[terrible]

3 тысячи маков достаточно, что б наблюдать стойкий разрушительный эффект.

Помоему 3к маков в 1 влане это уже разрушительный эффект

[sdy_moscow]

Тут уже писали....

.......

 

у меня есть документ описывающий хеш функцию, выкладывать не буду(не хочется портить отношения с людьми)

учитываются все биты (12бит VLAN + 48 бит MAC), но вот дальше функция превращает их в 13 бит, и колизионность получается приличная.

 

vlan на пользователя тоже лечит, потому что хеш всегда одназначен.

 

при маленьком броадкаст домене, допустим на свич или на дом это практически незаметно.

спрашивал бааальших провайдеров, им вообще фиолетово на это.

Т.е. как видим мы имеем явно проблемную ситуацию, что коммутатор может переварить только 2 в 13 = 8192 уникальных хеша. Если у вас на коммутаторе ходят пакеты 80 клиентов (маков), то вероятность что новый клиент (мак) вызовет проблемы 1/100, если 800 маков - 1/10 (уже не мало), 4000 - 1/2 (это уже катастрофа). Что мы и наблюдаем. Хуже всего, что хэш функция одинакова ВО ВСЕХ комутаторах, так что проблема не локализуется на одном коммутаторе, и не теряется в каскаде, а имеет место НА всем пространстве сегмента, где 3028 живут без промежуточных "более качественных" железок.

 

Вывод: 3028 - ф топку.... ищем достойную замену. Что собственно Д-Линк и сделал - отправив его в "устаревшее". Правда получилось у них это на удивление коряво, "новое" - явно в цене ушло куда-то за пределы разумного. 3200 за такие деньги ( на 60% дороже) - нам например нах не нужен - уже можно и на каталисты поглядеть. Если Д-Линк считает что мы покупаем его железки потому-что это "Д-ЛИНК", то они глубоко ошибаются. Для нас главное цена/качество. 3028 - был явный лидер за счет 4-х гигабитных портов и "супер" возможностей за 200-230 у.е. 3526 на его фоне даже не был столь приятен. Сейчас - возвращаемся на 3526, но их уже практически не везут... да и 2 гигабитных порта уже маловато (т.к. касады получаются "длинноваты". 3200 - за ту цену что мне объявили до нового года - МНЕ НЕ НУЖЕН!

 

З.Ы. Очень надеюсь, что сюда люди из Д-Линка рано или поздно заглянут - и задумаются..... Надо отдельно отметить, что их саппорт все-же один из самых адекватных в России...

 

З.Ы. Еще подумал - решил дописать. Вывод на самом деле таков - надо использовать 3028 как чисто "конечное" устройство. Т.е. он должен быть включен аплинком в "нормальную" Л2 железку. Причем структура броадкаст домена - должна быть 1 ВЛАН - 1 коммутатор. Вэтом случае вероятность возникновения проблемы будет около 1/300- 1/400. Т.е. 1 проблема на 300-400 подключений, что уже на фоне соотношения цена/качество становится не столь страшным. К тому-же проблема будет хорошо локализоваться....

Изменено 8 января, 2010 пользователем sdy_moscow

[ingress]

у Хуавея кстати тоже есть железки на этом чипе ;)

не скажу какие, линейку не знаю.

[st_re]

Посмотрите show flood. Там будут пары MAC-адресов - сразу видна причина коллизии (кто с кем).

Лучше б не смотрел. По некоторым виланам конфликт вообще по обеим сторонам. Абонент конфликтует с кем-то, и его шлюз тоже.

2614   512     00-D0-00-20-58-0A   299433
6035   512     00-30-96-33-D4-7A * 299433

 

если у Вас влан на пользователя (т.е. каждый влан болтается на 2-х портах, на пользовательском и на аплинке, или на аплинке и даунлинке, при транзитном влане), то Вам, как бы, пофиг на эту проблему. Ну не проленился мак 00-D0-00-20-58-0A в влане 512. ну не знает коммутатор, куда слать пакеты предназначенные этому маку в этом влане. Но возможных портов то всего 2, и из одного из них пакет только что приехал. Соответственно вариант, "во все порты" ничем не хуже, чем в 1 известный порт. "все" в данном случае тоже будет 1 порт. Плохо, если влан на дом или на несколько портов.

 

А мак 00-30-96-33-D4-7A, в Вашем примере, в таблицу попал. с ним проблем нету. И конфликтуют они не друг с другом. номер в 1 колонке, там получившийся хеш. та пара (кстати может и не пара, а больше), что имеет один номер в 1 колонке, те и конфликтуют между собой. Тот, что со *, тот попал в таблицу коммутации, остальные не попали.

[sdy_moscow]

Посмотрите show flood. Там будут пары MAC-адресов - сразу видна причина коллизии (кто с кем).

Лучше б не смотрел. По некоторым виланам конфликт вообще по обеим сторонам. Абонент конфликтует с кем-то, и его шлюз тоже.

2614   512     00-D0-00-20-58-0A   299433
6035   512     00-30-96-33-D4-7A * 299433

 

если у Вас влан на пользователя (т.е. каждый влан болтается на 2-х портах, на пользовательском и на аплинке, или на аплинке и даунлинке, при транзитном влане), то Вам, как бы, пофиг на эту проблему. Ну не проленился мак 00-D0-00-20-58-0A в влане 512. ну не знает коммутатор, куда слать пакеты предназначенные этому маку в этом влане. Но возможных портов то всего 2, и из одного из них пакет только что приехал. Соответственно вариант, "во все порты" ничем не хуже, чем в 1 известный порт. "все" в данном случае тоже будет 1 порт. Плохо, если влан на дом или на несколько портов.

 

А мак 00-30-96-33-D4-7A, в Вашем примере, в таблицу попал. с ним проблем нету. И конфликтуют они не друг с другом. номер в 1 колонке, там получившийся хеш. та пара (кстати может и не пара, а больше), что имеет один номер в 1 колонке, те и конфликтуют между собой. Тот, что со *, тот попал в таблицу коммутации, остальные не попали.

 

Проблема в том что на хэш оказалась завязана куча функций - та-же привязка МАК-ИП. И если есть уже хэш, то клиент банально ИП не получает. И потом нет никаких гарантий что не возникнет конфликт с маком шлюза.

Изменено 8 января, 2010 пользователем sdy_moscow

[LionSprings]

Но возможных портов то всего 2

А вот с этого места можно подробнее? Он льет неопознанный трафик во все порты коммутатора, или вилана? Как он обрабатывает принадлежность порта к вилану, интересно. Ведь на тегированном порту может быть и несколько виланов. В топике http://forum.nag.ru/forum/index.php?showto...st&p=459343 я как раз описал один из глюков, который, как мне кажется, имеет прямое отношение к этой теме.

И если есть уже хэш, то клиент банально ИП не получает

Это сплошь и рядом счас расхлебываем. Причем, предугадать, кто сейчас включит свой комп, и не получит адрес, невозможно.

 

[Гoсть]

Ну все мужики. Пора снова закупаться сурикомами! :(

[terrible]

Поменяю 2 ES3528M на 2 3028 :)

[packetizer]

Ну все мужики. Пора снова закупаться сурикомами! :(

ну не сурикомами конечно,

а искать рабочую лошадку с подходящей ценой, фичами и поддержкой нужно, до того как всплыла эта проблема с 3028 он был очень хорошим кандидатом

на доступ практически в любой схеме

Изменено 9 января, 2010 пользователем packetizer

[terrible]

фичами и поддержкой

днём с огнём :(

[TiFFolk]

говорили же, что 3200 будет стоить так же как и 3028, подождать надо.

[sdy_moscow]

говорили же, что 3200 будет стоить так же как и 3028, подождать надо.

Нам ждать некогда - нам работать надо...

Да и не понятно что делать с 200-ми 3028 уже установленными....

Изменено 9 января, 2010 пользователем sdy_moscow

[Гoсть]

Да и не понятно что делать с 200-ми 3028 уже установленными....

Может вот оно. Пришло время слить контору? ;)

[TiFFolk]

говорили же, что 3200 будет стоить так же как и 3028, подождать надо.

Нам ждать некогда - нам работать надо...

Да и не понятно что делать с 200-ми 3028 уже установленными....

Спросили бы у длинка, может это вообще как брак считаться должно и они должны вам будут бесплатно заменить. (Может через суд например)

[Max P]

Поменяю 2 ES3528M на 2 3028 :)

3528M чем не устроили? а то я тут тоже добыл один на тест, нужен свич с 4 гигабитками

[st_re]

Но возможных портов то всего 2

А вот с этого места можно подробнее? Он льет неопознанный трафик во все порты коммутатора, или вилана?

 

Во все порты коммутатора, где прописан этот влан (в виде как прописан, если тегированный, то тегированный, если нет, то нет), кроме порта откуда пакет приехал

 

И если есть уже хэш, то клиент банально ИП не получает

Это сплошь и рядом счас расхлебываем. Причем, предугадать, кто сейчас включит свой комп, и не получит адрес, невозможно.

 

Да, тут, возможно, засада. я дыхысыпы релаев не пользую. посему это место не изучал. надо после окончания "запоя" потестировать.

[sdy_moscow]

Да и не понятно что делать с 200-ми 3028 уже установленными....

Может вот оно. Пришло время слить контору? ;)

Сливать то зачем? Оно работает... И решение я уже описал - поменяем часть железок на узлах с Л2 на Л3, отсегментируемся, повесим доп. утилиту для анализ логов свитчей чтоб оперативно устранять конфликты.... Просто бабла и время понадобится - но это все равно надо было делать....

[ingress]

Да и не понятно что делать с 200-ми 3028 уже установленными....

Может вот оно. Пришло время слить контору? ;)

Сливать то зачем? Оно работает... И решение я уже описал - поменяем часть железок на узлах с Л2 на Л3, отсегментируемся, повесим доп. утилиту для анализ логов свитчей чтоб оперативно устранять конфликты.... Просто бабла и время понадобится - но это все равно надо было делать....

по моему достаточно сделать vlan-per-user и отключить DLF.

 

 

[LionSprings]

Во все порты коммутатора, где прописан этот влан (в виде как прописан, если тегированный, то тегированный, если нет, то нет), кроме порта откуда пакет приехал

Это описывается как оно ДОЛЖНО быть, или 3028 ТОЧНО так себя ведет? А то кто ж его знает, что там еще в логике может быть накручено, при совпадении хешей. Он может и вилан не анализировать, например.

Когда разбирался с релеями, по моему я видел флуд именно "межвиланный", но не уверен, за давностью времени и тогдашнего незнания сути проблемы.

 

 

по моему достаточно сделать vlan-per-user

Недостаточно. У меня есть пример, когда вилан на пользователя конфликтует с маком свича в управляющем вилане. Или что - еще и по отдельному вилану на управление на каждый коммутатор делать?

 

[st_re]

Скажем так, в 3028 я не видел попадания трафика в чужой влан. или там появления тегированного трафика на порту, где этот влан не указан. И при появлении флуда в влане, счетчики растут только на портах, где оный влан прописан.

Но я, как бы, не госстрах, гарантий не даю. Опять же, прошивок масса. В каждой свои тараканы. Но шанс, что Вам тоже повезет и у Вас тоже трафик будет ходить в соответствии с прибитием вланов к портам - есть :)

 

Кстати, проблему именно с dhcp релаем стоит обсудить с их тех поддержкой. Может это решаемо. базу flood fdb они же гдето берут. Значит мак поймать можно.

[terrible]

Поменяю 2 ES3528M на 2 3028 :)

3528M чем не устроили? а то я тут тоже добыл один на тест, нужен свич с 4 гигабитками

Не смог я их со своим биллингом подружить, вот и валяются сейчас на полочке :(

[sdy_moscow]

Мне очевидно, что Д-Линку проще железо по-тихому "слить" чем переделывать "ядро" прошивки.....

[LionSprings]

я сильно сомневаюсь, что переделкой ядра прошивки можно изменить логику обработки в процессоре. Если только вообще на софтверный уровень перевести :)

[Max P]

Поменяю 2 ES3528M на 2 3028 :)

3528M чем не устроили? а то я тут тоже добыл один на тест, нужен свич с 4 гигабитками

Не смог я их со своим биллингом подружить, вот и валяются сейчас на полочке :(

уф... я уж думал чего серьезнее :) значит буду ковырять дальше

 

ЗЫ. можт если че махнемся неглядя? ;)

[darkagent]

Поменяю 2 ES3528M на 2 3028 :)

3528M чем не устроили? а то я тут тоже добыл один на тест, нужен свич с 4 гигабитками

Не смог я их со своим биллингом подружить, вот и валяются сейчас на полочке :(

а что конкретно не удалось подружить? так набудущее, чтоб на грабли не наступать...