы для того чтобы мусор бродкастов по всей сети не гулял, но вот в данном конкретном случае она не поможет.

За то выяснить, где этот Клинт в разы проще.

Share this post

Link to post
Share on other sites

NiTr0   

NiTr0
Posted

таки нет. что совой об пень, что пнем об сову - можете гасить вланы, можете гасить порты коммутатора агрегации, результат будет идентичным. потому что завирусованный клиент генерит 100500 сессий и кучу трафика, а не шторм в л2 сегменте.

Share this post

Link to post
Share on other sites

pingz   

pingz
Posted

а что, от того что много пакетов будет в двух (трех, четырех) вланах роутеру должно стать легче?...

Вот допустим как вы говорите будет вирус в сети у 20 абонентов они будут создавать очень много сессий, по логике вещей, будет много пакетов от этих пользователей. Допустим у нас сеть на 200 абонентов сеть сегментирована на 20 вланов, какая вероятность того, что все 20 вланов будут с большим количеством пакетов?

 

Про легче не, кто и не говорил, так будет проще видеть картину, и проще будет найти этого абонента и допустим на доступе будет проще настроить ему асл или вообще выключить и позвонить сказать лечите компьютер.

 

И вообще у ТС нечего не настроено, поэтому возможно, что угодно.

Share this post

Link to post
Share on other sites

DRiVen   

DRiVen
Posted

pingz, у ТС по описанию нисходящий трафик по аплинку вырос, а не в/из сети доступа, и от количества вланов он не уменьшится. ТС, напрашиваются два варианта - или немалая часть абонов начала что-то выкачивать, что маловероятно, или кто-то из абонов под нужную очередь не попадает (висит на корневой очереди например), что больше похоже на правду.

 

P.S>Как уже было замечено, если у вас все подключения одинаковы по приоритету и скорости, то tree вам без надобности, уходите на simple.

Share this post

Link to post
Share on other sites

pingz   

pingz
Posted

pingz, у ТС по описанию нисходящий трафик по аплинку вырос, а в/из сети доступа, и от количества вланов он не уменьшится. ТС, напрашиваются два варианта - или немалая часть абонов начала что-то выкачивать, что маловероятно, или кто-то из абонов под нужную очередь не попадает (висит на корневой очереди например), что больше похоже на правду.

 

P.S>Как уже было замечено, если у вас все подключения одинаковы по скорости, то tree вам без надобности, уходите на simple.

Вы почему такие тугие, количество вланов это не лечение, а способ обнаружить причину. Вот например у меня по направлениям рисуются графики наверное как и вас и можно отследить откуда или куда идет трафик. Так проще искать, а когда у тебя один большой широковещательный домен тяжело искать проблему и у ТС микротик должен чихать при таком количестве абонентов т.к. я больше чем у верен у него не чего не выключено на нем.

 

У меня стоят CCR1036 пока я не отфильтровал на доступе и на ядре трафик, не сделал сегминтацию сети, и не выключил не нужные пакеты, уменьшил количество фаерволов на микротике выше 500 абонентов было напряжно появлялись различные не понятные ситуации. Теперь можно вешать больше. Но для меня 500 абонентов это золотая середина хотя сейчас есть и 800 с тарифами до 10 мб.

Share this post

Link to post
Share on other sites

pppoetest   

pppoetest
Posted
количество вланов это способ обнаружить причину.

image_12810092052024099701.gif

 

У меня стоят CCR1036 пока я не отфильтровал на доступе и на ядре трафик, не сделал сегминтацию сети, и не выключил не нужные пакеты, уменьшил количество фаерволов на микротике выше 500 абонентов было напряжно появлялись различные не понятные ситуации.

Всё ясно, моя подпись в действии.

Share this post

Link to post
Share on other sites

pingz   

pingz
Posted
количество вланов это способ обнаружить причину.

image_12810092052024099701.gif

 

У меня стоят CCR1036 пока я не отфильтровал на доступе и на ядре трафик, не сделал сегминтацию сети, и не выключил не нужные пакеты, уменьшил количество фаерволов на микротике выше 500 абонентов было напряжно появлялись различные не понятные ситуации.

Всё ясно, моя подпись в действии.

Один из моих знакомых у которого стоят 2 мх960 говорит так "Мне монописуально на пару процентов загруженности процессора." С микротиком так не прокатит :(

Share this post

Link to post
Share on other sites

gor_kk   

gor_kk
Posted

правил фаервола миниму,ушел на simple,убрал бридж на каждый порт вывесил PPPoE c разыми профилями и адресами пока результата ноль

Share this post

Link to post
Share on other sites

GrandPr1de   

GrandPr1de
Posted

ну возможно просто полка по каналу

может у вас там нет "честных" 130 мегабит

банально в полку уляглись и всё

расширьте канал, хотя бы для теста

Share this post

Link to post
Share on other sites

NiTr0   

NiTr0
Posted

Допустим у нас сеть на 200 абонентов сеть сегментирована на 20 вланов, какая вероятность того, что все 20 вланов будут с большим количеством пакетов?

что совой об пень, что пнем об сову - результат будет один. микротику от, скажем, 50 кппс будет одинаково хреново хоть оно в одном вланеприлетит, хоть в 200 вланах в сумме.

 

вставал на прямую !еще 40 мбит запаса

попросите у аплинка временно еще один стыковой адрес. подключите комп, и когда у юзеров начинаются лаги - пустите с того компа спидтест.

 

есть ненулевая вероятность, что у аплинка тоже стоит поделка типа микротика, и она складывается в ЧНН.

Share this post

Link to post
Share on other sites

gor_kk   

gor_kk
Posted

попросите у аплинка временно еще один стыковой адрес. подключите комп, и когда у юзеров начинаются лаги - пустите с того компа спидтест.

 

есть ненулевая вероятность, что у аплинка тоже стоит поделка типа микротика, и она складывается в ЧНН.

 

 

поподробнее можно?у uplinka стоит huawei не помню модель сам лично подключал они просто сказали в какой порт

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...