[levantuev]

Есть подозрение что в сети появилось кольцо, для этого на D-link'ах ставим Storm Control. Так вот, подскажите какие параметры в каком количестве стоит указывать (Threshold)

[white_crow]

в данном случае только индивидуальный подбор и эксперимент (ИМХО).

 

 

[B212]

ну есть же у кого-то опыт.?

Metro-ethernet

[Kaban]

Вобщето для борьбы с кольцами лучше использовать stp и loopdetect

[darkagent]

использовать storm-control против колец/флуда - все равно что воду вилами переливать.

на практике - в тех же длинках значений по умолчанию более чем придостаточно.

[mukca]

использовать storm-control против колец/флуда - все равно что воду вилами переливать.

видимо вы не пробовали настроить на длинках работу loopdetect при действующем RSTP :D

[darkagent]

использовать storm-control против колец/флуда - все равно что воду вилами переливать.

видимо вы не пробовали настроить на длинках работу loopdetect при действующем RSTP :D

видимо вы не шьете свои железк :D

работает, пока без нареканий. как кольцо на одном устройстве, так и через вагон. да и просто выжженый порт прекрасно гасит.

 

[B212]

видимо вы не шьете свои железк :D

работает, пока без нареканий. как кольцо на одном устройстве, так и через вагон. да и просто выжженый порт прекрасно гасит.

Дадите конкретный конфиг?

на 3010G выдденый порт не гасится.

[darkagent]

3010g вобще не адекватные железки - у них через полгода работы могут без каких либо причин начать флудить порты.

ну а что касается тех же 1228me/3028/3526, то на практике используем такую конфигурацию:

ena loopd

conf loopd ports 1-24 st ena

conf traffic control all broad ena

config stp ports 25-26 restricted_tcn false restricted_role false

config stp ports 27-28 restricted_tcn false restricted_role false

config stp ports 1-24 edge true fbpdu enable restricted_role true restricted_tcn true

conf stp ports 1-24 lbd enable

 

при условии что 1-24 - это только абоненты, а 25-26(25-28) - это магистральники.

+ отдельно для аплинк порта выключаем fbpdu.

топология - звезда.

 

для 3612/3627 loopdetect в режиме vlan-based;

для 3100 - edge true fbpdu ena на все порты кроме аплинка (без edge true не отрабатывает stp loopdetect).

 

storm control на броадкаст включаем везде и всегда, а вот threshold значений хватает и дефолтных.

долго обкатывали разные прошивки, остановились на следующих:

DES_3028_52_V2.41-B05.had

des3526r6_6.00-b23.had

DGS36xxRun_2.55-B05.had

 

на 1228/me хватает и штатных.

 

необходимости шить какие то прошивки посвежей - пока не возникало - вроде как все проблемы с которыми встречались ранее - в этих не встречались еще.

 

[Konstantin Klimchev]

ena loopd

conf loopd ports 1-24 st ena

conf traffic control all broad ena

config stp ports 25-26 restricted_tcn false restricted_role false

config stp ports 27-28 restricted_tcn false restricted_role false

config stp ports 1-24 edge true fbpdu enable restricted_role true restricted_tcn true

conf stp ports 1-24 lbd enable

conf stp ports 1-24 lbd enable я так понимаю для 3028....

для 3526 ее нет.

[darkagent]

да, для 3526 ее нет (а ведь когда то была)

[Kaban]

что такое fbpdu ? подозреваю что это bpdu filter.

[darkagent]

нет. fbpdu = forward bpdu. в случае если топология звезда - возвращать bpdu к корню дерева нет смысла.

 

[Kaban]

Странно, и какой смысл использовать stp в топологии звезда ?

 

И с какой радости bpdu возвращаются к корню, если их генерирует корень, а остальные свичи их релеят вниз по дереву ?

Изменено 15 июля, 2010 пользователем Kaban

[darkagent]

Странно, и какой смысл использовать stp в топологии звезда ?

 

И с какой радости bpdu возвращаются к корню, если их генерирует корень, а остальные свичи их релеят вниз по дереву ?

в том то и смысл..

1) на длинках portbased loopdetect порой тупит, - просто попробуйте патчкордом порты по соединять. так что спаннинг будет вас страховать.

2) в случае если два соседа, подключенные к разным коммутаторам, соединят кабели тупым свичем - вы выложите не одну гору кирпичей, вместо того чтоб по команде sh stp ports inst 0 увидеть alternative/discarding

 

а bpdu как раз таки вернется к корню, если будет ситуация с соседями - т.к. по умолчанию в длинках forward bpdu включен глобально - и во преки теориям - bpdu летит не до первого же коммутатора, который заблокирует порт, а до самого корня (особенно если пакет с одного влана ушел в другой)

[Konstantin Klimchev]

в том то и смысл..

1) на длинках portbased loopdetect порой тупит, - просто попробуйте патчкордом порты по соединять. так что спаннинг будет вас страховать.

2) в случае если два соседа, подключенные к разным коммутаторам, соединят кабели тупым свичем - вы выложите не одну гору кирпичей, вместо того чтоб по команде sh stp ports inst 0 увидеть alternative/discarding

 

а bpdu как раз таки вернется к корню, если будет ситуация с соседями - т.к. по умолчанию в длинках forward bpdu включен глобально - и во преки теориям - bpdu летит не до первого же коммутатора, который заблокирует порт, а до самого корня (особенно если пакет с одного влана ушел в другой)

По рекомендациям самого длинка для DES3526 или loopdetect или stp на порту.

Ибо есть проблемы при одновременном использовании.

[B212]

И что же мне ставить то?

на 3526 то как раз проблем почти нету.

интересуе именно 3010G, 1228/ME и DES-2108

на и DGS-3100 конечно же.

если не трудно, то в рекомендации по включению той или иной функции укажите, что она даст.

[darkagent]

По рекомендациям самого длинка для DES3526 или loopdetect или stp на порту.

Ибо есть проблемы при одновременном использовании.

поэтому из 3526 stp lbd и убрали.

чисто теоретически lbd на stp должен был бы срабатывать если порт с одним вланом замкнуть с портом с другим вланом - на деле возникал такой коллапс, что можно было железку потерять.

если честно - на то чтоб выработать более менее рабочий вариант поимки колец/флуда пришлось наступить на немалое кол-во граблей.

 

И что же мне ставить то?

на 3526 то как раз проблем почти нету.

интересуе именно 3010G, 1228/ME и DES-2108

на и DGS-3100 конечно же.

если не трудно, то в рекомендации по включению той или иной функции укажите, что она даст.

не советую на 3010g даже смотреть. вариант с 3026+sfp-слот куда более интересный, при незначительной разнице в цене.

1228/me - урезанный вариант 3028, но уже с адекватной прошивкой (3028 надо первым делом шить).

на 3100 с loopdetect конечно очень грустно, но терпимо.

про 2108 ничего сказать не могу - не пробовали.

Изменено 15 июля, 2010 пользователем darkagent

[kf72]

в 3010g не хватает ацл, тьфу^3 молотят исправно как узловые, но у меня вся сетка <1k

2108 в пластмассе были. все издохли. очень капризные

 

как-то подсказали наговцы поставить шторм контроль и прочее отталкиваясь от пропускной способности портов.

на cisco сделал 75%, перестал падать порт в ошибки.

Изменено 17 июля, 2010 пользователем kf72

[Wingman]

не советую на 3010g даже смотреть. вариант с 3026+sfp-слот куда более интересный, при незначительной разнице в цене.

1228/me - урезанный вариант 3028, но уже с адекватной прошивкой (3028 надо первым делом шить).

на 3100 с loopdetect конечно очень грустно, но терпимо.

про 2108 ничего сказать не могу - не пробовали.

3010g стоит очень много в частных секторах - проблем нет никаких. Да, ACL маловато - но нам хватает.

3200 да, получше, НО!! массово выгорают 100мбит порты группами. Судя по форуму длинка, не у одного меня. Плюс проблема с хешами. Во избежание неуместных советов и высказываний скажу, что _ровно_в_тех_же_ условиях стоят куча железок - тех же 3526,3010,3028, зачастую даже рядом в ящиках - и порты нигде кроме 3200 не горят.

3100 - на практике (у нас штук 30 на аггрегации) петлю за своим портом ловят и блочат в 1 случае из 10ти. Несмотря на все советы длинк-саппорта =)

 

Про "глюки с loopdetect на 3526". Нет там особо глюков. Просто предназначена функция для ловли петли ЗА ОДНИМ портом. т.е. либо закоротило кабель, либо сетевуха сдохла, либо на мыльнице у юзера дома петля.

Если возникает петля между двумя портами одной железки -- нужно отрывать руки монтажникам, предварительно срезав с зарплаты пропорционально потраченному времени админа, ловящего эту петлю =)

Изменено 17 июля, 2010 пользователем Wingman

[Negator]

На 3010G вообще нет ACL

Но свич нормальный за свои деньги.

Там где нет ACL делайм traffic segmentation на аплинк и все.

[Wingman]

На 3010G вообще нет ACL

Но свич нормальный за свои деньги.

Там где нет ACL делайм traffic segmentation на аплинк и все.

Firmware Version : Build 4.30.B20

DES-3010G:4#show cpu_access_profile
Command: show cpu_access_profile

CPU Interface Filtering state: Disabled

Access Profile Table
......

 

Да, мало, да, CPU, но на конечном акцесе хватает, этож не магистральная железка =)

[Diman_xxxx]

...ну а что касается тех же 1228me/3028/3526, то на практике используем такую конфигурацию:

ena loopd

conf loopd ports 1-24 st ena

conf traffic control all broad ena

config stp ports 25-26 restricted_tcn false restricted_role false

config stp ports 27-28 restricted_tcn false restricted_role false

config stp ports 1-24 edge true fbpdu enable restricted_role true restricted_tcn true

conf stp ports 1-24 lbd enable

 

при условии что 1-24 - это только абоненты, а 25-26(25-28) - это магистральники.

+ отдельно для аплинк порта выключаем fbpdu.

топология - звезда.

 

storm control на броадкаст включаем везде и всегда, а вот threshold значений хватает и дефолтных.

долго обкатывали разные прошивки, остановились на следующих:

DES_3028_52_V2.41-B05.had

des3526r6_6.00-b23.had

DGS36xxRun_2.55-B05.had

на 1228/me хватает и штатных.

необходимости шить какие то прошивки посвежей - пока не возникало - вроде как все проблемы с которыми встречались ранее - в этих не встречались еще.

darkagent, Эту схему можно использовать и сегодня ? (на свежих ПО)

[darkagent]

с небольшой поправкой - fbpdu везде dis (тогда еще не возникало с ним проблем), на абон.портах stp ports state dis (аналогично). хотя, мы и вовсе от stp/rstp/mstp отказались.

[Diman_xxxx]

с небольшой поправкой - fbpdu везде dis (тогда еще не возникало с ним проблем), на абон.портах stp ports state dis (аналогично). хотя, мы и вовсе от stp/rstp/mstp отказались.

 

Большое спасибо за ликбез, вообщем с учетов ваших реалей (видимо и наших тоже;) (семейстово протоколов STP также не используем) получилось:

ena loopd
conf loopd ports 1-24 st ena
conf traffic control all broad ena
conf stp ports 1-28 state dis

 

Это все или еще чтото можно добавить ?