Перейти к содержимому
Калькуляторы

подскажите по 3028 дурят меня или нет.

Да и не понятно что делать с 200-ми 3028 уже установленными....
Может вот оно. Пришло время слить контору? ;)

А, может, лучше слить говно в говноисточник? ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

всё что брошено в унитаз - предварительно должно быть съедено ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Посмотрел show flood... лучше бы я туда не заглядывал :(

 

Пытаясь справиться с проблемой, разбил район на зоны каждую с отдельным vlan. В итоге ситуация только ухудшилась. Думается, это может быть из-за того, что VID в битовом представлении занимал раньше 12 бит, а теперь, после разбиения, только 10. У кого есть алгоритм? Поделитесь. :)

 

p.s. Все vlan тянутся последовательно гирлядной и "ответвляются" по ходу дела. Думаю попробовать "раззвездить" сеть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Помимо описанной здесь уже проблемы выявилась еще проблема с тем что некоторые маки вообще не видятся коммутатором 3028. Просто 1 клиент на порту с "плохим" маком и коммутатор его просто не видит.

 

Вот пример:

 

Клиент в 1 порт 3028.

ip: 10.1.245.2/24

gw: 10.1.245.1

мак: 00-1B-38-D5-F2-A1

 

=========

config vlan default delete 1-28

 

create vlan test tag 2245

 

config vlan test add untagged 1

 

config ipif System vlan test ipaddress 10.1.245.2/24 state enable

 

enable flood_fdb

 

config flood log enable trap enable

 

 

 

DES-3028:4#sh fdb

Command: show fdb

 

Unicast MAC Address Aging Time = 300

 

VID VLAN Name MAC Address Port Type

---- -------------------------------- ----------------- ---- ---------------

2245 test 00-21-91-7A-11-8D CPU Self

 

Total Entries : 1

 

=========

 

Мак не виден. Меняю мак на клиенте на 00-1B-38-D5-F2-A2

 

==========

DES-3028:4#sh fdb

Command: show fdb

 

Unicast MAC Address Aging Time = 300

 

VID VLAN Name MAC Address Port Type

---- -------------------------------- ----------------- ---- ---------------

2245 test 00-1B-38-D5-F2-A2 1 Dynamic

2245 test 00-21-91-7A-11-8D CPU Self

 

Total Entries : 2

==========

Мак виден. Вывод следующей команды не изменяется. Пусто с любым

маком.

==========

DES-3028:4#sh flood

Command: show flood_fdb

 

Flooding FDB State : Enabled

Log State : Enabled

Trap State : Enabled

 

Value VLAN ID MAC Address Time Stamp

------ ------- ------------------- ----------

==========

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Wave, однако :)

 

У себя тоже наблюдаю:

DES-3028G:4#sh fdb

Command: show fdb

 

Unicast MAC Address Aging Time = 300

 

VID VLAN Name MAC Address Port Type

---- -------------------------------- ----------------- ---- ---------------

2245 test 00-22-B0-67-4C-44 CPU Self

 

Total Entries : 1

 

DES-3028G:4#cre fdb test 00-1B-38-D5-F2-A1 p 1

Command: create fdb test 00-1B-38-D5-F2-A1 port 1

 

Entry exists!

Fail!

 

DES-3028G:4#cre fdb test 00-1B-38-D5-F2-A2 p 1

Command: create fdb test 00-1B-38-D5-F2-A2 port 1

 

Success.

 

И еще:

 

DES-3028G:4#sh fdb

Command: show fdb

 

Unicast MAC Address Aging Time = 300

 

VID VLAN Name MAC Address Port Type

---- -------------------------------- ----------------- ---- ---------------

1 default 00-22-B0-67-4C-44 CPU Self

 

Total Entries : 1

 

DES-3028G:4#del vlan test

Command: delete vlan test

 

There are static fdb in the VLAN!

 

Fail!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Немного модернизировал, результат тот же. Сбрасываю коммутатор reset sys, затем ввожу:

config vlan default delete 1-24

create vlan the_bug tag 3333

config vlan the_bug add untagged 1

config ipif System vlan the_bug

create fdb the_bug 00-1B-38-D5-F2-A1 port 1

 

Fail! =)

 

Если команду config ipif System vlan the_bug не вводить - все окей.

Изменено пользователем xcme

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Немного модернизировал, результат тот же. Сбрасываю коммутатор reset sys, затем ввожу:

config vlan default delete 1-24

create vlan the_bug tag 3333

config vlan the_bug add untagged 1

config ipif System vlan the_bug

create fdb the_bug 00-1B-38-D5-F2-A1 port 1

 

Fail! =)

 

Если команду config ipif System vlan the_bug не вводить - все окей.

Ну да, если отказаться от интерфейса и перевести его в разряд неуправляемого, то данный мак заработает :), но вот другие "плохие" маки уже нет. Судя по всему данный мак при вычислении хэша совпадает с системным. Непонятно только почему данный мак так "плох" для всех коммутаторов 3028, ведь хэши должны отличаться. Данный мак не один, были еще "плохие" маки.

Изменено пользователем Wave

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну да, если отказаться от интерфейса и перевести его в разряд неуправляемого, то данный мак заработает :), но вот другие "плохие" маки уже нет. Судя по всему данный мак при вычислении хэша совпадает с системным. Непонятно только почему данный мак так "плох" для всех коммутаторов 3028, ведь хэши должны отличаться. Данный мак не один, были еще "плохие" маки.
У вас управление вынесено в отдельный влан? Или вы в управляющем влане и пытаетесь создать запись? А вообще да, проблема существует. Напишу-ка наверное на форуме длинка )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://forum.dlink.ru/viewtopic.php?t=116208

Оперативно. За 3 минуты. =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://forum.dlink.ru/viewtopic.php?t=116208

Оперативно. За 3 минуты. =)

 

Стандартный ответ на форуме Длинка :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Таки што по этому поводу говорит Дёмин Иван и его коллеги?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Таки што по этому поводу говорит Дёмин Иван и его коллеги?

Информация отправлена в штаб квартиру...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Таки што по этому поводу говорит Дёмин Иван и его коллеги?
Просят побольше присылать им таких случаев, типа что б штаб-квартира запинала броадком. Но что-то мне слабо в это верится...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть более замечательный MAC: 00:00:00:00:00:00, который на попавшихся под руку L2 Cisco и Edge-Core (и тот и другой по 3 разных модели) также не изучается и замечательно гуляет броадкастом. Подозеваю, что подобное характерно для подавляющего большинства коммутаторов доступа независимо от производителя.

На домашнем подключении по ADSL от телекома периодически наблюдаю до полмегабита подобного входящего трафика (чужая pppoe сессия с трафиком, содержащим в dst mac 00:00:00:00:00:00). Телеком использует Cisco/Huawei/Zyxel.

Если подобный трафик направить со стороны ethernet'а в Linksys'овский Access Point, то спустя 3-5 секунд достучаться до него по WiFi становится невозможно.

Продолжим? :)

 

Шибко задумался о том, как будет себя ощущать ethernet-сегмент (а также подключенные к нему пользовательские супер-пупер-broadband роутеры и другие железки за три копейки), если несколько пользователей с такими маками начнут на скорости подключения активно гонять гк через локальные файлообменные torrent/DC.

Изменено пользователем umike

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

здесь MAC-адрес абонента конфликтует с MAC-адресом его же шлюза.
Если посмотрите - там разные хеши. Т.е. абонент "А" конфликтует с абонентом "В", а шлюз абонента "А" конфликтует с абонентом "С". Т.е. когда абонент "А" начинает подавать на шлюз приличный аплоад, остальные абоненты на этом свиче нервно курят в сторонке.

Нарисовал на бумажке. Всё-равно не понял. Это три вилана? Как задеваются остальные виланы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть более замечательный MAC: 00:00:00:00:00:00

mac address-table static 0000.0000.0000 vlan 123 drop ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, где-то на длинковском сайте я видел рекомендацию дропать нулевой мак ацлями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просят побольше присылать им таких случаев, типа что б штаб-квартира запинала броадком.
Это что же получается? Они даже и не пинали особо Броадком?! Замечательно.

Я могу ошибаться, но почему-то интуитивно чувствуется, что проблему вполне возможно решить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

костыль который был предложен, предварительно создать 24(48) мак бейзд влана, поместить в них в каждый мак адрес шлюза(найденого с помощью auto_fdb)

и когда свич находит мак на этих портах, который не может поместить в fdb, он помещает его в свой резервированный мак бейзд влан, так что он будет вместе только со маком шлюза.

 

дополнительная метка mac based влана даёт уникальный хеш.

 

курят уже 3 недели, ищут сайдэффекты(с) длинк

 

p.s. отключить хеширование нельзя, по словам броадкома, это собственно говоря не функция прошивки, а ф-ия асика, его внутренний микрокод, как он "прошивается" известно только броадкому, но думаю в заводских условиях, и далеко не через JTAG, а может намертво вшит.

если сделать софтваре мак лёрнинг, то деградирует производительность.

 

собственно здешним посетителям не советую гадать на кофейной гуще, показывая свою интуитивность, т.к. вряд ли среди нас есть разработчики чипсетов, а ещё круче - чипсетов броадкома :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не смог я их со своим биллингом подружить, вот и валяются сейчас на полочке :(

уф... я уж думал чего серьезнее :) значит буду ковырять дальше

 

ЗЫ. можт если че махнемся неглядя? ;)

Да легко

 

а что конкретно не удалось подружить? так набудущее, чтоб на грабли не наступать...
Некорректно работал IP Source Guard в Static Binding (то с логами беда, то блоки некорректные, то просто непредсказуемо работал).

Хотел получить аналог функционала IP-MAC-Binding от D-link-a, не вышло, толи руки кривые, толи ещё-что, промучался 2 месяца - забил нафик. Остальной функционал вроде нормально работает, хотя из-за вышеописанной ситуации на прошакшене не удалось протестировать, лежат на полочке.

Изменено пользователем terrible

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Некорректно работал IP Source Guard в Static Binding (то с логами беда, то блоки некорректные, то просто непредсказуемо работал).

Хотел получить аналог функционала IP-MAC-Binding от D-link-a, не вышло, толи руки кривые, толи ещё-что, промучался 2 месяца - забил нафик. Остальной функционал вроде нормально работает, хотя из-за вышеописанной ситуации на прошакшене не удалось протестировать, лежат на полочке.

а.. успокоили, я уж боялся что radius-связка igmp access control или 802.1x не корректно пахает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

костыль который был предложен, предварительно создать 24(48) мак бейзд влана, поместить в них в каждый мак адрес шлюза(найденого с помощью auto_fdb)

и когда свич находит мак на этих портах, который не может поместить в fdb, он помещает его в свой резервированный мак бейзд влан, так что он будет вместе только со маком шлюза.

Интересный костыль. Но разве DES-3028 поддерживает MAC-based VLAN?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

костыль который был предложен, предварительно создать 24(48) мак бейзд влана, поместить в них в каждый мак адрес шлюза(найденого с помощью auto_fdb)

и когда свич находит мак на этих портах, который не может поместить в fdb, он помещает его в свой резервированный мак бейзд влан, так что он будет вместе только со маком шлюза.

Интересный костыль. Но разве DES-3028 поддерживает MAC-based VLAN?

ну раз думают, то есть.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Т.е. как видим мы имеем явно проблемную ситуацию, что коммутатор может переварить только 2 в 13 = 8192 уникальных хеша. Если у вас на коммутаторе ходят пакеты 80 клиентов (маков), то вероятность что новый клиент (мак) вызовет проблемы 1/100, если 800 маков - 1/10 (уже не мало), 4000 - 1/2 (это уже катастрофа).

Количество коллизий не совсем так считается. Почитайте http://ru.wikipedia.org/wiki/Парадокс_дней_рождения для начала

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Т.е. как видим мы имеем явно проблемную ситуацию, что коммутатор может переварить только 2 в 13 = 8192 уникальных хеша. Если у вас на коммутаторе ходят пакеты 80 клиентов (маков), то вероятность что новый клиент (мак) вызовет проблемы 1/100, если 800 маков - 1/10 (уже не мало), 4000 - 1/2 (это уже катастрофа).

Количество коллизий не совсем так считается. Почитайте http://ru.wikipedia.org/wiki/Парадокс_дней_рождения для начала

Согласен - я интуитивно так и думал что там экпонента, но в комбинаторике и теорвере я немного слаб :-(.

 

Т.е. всё еще хуже, осталось посчитать по формуле 1 - ( 8192! / ( (8192^N) * (8192-N)!) вероятности для N=28, 40, 80, 500, 1000, 4000

Но тут нужен софт.... 8192! это не хухры мухры :-).

 

Хотя тут апроксимация есть.... сейчас посчитаем.

 

2 0,00012

10 0,00548

28 0,04509

40 0,09082

80 0,32005

100 0,45351

108 0,50605

150 0,74440

200 0,91189

300 0,99581

400 0,99994

 

 

Да... т.е. если больше 108 маков вероятность проблем уже 1/2 :-(... а при 300 почти 100%

 

Еще интереснее понаблюдать за расчетами при увеличении размера ХЭША на вероятность совпадения.

 

Правда тут есть одно но в эти формулы надо заложить ограничение на вероятность совпадения ХЭША у маков, т.к. 1. маки уникальны 2. их число ограничено.

 

кому не лень - посчитайте.

Изменено пользователем sdy_moscow

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.