vasya_petrovich Posted October 24, 2024 Posted October 24, 2024 (edited) Добрый день, коллеги. Столкнулись c такой проблемой, есть коммутатор с прошивкой: Цитата SNR-S2995G-24FX Device, Compiled on Sep 12 11:35:28 2024 SoftWare Package Version V705R002C011B029 На нем создаем userdefined-access-list: Цитата userdefined-access-list standard offset window1 l3start 1 window2 l3start 26 window3 l3start 27 window4 l3start 28 userdefined-access-list standard 1200 permit any-source-mac any-destination-mac window1 6 ff window2 a ff window3 a ff window4 d5 ff userdefined-access-list standard 1200 permit any-source-mac any-destination-mac window1 6 ff window2 c0 ff window3 a8 ff window4 d5 ff userdefined-access-list standard 1200 deny any-source-mac any-destination-mac window1 6 ff userdefined-access-list standard 1200 permit any-source-mac any-destination-mac После этого применяем этот access-group на порт: Цитата int eth 1/0/1 userdefined access-group 1200 in traffic-statistic После добавления на порт у пользователя исходящая скорость падает от 0 до 1 мегабита/с, при этом входящая скорость нормальная. P.S.> Аналогичные правила применяем на таком же коммутаторе с прошивкой "SoftWare Package Version 7.5.3.6(R0004.0517" и там такие проблемы не наблюдаются. Задача этого access-group фильтровать нежелательный трафик. Edited October 24, 2024 by vasya_petrovich Вставить ник Quote
Vladimir Efimtsev Posted October 24, 2024 Posted October 24, 2024 @vasya_petrovich, здравствуйте. Подскажите, пожалуйста. что именно вы хотите сделать данным ACL? Вы хотите разрешить ARP запросы или ответы от клиента на адреса 10.10.213.0/24 и 192.168.213.0/24, а на все остальные адреса запретить? Также подскажите, если при примении ACL на порту не указывать параметр traffic-statistic, проблема также будет актуальна? Вставить ник Quote
vasya_petrovich Posted October 24, 2024 Author Posted October 24, 2024 (edited) Цитата Вы хотите разрешить ARP запросы или ответы от клиента на адреса 10.10.213.0/24 и 192.168.213.0/24, а на все остальные адреса запретить? Да, все верно. Цитата Также подскажите, если при примении ACL на порту не указывать параметр traffic-statistic, проблема также будет актуальна? Пробовали и с traffic-statistic и без, ситуация не меняется. CPU Utilization в районе 25% Edited October 24, 2024 by vasya_petrovich Вставить ник Quote
Vladimir Efimtsev Posted October 24, 2024 Posted October 24, 2024 Quote После добавления на порт у пользователя исходящая скорость падает от 0 до 1 мегабита/с, при этом входящая скорость нормальная. А как скорость измеряете? клиент у себя или наливаете на него трафика и смотрите утилизацию порта на коммутаторе? Вставить ник Quote
vasya_petrovich Posted October 24, 2024 Author Posted October 24, 2024 (edited) Банальным спидтестом. Стоит только удалить access-group, как исходящая скорость у абонента сразу же приходит в норму. Путем опытов выявили следующее: Цитата userdefined-access-list standard offset window1 l3start 1 window2 l3start 26 window3 l3start 27 window4 l3start 28 userdefined-access-list standard 1200 permit any-source-mac any-destination-mac window1 6 ff window2 a ff window3 a ff window4 d5 ff userdefined-access-list standard 1200 permit any-source-mac any-destination-mac window1 6 ff window2 c0 ff window3 a8 ff window4 d5 ff При такой конфигурации исходящая скорость в норме, но если добавить: Цитата userdefined-access-list standard 1200 deny any-source-mac any-destination-mac window1 6 ff userdefined-access-list standard 1200 permit any-source-mac any-destination-mac исходящая скорость у клиента сразу проседает до 1 мегабита/с Edited October 24, 2024 by vasya_petrovich Вставить ник Quote
Vladimir Efimtsev Posted October 25, 2024 Posted October 25, 2024 @vasya_petrovich, подскажите, пожалуйста, следующие моменты: 1. а какое должно быть нормальное значение скорости у клиента? 2. пробовали ли прогрузить канал iperf'ом в обе стороны? Вставить ник Quote
vasya_petrovich Posted October 28, 2024 Author Posted October 28, 2024 1. Нормальная от 100 мбит/с и выше (исходящая от клиента). 2. Нет, не пробовали. Взяли такую же модель коммутатора в офисе, залили на него такую же прошивку "V705R002C011B029", правила и т.д., и НЕ смогли воспроизвести проблему. Планируем заменить коммутатор "глючный" и протестировать его в офисе. По результатам отпишусь. Вставить ник Quote
Evgeniy Rychkov Posted October 28, 2024 Posted October 28, 2024 Хорошо, будем ждать результатов. Но если будут дополнительные вопросы, то лучше оставить заявку у нас на саппорте, где сможем обсудить различные детали Вставить ник Quote
vasya_petrovich Posted December 4, 2024 Author Posted December 4, 2024 Привезли в офис "глючный" коммутатор, и в офисе НЕ удалось воспроизвести проблему. Возможно, что под нагрузкой такой эффект проявляется, мы не пробовали. Вставить ник Quote
Vladimir Efimtsev Posted December 4, 2024 Posted December 4, 2024 @vasya_petrovich, здравствуйте. Вероятно, есть какие-то определенные условия для возникновения данной ситуации, возможно какой-нибудь специфический трафик, либо просто был какой-то софтовый сбой коммутатора, а может даже проблема на стороне клиента. В любом случае, сейчас установить актуальность и причину проблемы не представляется возможным, при повторном появлении рекомендуем вам оставить заявку на nag.support, прикрепить к заявке вывод 'sh tech' с данного коммутатора, а также попробовать прогрузить канал до клиента iperf и проверить утилизацию порта до клиента с помощью 'sh int eth c rate' и также прикрепить к заявке. Вставить ник Quote
vasya_petrovich Posted December 6, 2024 Author Posted December 6, 2024 Однозначно проблема не на стороне клиентов (было множество обращений). Инженеры выезжали на узел и напрямую подключались к коммутатору. Перезагружали коммутатор - безрезультатно. Если ситуация повторится, то обязательно создадим тикет. Спасибо. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.