AlKov Опубликовано 27 октября, 2011 · Жалоба Наблюдаю чрезвычайно странную ситуацию с D-LINK DES-1100-16. Заключается она в следующем - коммутаторы, с Firmware Version v1.00.11, сконфигуреные с Port-Based Vlan периодически исчезают из мониторинга (Nagios на FreeBSD 8.2), коммутаторы с Firmware Version v1.00.B15, сконфигуренные с 802.1Q vlan + Traffic segmentation + Management vlan не мониторятся вовсе.. Причина в непонятном дропе icmp пакетов ядром софтового роутера на CentOs 5.5, находящегося между коммутаторами и собственно сервером мониторинга. Подсети коммутаторов и сервера разные - коммутаторы в 192.168.4.0/22, мониторинг - в 10.254.213.0/24. Смотрел прохождение icmp tcpdump-ом на роутере. Картина следующая - на "входящем интерфейсе" (со стороны коммутаторов) запрос и ответ присутствуют, на "выходном интерфейсе" (к мониторингу) - только запрос от мониторинга. Аналогичная картина наблюдается и с прохождением icmp с любых других подсетей, кроме 192.168.4.0/22. Что еще примечательно - все коммутаторы при этом доступны по web, правда с огромными "тормозами" (страница может грузиться около 2 мин.) Кроме этого коммутаторы без проблем пингуются с самого роутера (ну собств. со своей "родной" подсети). Другая "примечательность" - если в процессе "пингования" коммутатора, например с сервера мониторинга (10.254.213.2), одновременно запустить пинг на роутере, то на мониторинге пинг начинает "проходить"!!! После останова пинга на роутере и на мониторинге, через некоторое время коммутаторы еще пингуются, далее снова ступор.. Подобная беда наблюдается только с коммутаторами DES-1100-16. В сети кроме них более 200 шт. DES-2108, более 100 шт. DES-3200-10, около 30 шт. DES-3526 и 50 шт. DIR-100 в режиме свитча. С вышеперечисленными свитчами такого не наблюдается. В чём может быть проблема? Чем может отличаться icmp пакет от DES-1100-16, чтобы так "не нравиться" роутеру?? Почему запуск "параллельного" пинга на роутере на какое-то время решает проблему?? Дамп на "входном" (от свитчей) интерфейсе роутера tcpdump -AnvvvxX -i vlan3 host 192.168.5.69 tcpdump: listening on vlan3, link-type EN10MB (Ethernet), capture size 96 bytes 15:37:49.471849 IP (tos 0x0, ttl 63, id 21691, offset 0, flags [none], proto: ICMP (1), length: 84) 10.254.213.2 > 192.168.5.69: ICMP echo request, id 63000 , seq 0, length 64 0x0000: 4500 0054 54bb 0000 3f01 8100 0afe d502 E..TT...?....... 0x0010: c0a8 0545 0800 2a1a f618 0000 4ea9 428c ...E..*.....N.B. 0x0020: 000c 5b88 0809 0a0b 0c0d 0e0f 1011 1213 ..[............. 0x0030: 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 .............!"# 0x0040: 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123 0x0050: 3435 45 15:37:49.474910 IP (tos 0x0, ttl 63, id 21691, offset 0, flags [none], proto: ICMP (1), length: 84) 192.168.5.69 > 10.254.213.2: ICMP echo reply, id 63000, seq 0, length 64 0x0000: 4500 0054 54bb 0000 3f01 8100 c0a8 0545 E..TT...?......E 0x0010: 0afe d502 0000 321a f618 0000 4ea9 428c ......2.....N.B. 0x0020: 000c 5b88 0809 0a0b 0c0d 0e0f 1011 1213 ..[............. 0x0030: 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 .............!"# 0x0040: 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123 0x0050: 3435 45 15:37:50.494202 IP (tos 0x0, ttl 63, id 21780, offset 0, flags [none], proto: ICMP (1), length: 84) 10.254.213.2 > 192.168.5.69: ICMP echo request, id 63000 , seq 1, length 64 0x0000: 4500 0054 5514 0000 3f01 80a7 0afe d502 E..TU...?....... 0x0010: c0a8 0545 0800 d2e1 f618 0001 4ea9 428d ...E........N.B. 0x0020: 000c b2be 0809 0a0b 0c0d 0e0f 1011 1213 ................ 0x0030: 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 .............!"# 0x0040: 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123 0x0050: 3435 45 15:37:50.498253 IP (tos 0x0, ttl 63, id 21780, offset 0, flags [none], proto: ICMP (1), length: 84) 192.168.5.69 > 10.254.213.2: ICMP echo reply, id 63000, seq 1, length 64 0x0000: 4500 0054 5514 0000 3f01 80a7 c0a8 0545 E..TU...?......E 0x0010: 0afe d502 0000 dae1 f618 0001 4ea9 428d ............N.B. 0x0020: 000c b2be 0809 0a0b 0c0d 0e0f 1011 1213 ................ 0x0030: 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 .............!"# 0x0040: 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123 0x0050: 3435 P.S. Пакет дропается явно ядром, т.к. в фаерволе (iptables) форвардинг для подсети 192.168.4.0/22 открыт полностью во всю DMZ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 27 октября, 2011 · Жалоба Не плохо бы и маки свичей видеть (ключ -e tcpdump), и arp -an с глючного роутера. DIR-100 в режиме свитча Не пугает открытый телнет с не меняемым паролем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 27 октября, 2011 · Жалоба Не плохо бы и маки свичей видеть (ключ -e tcpdump), и arp -an с глючного роутера. DIR-100 в режиме свитча Не пугает открытый телнет с не меняемым паролем? А почему неменяемый пароль? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 28 октября, 2011 · Жалоба Спросите у них. DIR100D1_FW400SWSWB06.bin и 03 - из веба не меняется. Всегда: admin/admin. Ещё зачем то ntp кастрировали (потому что он как бы остался и срабатывает на аппли, но настроек нет), убрали настройки днс, шлюза, сислога нет и снмп - так бы вообще здорово было, тем более что места во встроенном флеше полно: прошивка под л2 свич в два раза меньше роутерной. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reest Опубликовано 28 октября, 2011 · Жалоба Наблюдаю чрезвычайно странную ситуацию с D-LINK DES-1100-16. Заключается она в следующем - коммутаторы, с Firmware Version v1.00.11, сконфигуреные с Port-Based Vlan периодически исчезают из мониторинга (Nagios на FreeBSD 8.2), коммутаторы с Firmware Version v1.00.B15, сконфигуренные с 802.1Q vlan + Traffic segmentation + Management vlan не мониторятся вовсе.. Причина в непонятном дропе icmp пакетов ядром софтового роутера на CentOs 5.5, находящегося между коммутаторами и собственно сервером мониторинга. Подсети коммутаторов и сервера разные - коммутаторы в 192.168.4.0/22, мониторинг - в 10.254.213.0/24. Смотрел прохождение icmp tcpdump-ом на роутере. Картина следующая - на "входящем интерфейсе" (со стороны коммутаторов) запрос и ответ присутствуют, на "выходном интерфейсе" (к мониторингу) - только запрос от мониторинга. Аналогичная картина наблюдается и с прохождением icmp с любых других подсетей, кроме 192.168.4.0/22. Что еще примечательно - все коммутаторы при этом доступны по web, правда с огромными "тормозами" (страница может грузиться около 2 мин.) Кроме этого коммутаторы без проблем пингуются с самого роутера (ну собств. со своей "родной" подсети). Другая "примечательность" - если в процессе "пингования" коммутатора, например с сервера мониторинга (10.254.213.2), одновременно запустить пинг на роутере, то на мониторинге пинг начинает "проходить"!!! После останова пинга на роутере и на мониторинге, через некоторое время коммутаторы еще пингуются, далее снова ступор.. Подобная беда наблюдается только с коммутаторами DES-1100-16. В сети кроме них более 200 шт. DES-2108, более 100 шт. DES-3200-10, около 30 шт. DES-3526 и 50 шт. DIR-100 в режиме свитча. С вышеперечисленными свитчами такого не наблюдается. В чём может быть проблема? Чем может отличаться icmp пакет от DES-1100-16, чтобы так "не нравиться" роутеру?? Почему запуск "параллельного" пинга на роутере на какое-то время решает проблему?? Дамп на "входном" (от свитчей) интерфейсе роутера tcpdump -AnvvvxX -i vlan3 host 192.168.5.69 tcpdump: listening on vlan3, link-type EN10MB (Ethernet), capture size 96 bytes 15:37:49.471849 IP (tos 0x0, ttl 63, id 21691, offset 0, flags [none], proto: ICMP (1), length: 84) 10.254.213.2 > 192.168.5.69: ICMP echo request, id 63000 , seq 0, length 64 0x0000: 4500 0054 54bb 0000 3f01 8100 0afe d502 E..TT...?....... 0x0010: c0a8 0545 0800 2a1a f618 0000 4ea9 428c ...E..*.....N.B. 0x0020: 000c 5b88 0809 0a0b 0c0d 0e0f 1011 1213 ..[............. 0x0030: 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 .............!"# 0x0040: 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123 0x0050: 3435 45 15:37:49.474910 IP (tos 0x0, ttl 63, id 21691, offset 0, flags [none], proto: ICMP (1), length: 84) 192.168.5.69 > 10.254.213.2: ICMP echo reply, id 63000, seq 0, length 64 0x0000: 4500 0054 54bb 0000 3f01 8100 c0a8 0545 E..TT...?......E 0x0010: 0afe d502 0000 321a f618 0000 4ea9 428c ......2.....N.B. 0x0020: 000c 5b88 0809 0a0b 0c0d 0e0f 1011 1213 ..[............. 0x0030: 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 .............!"# 0x0040: 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123 0x0050: 3435 45 15:37:50.494202 IP (tos 0x0, ttl 63, id 21780, offset 0, flags [none], proto: ICMP (1), length: 84) 10.254.213.2 > 192.168.5.69: ICMP echo request, id 63000 , seq 1, length 64 0x0000: 4500 0054 5514 0000 3f01 80a7 0afe d502 E..TU...?....... 0x0010: c0a8 0545 0800 d2e1 f618 0001 4ea9 428d ...E........N.B. 0x0020: 000c b2be 0809 0a0b 0c0d 0e0f 1011 1213 ................ 0x0030: 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 .............!"# 0x0040: 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123 0x0050: 3435 45 15:37:50.498253 IP (tos 0x0, ttl 63, id 21780, offset 0, flags [none], proto: ICMP (1), length: 84) 192.168.5.69 > 10.254.213.2: ICMP echo reply, id 63000, seq 1, length 64 0x0000: 4500 0054 5514 0000 3f01 80a7 c0a8 0545 E..TU...?......E 0x0010: 0afe d502 0000 dae1 f618 0001 4ea9 428d ............N.B. 0x0020: 000c b2be 0809 0a0b 0c0d 0e0f 1011 1213 ................ 0x0030: 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 .............!"# 0x0040: 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123 0x0050: 3435 P.S. Пакет дропается явно ядром, т.к. в фаерволе (iptables) форвардинг для подсети 192.168.4.0/22 открыт полностью во всю DMZ. 5блин, я б тоже откинул пакет, почему 55, а не 54???? типа длинна не кошерна... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 29 октября, 2011 · Жалоба 5 блин, я б тоже откинул пакет, почему 55, а не 54???? типа длинна не кошерна... Эммм.. А что это такое - "55"?? Где это? P.S. Обсудил проблему на форуме дилинк, похоже проблема в самой фирмваре свитча. P.P.S. Спросите у них. DIR100D1_FW400SWSWB06.bin и 03 - из веба не меняется. Всегда: admin/admin. Ещё зачем то ntp кастрировали (потому что он как бы остался и срабатывает на аппли, но настроек нет), убрали настройки днс, шлюза, сислога нет и снмп - так бы вообще здорово было, тем более что места во встроенном флеше полно: прошивка под л2 свич в два раза меньше роутерной. Я сразу же забил на DIR-100, как только вышла в свет эта версия, на предыдущей (С1) все более-менее сносно было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reest Опубликовано 29 октября, 2011 · Жалоба 5 блин, я б тоже откинул пакет, почему 55, а не 54???? типа длинна не кошерна... Эммм.. А что это такое - "55"?? Где это? как где? вы не видете 55 в дампе? и глядя на дамп не хотите сказать: почему 55 а не 54 ?? да вам читать РТФМ до полного просветления, а именно расчет контрольной суммы пакета. либо длинна либо контрольная сумма не кошерна, кслати пинганите из под пингвина, ему пофигу на несоответствие контрольной суммы ИП пакета. P.S. Обсудил проблему на форуме дилинк, похоже проблема в самой фирмваре свитча. P.P.S. Спросите у них. DIR100D1_FW400SWSWB06.bin и 03 - из веба не меняется. Всегда: admin/admin. Ещё зачем то ntp кастрировали (потому что он как бы остался и срабатывает на аппли, но настроек нет), убрали настройки днс, шлюза, сислога нет и снмп - так бы вообще здорово было, тем более что места во встроенном флеше полно: прошивка под л2 свич в два раза меньше роутерной. Я сразу же забил на DIR-100, как только вышла в свет эта версия, на предыдущей (С1) все более-менее сносно было. 5 блин, я б тоже откинул пакет, почему 55, а не 54???? типа длинна не кошерна... Эммм.. А что это такое - "55"?? Где это? как где? вы не видете 55 в дампе? и глядя на дамп не хотите сказать: почему 55 а не 54 ?? да вам читать РТФМ до полного просветления, а именно расчет контрольной суммы пакета. либо длинна либо контрольная сумма не кошерна, кслати пинганите из под пингвина, ему пофигу на несоответствие контрольной суммы ИП пакета. P.S. Обсудил проблему на форуме дилинк, похоже проблема в самой фирмваре свитча. P.P.S. Спросите у них. DIR100D1_FW400SWSWB06.bin и 03 - из веба не меняется. Всегда: admin/admin. Ещё зачем то ntp кастрировали (потому что он как бы остался и срабатывает на аппли, но настроек нет), убрали настройки днс, шлюза, сислога нет и снмп - так бы вообще здорово было, тем более что места во встроенном флеше полно: прошивка под л2 свич в два раза меньше роутерной. Я сразу же забил на DIR-100, как только вышла в свет эта версия, на предыдущей (С1) все более-менее сносно было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 31 октября, 2011 · Жалоба ... кслати пинганите из под пингвина, ему пофигу на несоответствие контрольной суммы ИП пакета. Аналогичный результат. Кстати, дропает пакет именно "пингвинный" рутер. Предположительную причину я уже озвучивал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...