vIv Опубликовано 10 января, 2010 · Жалоба Да и не понятно что делать с 200-ми 3028 уже установленными....Может вот оно. Пришло время слить контору? ;) А, может, лучше слить говно в говноисточник? ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
witch Опубликовано 11 января, 2010 · Жалоба всё что брошено в унитаз - предварительно должно быть съедено ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 11 января, 2010 · Жалоба Посмотрел show flood... лучше бы я туда не заглядывал :( Пытаясь справиться с проблемой, разбил район на зоны каждую с отдельным vlan. В итоге ситуация только ухудшилась. Думается, это может быть из-за того, что VID в битовом представлении занимал раньше 12 бит, а теперь, после разбиения, только 10. У кого есть алгоритм? Поделитесь. :) p.s. Все vlan тянутся последовательно гирлядной и "ответвляются" по ходу дела. Думаю попробовать "раззвездить" сеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wave Опубликовано 11 января, 2010 · Жалоба Помимо описанной здесь уже проблемы выявилась еще проблема с тем что некоторые маки вообще не видятся коммутатором 3028. Просто 1 клиент на порту с "плохим" маком и коммутатор его просто не видит. Вот пример: Клиент в 1 порт 3028. ip: 10.1.245.2/24 gw: 10.1.245.1 мак: 00-1B-38-D5-F2-A1 ========= config vlan default delete 1-28 create vlan test tag 2245 config vlan test add untagged 1 config ipif System vlan test ipaddress 10.1.245.2/24 state enable enable flood_fdb config flood log enable trap enable DES-3028:4#sh fdb Command: show fdb Unicast MAC Address Aging Time = 300 VID VLAN Name MAC Address Port Type ---- -------------------------------- ----------------- ---- --------------- 2245 test 00-21-91-7A-11-8D CPU Self Total Entries : 1 ========= Мак не виден. Меняю мак на клиенте на 00-1B-38-D5-F2-A2 ========== DES-3028:4#sh fdb Command: show fdb Unicast MAC Address Aging Time = 300 VID VLAN Name MAC Address Port Type ---- -------------------------------- ----------------- ---- --------------- 2245 test 00-1B-38-D5-F2-A2 1 Dynamic 2245 test 00-21-91-7A-11-8D CPU Self Total Entries : 2 ========== Мак виден. Вывод следующей команды не изменяется. Пусто с любым маком. ========== DES-3028:4#sh flood Command: show flood_fdb Flooding FDB State : Enabled Log State : Enabled Trap State : Enabled Value VLAN ID MAC Address Time Stamp ------ ------- ------------------- ---------- ========== Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 11 января, 2010 · Жалоба Wave, однако :) У себя тоже наблюдаю: DES-3028G:4#sh fdb Command: show fdb Unicast MAC Address Aging Time = 300 VID VLAN Name MAC Address Port Type ---- -------------------------------- ----------------- ---- --------------- 2245 test 00-22-B0-67-4C-44 CPU Self Total Entries : 1 DES-3028G:4#cre fdb test 00-1B-38-D5-F2-A1 p 1 Command: create fdb test 00-1B-38-D5-F2-A1 port 1 Entry exists! Fail! DES-3028G:4#cre fdb test 00-1B-38-D5-F2-A2 p 1 Command: create fdb test 00-1B-38-D5-F2-A2 port 1 Success. И еще: DES-3028G:4#sh fdb Command: show fdb Unicast MAC Address Aging Time = 300 VID VLAN Name MAC Address Port Type ---- -------------------------------- ----------------- ---- --------------- 1 default 00-22-B0-67-4C-44 CPU Self Total Entries : 1 DES-3028G:4#del vlan test Command: delete vlan test There are static fdb in the VLAN! Fail! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 11 января, 2010 (изменено) · Жалоба Немного модернизировал, результат тот же. Сбрасываю коммутатор reset sys, затем ввожу: config vlan default delete 1-24 create vlan the_bug tag 3333 config vlan the_bug add untagged 1 config ipif System vlan the_bug create fdb the_bug 00-1B-38-D5-F2-A1 port 1 Fail! =) Если команду config ipif System vlan the_bug не вводить - все окей. Изменено 11 января, 2010 пользователем xcme Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wave Опубликовано 11 января, 2010 (изменено) · Жалоба Немного модернизировал, результат тот же. Сбрасываю коммутатор reset sys, затем ввожу:config vlan default delete 1-24 create vlan the_bug tag 3333 config vlan the_bug add untagged 1 config ipif System vlan the_bug create fdb the_bug 00-1B-38-D5-F2-A1 port 1 Fail! =) Если команду config ipif System vlan the_bug не вводить - все окей. Ну да, если отказаться от интерфейса и перевести его в разряд неуправляемого, то данный мак заработает :), но вот другие "плохие" маки уже нет. Судя по всему данный мак при вычислении хэша совпадает с системным. Непонятно только почему данный мак так "плох" для всех коммутаторов 3028, ведь хэши должны отличаться. Данный мак не один, были еще "плохие" маки. Изменено 11 января, 2010 пользователем Wave Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 11 января, 2010 · Жалоба Ну да, если отказаться от интерфейса и перевести его в разряд неуправляемого, то данный мак заработает :), но вот другие "плохие" маки уже нет. Судя по всему данный мак при вычислении хэша совпадает с системным. Непонятно только почему данный мак так "плох" для всех коммутаторов 3028, ведь хэши должны отличаться. Данный мак не один, были еще "плохие" маки.У вас управление вынесено в отдельный влан? Или вы в управляющем влане и пытаетесь создать запись? А вообще да, проблема существует. Напишу-ка наверное на форуме длинка ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 11 января, 2010 · Жалоба http://forum.dlink.ru/viewtopic.php?t=116208 Оперативно. За 3 минуты. =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wave Опубликовано 11 января, 2010 · Жалоба http://forum.dlink.ru/viewtopic.php?t=116208Оперативно. За 3 минуты. =) Стандартный ответ на форуме Длинка :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 11 января, 2010 · Жалоба Таки што по этому поводу говорит Дёмин Иван и его коллеги? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wave Опубликовано 11 января, 2010 · Жалоба Таки што по этому поводу говорит Дёмин Иван и его коллеги? Информация отправлена в штаб квартиру... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LionSprings Опубликовано 11 января, 2010 · Жалоба Таки што по этому поводу говорит Дёмин Иван и его коллеги?Просят побольше присылать им таких случаев, типа что б штаб-квартира запинала броадком. Но что-то мне слабо в это верится... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 11 января, 2010 (изменено) · Жалоба есть более замечательный MAC: 00:00:00:00:00:00, который на попавшихся под руку L2 Cisco и Edge-Core (и тот и другой по 3 разных модели) также не изучается и замечательно гуляет броадкастом. Подозеваю, что подобное характерно для подавляющего большинства коммутаторов доступа независимо от производителя. На домашнем подключении по ADSL от телекома периодически наблюдаю до полмегабита подобного входящего трафика (чужая pppoe сессия с трафиком, содержащим в dst mac 00:00:00:00:00:00). Телеком использует Cisco/Huawei/Zyxel. Если подобный трафик направить со стороны ethernet'а в Linksys'овский Access Point, то спустя 3-5 секунд достучаться до него по WiFi становится невозможно. Продолжим? :) Шибко задумался о том, как будет себя ощущать ethernet-сегмент (а также подключенные к нему пользовательские супер-пупер-broadband роутеры и другие железки за три копейки), если несколько пользователей с такими маками начнут на скорости подключения активно гонять гк через локальные файлообменные torrent/DC. Изменено 11 января, 2010 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 11 января, 2010 · Жалоба здесь MAC-адрес абонента конфликтует с MAC-адресом его же шлюза.Если посмотрите - там разные хеши. Т.е. абонент "А" конфликтует с абонентом "В", а шлюз абонента "А" конфликтует с абонентом "С". Т.е. когда абонент "А" начинает подавать на шлюз приличный аплоад, остальные абоненты на этом свиче нервно курят в сторонке. Нарисовал на бумажке. Всё-равно не понял. Это три вилана? Как задеваются остальные виланы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 11 января, 2010 · Жалоба есть более замечательный MAC: 00:00:00:00:00:00 mac address-table static 0000.0000.0000 vlan 123 drop ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 11 января, 2010 · Жалоба Да, где-то на длинковском сайте я видел рекомендацию дропать нулевой мак ацлями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 11 января, 2010 · Жалоба Просят побольше присылать им таких случаев, типа что б штаб-квартира запинала броадком.Это что же получается? Они даже и не пинали особо Броадком?! Замечательно.Я могу ошибаться, но почему-то интуитивно чувствуется, что проблему вполне возможно решить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 11 января, 2010 · Жалоба костыль который был предложен, предварительно создать 24(48) мак бейзд влана, поместить в них в каждый мак адрес шлюза(найденого с помощью auto_fdb) и когда свич находит мак на этих портах, который не может поместить в fdb, он помещает его в свой резервированный мак бейзд влан, так что он будет вместе только со маком шлюза. дополнительная метка mac based влана даёт уникальный хеш. курят уже 3 недели, ищут сайдэффекты(с) длинк p.s. отключить хеширование нельзя, по словам броадкома, это собственно говоря не функция прошивки, а ф-ия асика, его внутренний микрокод, как он "прошивается" известно только броадкому, но думаю в заводских условиях, и далеко не через JTAG, а может намертво вшит. если сделать софтваре мак лёрнинг, то деградирует производительность. собственно здешним посетителям не советую гадать на кофейной гуще, показывая свою интуитивность, т.к. вряд ли среди нас есть разработчики чипсетов, а ещё круче - чипсетов броадкома :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 12 января, 2010 (изменено) · Жалоба Не смог я их со своим биллингом подружить, вот и валяются сейчас на полочке :(уф... я уж думал чего серьезнее :) значит буду ковырять дальше ЗЫ. можт если че махнемся неглядя? ;) Да легко а что конкретно не удалось подружить? так набудущее, чтоб на грабли не наступать...Некорректно работал IP Source Guard в Static Binding (то с логами беда, то блоки некорректные, то просто непредсказуемо работал).Хотел получить аналог функционала IP-MAC-Binding от D-link-a, не вышло, толи руки кривые, толи ещё-что, промучался 2 месяца - забил нафик. Остальной функционал вроде нормально работает, хотя из-за вышеописанной ситуации на прошакшене не удалось протестировать, лежат на полочке. Изменено 12 января, 2010 пользователем terrible Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 12 января, 2010 · Жалоба Некорректно работал IP Source Guard в Static Binding (то с логами беда, то блоки некорректные, то просто непредсказуемо работал).Хотел получить аналог функционала IP-MAC-Binding от D-link-a, не вышло, толи руки кривые, толи ещё-что, промучался 2 месяца - забил нафик. Остальной функционал вроде нормально работает, хотя из-за вышеописанной ситуации на прошакшене не удалось протестировать, лежат на полочке. а.. успокоили, я уж боялся что radius-связка igmp access control или 802.1x не корректно пахает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 12 января, 2010 · Жалоба костыль который был предложен, предварительно создать 24(48) мак бейзд влана, поместить в них в каждый мак адрес шлюза(найденого с помощью auto_fdb)и когда свич находит мак на этих портах, который не может поместить в fdb, он помещает его в свой резервированный мак бейзд влан, так что он будет вместе только со маком шлюза. Интересный костыль. Но разве DES-3028 поддерживает MAC-based VLAN? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 12 января, 2010 · Жалоба костыль который был предложен, предварительно создать 24(48) мак бейзд влана, поместить в них в каждый мак адрес шлюза(найденого с помощью auto_fdb)и когда свич находит мак на этих портах, который не может поместить в fdb, он помещает его в свой резервированный мак бейзд влан, так что он будет вместе только со маком шлюза. Интересный костыль. Но разве DES-3028 поддерживает MAC-based VLAN? ну раз думают, то есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DrakoN Опубликовано 12 января, 2010 · Жалоба Т.е. как видим мы имеем явно проблемную ситуацию, что коммутатор может переварить только 2 в 13 = 8192 уникальных хеша. Если у вас на коммутаторе ходят пакеты 80 клиентов (маков), то вероятность что новый клиент (мак) вызовет проблемы 1/100, если 800 маков - 1/10 (уже не мало), 4000 - 1/2 (это уже катастрофа). Количество коллизий не совсем так считается. Почитайте http://ru.wikipedia.org/wiki/Парадокс_дней_рождения для начала Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 12 января, 2010 (изменено) · Жалоба Т.е. как видим мы имеем явно проблемную ситуацию, что коммутатор может переварить только 2 в 13 = 8192 уникальных хеша. Если у вас на коммутаторе ходят пакеты 80 клиентов (маков), то вероятность что новый клиент (мак) вызовет проблемы 1/100, если 800 маков - 1/10 (уже не мало), 4000 - 1/2 (это уже катастрофа). Количество коллизий не совсем так считается. Почитайте http://ru.wikipedia.org/wiki/Парадокс_дней_рождения для начала Согласен - я интуитивно так и думал что там экпонента, но в комбинаторике и теорвере я немного слаб :-(. Т.е. всё еще хуже, осталось посчитать по формуле 1 - ( 8192! / ( (8192^N) * (8192-N)!) вероятности для N=28, 40, 80, 500, 1000, 4000 Но тут нужен софт.... 8192! это не хухры мухры :-). Хотя тут апроксимация есть.... сейчас посчитаем. 2 0,00012 10 0,00548 28 0,04509 40 0,09082 80 0,32005 100 0,45351 108 0,50605 150 0,74440 200 0,91189 300 0,99581 400 0,99994 Да... т.е. если больше 108 маков вероятность проблем уже 1/2 :-(... а при 300 почти 100% Еще интереснее понаблюдать за расчетами при увеличении размера ХЭША на вероятность совпадения. Правда тут есть одно но в эти формулы надо заложить ограничение на вероятность совпадения ХЭША у маков, т.к. 1. маки уникальны 2. их число ограничено. кому не лень - посчитайте. Изменено 12 января, 2010 пользователем sdy_moscow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...