Перейти к содержимому
Калькуляторы

9-й вал или шторм контроль на коммутатоах dlink

Доброго времени суток

Парк-две модели коммутаторов: DES3200 & DES3526. Возникла необходимость настроить traffic control. Вопрос: есть ли у кого наработки по парогам на broadcast, multicast, и unicast.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все субьективно и зависит от многих причин -нужно пробовать.

У нас:

broadcast =30 -Drop

мультикаст пороги не используем. Блочим левый мультикаст прямо на свиче

unicast - пока вообще не трогали

Если использовать shutdown 30 или меньше - блочатся юзы с торрентами -ARP broadcast на поиск локальных пиров.

 

Реальный флуд - около 100 broadcast

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

conf traffic controll all broadcast enable thres 64 action drop

остальное лучше не трогать.

мусорный мультик убивается через config multicast port_filtering_mode all filter_unregistered_groups

unicast (оно же - dlf) ни в коем случае, иначе при возникновении коллизий хэшей маков на 3200, почувствуете дискомфорт.

выставлять пороговые значения multicast нет смысла, особенно если вы гонете iptv.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хз я по дефолту ставлю

config traffic control 1-24 broadcast enable multicast enable unicast disable action drop threshold 64 countdown 5 time_interval 5

 

юзвери не жалуются штормов нету..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

наоборот, на абонентском порту длф включать, если абонентский мак не попадает в фдб то исходящий трафик ограничится 64к(а за одно ограничит входящий к абону 2-3М)

пусть один абон чувствует себя плохо, чем все абоны за свичём будут получать до 100М левого трафа и деградация сервиса будет у всех.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас:

3526

config traffic control 1-3 broadcast enable multicast enable unicast disable action drop threshold 10

(1-3 это блоки портов, в каждом по 8, то-есть с 1 по 24)

 

3028

config traffic control 1-24 broadcast enable multicast enable unicast disable action drop threshold 64 countdown 5 time_interval 5

 

Меньше чем 64кбит в 3028 нельзя :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

спасибо)

я думаю поиграеся накаком то одном коммутаторе и посмотрим

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3028

config traffic control 1-24 broadcast enable multicast enable unicast disable action drop threshold 64 countdown 5 time_interval 5

 

Хорошо а если в сети IP-TV работает. клиент сможет получить на свой порт (к примеру 1) с транкового (к примеру 25) порта мультикаст?

Изменено пользователем Dogerty

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня тоже самое, только multicast disable, потому что были замечены какие-то проблемы с IPTV, уже точно не помню какие

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3028

config traffic control 1-24 broadcast enable multicast enable unicast disable action drop threshold 64 countdown 5 time_interval 5

 

Хорошо а если в сети IP-TV работает. клиент сможет получить на свой порт (к примеру 1) с транкового (к примеру 25) порта мультикаст?

конечно сможет

ведь на 25 порту мы не включаем штром контроль

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нихрена себе. Оживили какую-то тему вековой давности. И в ней я заметил упоминание некоего DLF. Изнасиловав гугл натунулся на эту-же тему, и ещё на одну на форуме длинка.

Ни в одном PDF от длинка, который имеется на руках я не нашёл упоминания об этом фильтре.

Коллеги, просвятите, что за DLF?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нихрена себе. Оживили какую-то тему вековой давности. И в ней я заметил упоминание некоего DLF. Изнасиловав гугл натунулся на эту-же тему, и ещё на одну на форуме длинка.

Ни в одном PDF от длинка, который имеется на руках я не нашёл упоминания об этом фильтре.

Коллеги, просвятите, что за DLF?

Destination Lookup Failure. В новых версиях называется [unknown] unicast в контексте traffic control. Попросту это ситуация, когда коммутатор получает фрейм с маком назначения, отсутствующим в таблице коммутации. В таком случае коммутатор поступает как хаб - отправляет кадр во все порты, кроме того, откуда фрейм пришел.

 

Вот, не только у длинка есть: http://www.alliedtelesis.com/manuals/s109v110weba/storm_control.html

Изменено пользователем xcme

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попросту это ситуация, когда коммутатор получает фрейм с маком назначения, отсутствующим в таблице коммутации. В таком случае коммутатор поступает как хаб - отправляет кадр во все порты, кроме того, откуда фрейм пришел.

Это понятно.

Интересовало что за DLF, и почему я не смог его найти в документации.

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, а countdown лучше 5 ставить или всё таки 0 ?

 

У меня сейчас так на 3528:

 

config traffic control 1-23 broadcast enable multicast enable threshold 64 countdown 5 time_interval 30 action drop

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, а countdown лучше 5 ставить или всё таки 0 ?

Без разницы. Этот параметр работает только для режима shutdown, а у вас drop. Что, в принципе, верно, т.к. drop - это аппаратный функционал.

p.s. При drop вроде бы коммутатор ничего не сообщает в лог (по крайней мере 3028/3200). То есть даже не понятно, есть шторм или нет, он блокируется втихую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, а countdown лучше 5 ставить или всё таки 0 ?

Без разницы. Этот параметр работает только для режима shutdown, а у вас drop. Что, в принципе, верно, т.к. drop - это аппаратный функционал.

p.s. При drop вроде бы коммутатор ничего не сообщает в лог (по крайней мере 3028/3200). То есть даже не понятно, есть шторм или нет, он блокируется втихую.

 

Ага, спасибо. На 3028 есть трапы только...

 

config traffic trap both

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, а countdown лучше 5 ставить или всё таки 0 ?

Без разницы. Этот параметр работает только для режима shutdown, а у вас drop. Что, в принципе, верно, т.к. drop - это аппаратный функционал.

p.s. При drop вроде бы коммутатор ничего не сообщает в лог (по крайней мере 3028/3200). То есть даже не понятно, есть шторм или нет, он блокируется втихую.

3028 вот так умеет говорить:
4836 2015-08-24 13:42:00 WARN(4) Port 1 Multicast storm is occurring

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3028 вот так умеет говорить:

 

4836 2015-08-24 13:42:00 WARN(4) Port 1 Multicast storm is occurring

Это в режиме shutdown или именно drop? В shutdown у меня тоже так говорит.

У меня есть графики аномалий, там же есть наиболее штормящие абонентские порты. Несколько раз заряжали ТП позвонить и разобраться. Оказалось, что часто флудит разный говнософт, а абонентам особой пользы от нашей заботы нет, а вот вред есть - выключается порт. Тогда выставили все в drop (по совету здесь на форуме), логи пропали, ТП не озадачиваем лишний раз, порт у абонентов не выключается. И овцы сыты и волки целы. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

config traffic control 1-24 broadcast enable multicast enable unicast disable action drop threshold 64 countdown 5 time_interval 5

Сам так юзаю, все довольны, проблем нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

config traffic control 1-24 broadcast enable multicast enable unicast enable action drop threshold 128

Тоже все довольны :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ещё на гигабитных портах полезно ограничить полосу с хомячков.

Когда у хомячка заводится червие, участвующее в ddos - без такого лимита, он забивает гигабитный аплинк и мешает соседям, у них начинаются потери на исходящем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тоже все довольны :)

Включать лимит unknown unicast на железках, подверженных коллизиям маков, чревато хронической деградацией сервиса. Куда полезней делать изоляцию абонентских портов, разрешая хождение трафика только в сторону аплинка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.