Как бороться с голимым китайским оборудованием?

[kid79]

Народ, добрый день. Подскажите как победить железяки абонента, есть следущая схема сети, влан на абонента, управление оборудованием висит в отдельном влане. Абонент за своим микротиком начал монтировать видеонаблюдение как он говорит из голимого ноунейм китая, как только они начали монтаж у меня коммутаторы длинки-ки стало ловить лупбэки на аплинках. на портах абонента включен лупбэк детекшен и экшен шатдаун, повесил bpdu протект не помогает, завел блэкхол влан и назначил его native vlan на аплинки, ничего не помогло. гашу порт абонента все ровно.

[alibek]

Какие D-Link? Поставьте на доступ более приличное оборудование.

[kid79]

des-3200, чем плохи то? так в основном 

[alibek]

Ревизия какая?

Вообще они легко горят в грозу, после чего у них сносит крышу и они начинают флудить.

Но если исправны, то при правильной настройке вполне приличны.

[kid79]

ревизии разные и с и B, с абонентом уже выяснили что как только они включают на микротике порт с камерами начинается дискотека. Как выход предложил им сделать L3 сеть под камеры и запретить для это подсети доступ во внешку.

[zhenya`]

Loopback detect на аплинках? Зачем?

[vurd]

У него там петля и вы не должны ложиться от неё.

Ставьте интервал в 1 секунду, холд на 600, политку дроп. На аплинк-портах отключаете лбд. В целом всё. Пускай чинит свои кривульки.

[Butch3r]

8 часов назад, zhenya` сказал:

Loopback detect на аплинках? Зачем?

++++

[kuterye]

Микротик там маршрутизатор? Если петля в локалке пролетает с LAN порта на WAN и ложит порт провайдера- значит клиент там на нем кривых бриджей настроил, а китайцы не виноваты.

Если хотите помочь клиенту- попросите конфиг посмотреть.

[kid79]

как писали выше иногда от грозы порты погибают, в том числе и аплинки, тогда они сами себя отрубают . насчет конфига микротика можно попрошу посмотреть.

[VolanD666]

Настройте СПАН и посмотрите что на порту происходит. Либо топайте к клиенту с ноутом и с микротика на сниффере смотрите что он отправляет в вашу сторону. Если клиент своими кривыми руками кладет свич провайдера- это большой косяк провайдера имхо :)

[semop]

так все правильно, lbd по цепочке в режиме port-based и замочил все порты где отсканинил эту петлю.

отключите на магистралях и будете ронять только абонентский порт.

 

Выковыривать проблему у аб. можно за денежку. Эти вот снифферы и тп штуки. Если это не друг главного или жирный или еще какой-нибудь вип.

Ну или если охота новых приключений и опыта разруливания конфигов нонэйм железяк, что тоже хлеб возможно в будущем.

 

ПС: если по науке то длинку до китая всего 200км. Это рядом. 

К вопросу о галиматье))

 

[Ivan_83]

Ставьте рейтлимиты на клиентские порты для броадкаста/мультикаста, при петлях именно такой траф летит.

[kid79]

спасибо все за советы, проблему пока вычленяем постепенно подключая оборудование за микротиком. лупбэки с аплинков с коммутаторов которые ложились убрал. стало получше. порт абонента настроен на ограничение бродкастов, уникастов

loopback-detect enable
 loopback-detect action shutdown
 stp bpdu-filter enable
 port-mirroring to observe-port 1 inbound
 port-mirroring to observe-port 1 outbound
 unicast-suppression 1
 broadcast-suppression 1
.по дампу с зеркала порта ничего особенного не увидели, колец не нашел. было много запросов ipv6 dhcp(выпилили с микротика) и через какой то время микротик начинает бомбить арп запросами на поиск шлюза. сейчас разбираюсь в жоках хуавея на ограничение запросов.

[Ivan_83]

3 часа назад, kid79 сказал:

через какой то время микротик начинает бомбить арп запросами на поиск шлюза.

А прокси арп случаем не включён?

Можно и статикой арп для шлюза забить.