terrible Опубликовано 8 января, 2010 · Жалоба 3 тысячи маков достаточно, что б наблюдать стойкий разрушительный эффект. Помоему 3к маков в 1 влане это уже разрушительный эффект Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 8 января, 2010 (изменено) · Жалоба Тут уже писали.... ....... у меня есть документ описывающий хеш функцию, выкладывать не буду(не хочется портить отношения с людьми) учитываются все биты (12бит VLAN + 48 бит MAC), но вот дальше функция превращает их в 13 бит, и колизионность получается приличная. vlan на пользователя тоже лечит, потому что хеш всегда одназначен. при маленьком броадкаст домене, допустим на свич или на дом это практически незаметно. спрашивал бааальших провайдеров, им вообще фиолетово на это. Т.е. как видим мы имеем явно проблемную ситуацию, что коммутатор может переварить только 2 в 13 = 8192 уникальных хеша. Если у вас на коммутаторе ходят пакеты 80 клиентов (маков), то вероятность что новый клиент (мак) вызовет проблемы 1/100, если 800 маков - 1/10 (уже не мало), 4000 - 1/2 (это уже катастрофа). Что мы и наблюдаем. Хуже всего, что хэш функция одинакова ВО ВСЕХ комутаторах, так что проблема не локализуется на одном коммутаторе, и не теряется в каскаде, а имеет место НА всем пространстве сегмента, где 3028 живут без промежуточных "более качественных" железок. Вывод: 3028 - ф топку.... ищем достойную замену. Что собственно Д-Линк и сделал - отправив его в "устаревшее". Правда получилось у них это на удивление коряво, "новое" - явно в цене ушло куда-то за пределы разумного. 3200 за такие деньги ( на 60% дороже) - нам например нах не нужен - уже можно и на каталисты поглядеть. Если Д-Линк считает что мы покупаем его железки потому-что это "Д-ЛИНК", то они глубоко ошибаются. Для нас главное цена/качество. 3028 - был явный лидер за счет 4-х гигабитных портов и "супер" возможностей за 200-230 у.е. 3526 на его фоне даже не был столь приятен. Сейчас - возвращаемся на 3526, но их уже практически не везут... да и 2 гигабитных порта уже маловато (т.к. касады получаются "длинноваты". 3200 - за ту цену что мне объявили до нового года - МНЕ НЕ НУЖЕН! З.Ы. Очень надеюсь, что сюда люди из Д-Линка рано или поздно заглянут - и задумаются..... Надо отдельно отметить, что их саппорт все-же один из самых адекватных в России... З.Ы. Еще подумал - решил дописать. Вывод на самом деле таков - надо использовать 3028 как чисто "конечное" устройство. Т.е. он должен быть включен аплинком в "нормальную" Л2 железку. Причем структура броадкаст домена - должна быть 1 ВЛАН - 1 коммутатор. Вэтом случае вероятность возникновения проблемы будет около 1/300- 1/400. Т.е. 1 проблема на 300-400 подключений, что уже на фоне соотношения цена/качество становится не столь страшным. К тому-же проблема будет хорошо локализоваться.... Изменено 8 января, 2010 пользователем sdy_moscow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 8 января, 2010 · Жалоба у Хуавея кстати тоже есть железки на этом чипе ;) не скажу какие, линейку не знаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 8 января, 2010 · Жалоба Посмотрите show flood. Там будут пары MAC-адресов - сразу видна причина коллизии (кто с кем).Лучше б не смотрел. По некоторым виланам конфликт вообще по обеим сторонам. Абонент конфликтует с кем-то, и его шлюз тоже. 2614 512 00-D0-00-20-58-0A 299433 6035 512 00-30-96-33-D4-7A * 299433 если у Вас влан на пользователя (т.е. каждый влан болтается на 2-х портах, на пользовательском и на аплинке, или на аплинке и даунлинке, при транзитном влане), то Вам, как бы, пофиг на эту проблему. Ну не проленился мак 00-D0-00-20-58-0A в влане 512. ну не знает коммутатор, куда слать пакеты предназначенные этому маку в этом влане. Но возможных портов то всего 2, и из одного из них пакет только что приехал. Соответственно вариант, "во все порты" ничем не хуже, чем в 1 известный порт. "все" в данном случае тоже будет 1 порт. Плохо, если влан на дом или на несколько портов. А мак 00-30-96-33-D4-7A, в Вашем примере, в таблицу попал. с ним проблем нету. И конфликтуют они не друг с другом. номер в 1 колонке, там получившийся хеш. та пара (кстати может и не пара, а больше), что имеет один номер в 1 колонке, те и конфликтуют между собой. Тот, что со *, тот попал в таблицу коммутации, остальные не попали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 8 января, 2010 (изменено) · Жалоба Посмотрите show flood. Там будут пары MAC-адресов - сразу видна причина коллизии (кто с кем).Лучше б не смотрел. По некоторым виланам конфликт вообще по обеим сторонам. Абонент конфликтует с кем-то, и его шлюз тоже. 2614 512 00-D0-00-20-58-0A 299433 6035 512 00-30-96-33-D4-7A * 299433 если у Вас влан на пользователя (т.е. каждый влан болтается на 2-х портах, на пользовательском и на аплинке, или на аплинке и даунлинке, при транзитном влане), то Вам, как бы, пофиг на эту проблему. Ну не проленился мак 00-D0-00-20-58-0A в влане 512. ну не знает коммутатор, куда слать пакеты предназначенные этому маку в этом влане. Но возможных портов то всего 2, и из одного из них пакет только что приехал. Соответственно вариант, "во все порты" ничем не хуже, чем в 1 известный порт. "все" в данном случае тоже будет 1 порт. Плохо, если влан на дом или на несколько портов. А мак 00-30-96-33-D4-7A, в Вашем примере, в таблицу попал. с ним проблем нету. И конфликтуют они не друг с другом. номер в 1 колонке, там получившийся хеш. та пара (кстати может и не пара, а больше), что имеет один номер в 1 колонке, те и конфликтуют между собой. Тот, что со *, тот попал в таблицу коммутации, остальные не попали. Проблема в том что на хэш оказалась завязана куча функций - та-же привязка МАК-ИП. И если есть уже хэш, то клиент банально ИП не получает. И потом нет никаких гарантий что не возникнет конфликт с маком шлюза. Изменено 8 января, 2010 пользователем sdy_moscow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LionSprings Опубликовано 8 января, 2010 · Жалоба Но возможных портов то всего 2А вот с этого места можно подробнее? Он льет неопознанный трафик во все порты коммутатора, или вилана? Как он обрабатывает принадлежность порта к вилану, интересно. Ведь на тегированном порту может быть и несколько виланов. В топике http://forum.nag.ru/forum/index.php?showto...st&p=459343 я как раз описал один из глюков, который, как мне кажется, имеет прямое отношение к этой теме. И если есть уже хэш, то клиент банально ИП не получаетЭто сплошь и рядом счас расхлебываем. Причем, предугадать, кто сейчас включит свой комп, и не получит адрес, невозможно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 9 января, 2010 · Жалоба Ну все мужики. Пора снова закупаться сурикомами! :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 9 января, 2010 · Жалоба Поменяю 2 ES3528M на 2 3028 :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
packetizer Опубликовано 9 января, 2010 (изменено) · Жалоба Ну все мужики. Пора снова закупаться сурикомами! :( ну не сурикомами конечно, а искать рабочую лошадку с подходящей ценой, фичами и поддержкой нужно, до того как всплыла эта проблема с 3028 он был очень хорошим кандидатом на доступ практически в любой схеме Изменено 9 января, 2010 пользователем packetizer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 9 января, 2010 · Жалоба фичами и поддержкой днём с огнём :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiFFolk Опубликовано 9 января, 2010 · Жалоба говорили же, что 3200 будет стоить так же как и 3028, подождать надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 9 января, 2010 (изменено) · Жалоба говорили же, что 3200 будет стоить так же как и 3028, подождать надо. Нам ждать некогда - нам работать надо... Да и не понятно что делать с 200-ми 3028 уже установленными.... Изменено 9 января, 2010 пользователем sdy_moscow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 9 января, 2010 · Жалоба Да и не понятно что делать с 200-ми 3028 уже установленными.... Может вот оно. Пришло время слить контору? ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiFFolk Опубликовано 9 января, 2010 · Жалоба говорили же, что 3200 будет стоить так же как и 3028, подождать надо. Нам ждать некогда - нам работать надо... Да и не понятно что делать с 200-ми 3028 уже установленными.... Спросили бы у длинка, может это вообще как брак считаться должно и они должны вам будут бесплатно заменить. (Может через суд например) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Max P Опубликовано 9 января, 2010 · Жалоба Поменяю 2 ES3528M на 2 3028 :) 3528M чем не устроили? а то я тут тоже добыл один на тест, нужен свич с 4 гигабитками Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 9 января, 2010 · Жалоба Но возможных портов то всего 2А вот с этого места можно подробнее? Он льет неопознанный трафик во все порты коммутатора, или вилана? Во все порты коммутатора, где прописан этот влан (в виде как прописан, если тегированный, то тегированный, если нет, то нет), кроме порта откуда пакет приехал И если есть уже хэш, то клиент банально ИП не получаетЭто сплошь и рядом счас расхлебываем. Причем, предугадать, кто сейчас включит свой комп, и не получит адрес, невозможно. Да, тут, возможно, засада. я дыхысыпы релаев не пользую. посему это место не изучал. надо после окончания "запоя" потестировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 9 января, 2010 · Жалоба Да и не понятно что делать с 200-ми 3028 уже установленными....Может вот оно. Пришло время слить контору? ;) Сливать то зачем? Оно работает... И решение я уже описал - поменяем часть железок на узлах с Л2 на Л3, отсегментируемся, повесим доп. утилиту для анализ логов свитчей чтоб оперативно устранять конфликты.... Просто бабла и время понадобится - но это все равно надо было делать.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 9 января, 2010 · Жалоба Да и не понятно что делать с 200-ми 3028 уже установленными....Может вот оно. Пришло время слить контору? ;) Сливать то зачем? Оно работает... И решение я уже описал - поменяем часть железок на узлах с Л2 на Л3, отсегментируемся, повесим доп. утилиту для анализ логов свитчей чтоб оперативно устранять конфликты.... Просто бабла и время понадобится - но это все равно надо было делать.... по моему достаточно сделать vlan-per-user и отключить DLF. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LionSprings Опубликовано 9 января, 2010 · Жалоба Во все порты коммутатора, где прописан этот влан (в виде как прописан, если тегированный, то тегированный, если нет, то нет), кроме порта откуда пакет приехалЭто описывается как оно ДОЛЖНО быть, или 3028 ТОЧНО так себя ведет? А то кто ж его знает, что там еще в логике может быть накручено, при совпадении хешей. Он может и вилан не анализировать, например.Когда разбирался с релеями, по моему я видел флуд именно "межвиланный", но не уверен, за давностью времени и тогдашнего незнания сути проблемы. по моему достаточно сделать vlan-per-userНедостаточно. У меня есть пример, когда вилан на пользователя конфликтует с маком свича в управляющем вилане. Или что - еще и по отдельному вилану на управление на каждый коммутатор делать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 9 января, 2010 · Жалоба Скажем так, в 3028 я не видел попадания трафика в чужой влан. или там появления тегированного трафика на порту, где этот влан не указан. И при появлении флуда в влане, счетчики растут только на портах, где оный влан прописан. Но я, как бы, не госстрах, гарантий не даю. Опять же, прошивок масса. В каждой свои тараканы. Но шанс, что Вам тоже повезет и у Вас тоже трафик будет ходить в соответствии с прибитием вланов к портам - есть :) Кстати, проблему именно с dhcp релаем стоит обсудить с их тех поддержкой. Может это решаемо. базу flood fdb они же гдето берут. Значит мак поймать можно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 10 января, 2010 · Жалоба Поменяю 2 ES3528M на 2 3028 :)3528M чем не устроили? а то я тут тоже добыл один на тест, нужен свич с 4 гигабитками Не смог я их со своим биллингом подружить, вот и валяются сейчас на полочке :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 10 января, 2010 · Жалоба Мне очевидно, что Д-Линку проще железо по-тихому "слить" чем переделывать "ядро" прошивки..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LionSprings Опубликовано 10 января, 2010 · Жалоба я сильно сомневаюсь, что переделкой ядра прошивки можно изменить логику обработки в процессоре. Если только вообще на софтверный уровень перевести :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Max P Опубликовано 10 января, 2010 · Жалоба Поменяю 2 ES3528M на 2 3028 :)3528M чем не устроили? а то я тут тоже добыл один на тест, нужен свич с 4 гигабитками Не смог я их со своим биллингом подружить, вот и валяются сейчас на полочке :( уф... я уж думал чего серьезнее :) значит буду ковырять дальше ЗЫ. можт если че махнемся неглядя? ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 10 января, 2010 · Жалоба Поменяю 2 ES3528M на 2 3028 :)3528M чем не устроили? а то я тут тоже добыл один на тест, нужен свич с 4 гигабитками Не смог я их со своим биллингом подружить, вот и валяются сейчас на полочке :( а что конкретно не удалось подружить? так набудущее, чтоб на грабли не наступать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...