Jump to content

Помогите отдебажить DES-3200-26(28)

biox
 Share

Recommended Posts

biox

biox

Posted
Posted (edited)

Есть сеть vlan на район+управляющий vlan. Районы где то по 100-300 абонентов. В цепочке от 1 до 4-х коммутаторов DES-3200. Агрегация L3 на DGS-3627G. Настроен safeguard_engine, flood_fdb, loopdetect, syslog.

На всех коммутаторах регулярно (до 10 раз в час) срабатывает SGE, иногда это происходит при появлении flood_fdb, это ещё можно понять, но иногда SGE срабатывает по неизвестной причине.

Прошу помощи у опытных юзальщиков DES-3200.

Изменить дизайн сети не представляется возможным.

Помогите пожалуйста продебажить проблему.

Edited by biox
Hawk128

Hawk128

Posted
Posted (edited)

Недавно столкнулся с подобным у себя в сети. 3627 забивали свой cpu в 100%. Причиной оказались парные TP-Link 1043 у абонентов, подключенные в соседние 3528 в сети, которей потом приходили по цепочке на 3627.

Забивало мультикастом от таких абонентов по 12 kpps с каждого. Вылечил просто запретив на доступе через acl. Увидеть можно на коммутаторе доступа по sh pa po в разделе пакетов мультикаста.

 

Вырезал так для 3528:

 

create access_profile profile_id 2 profile_name udp_st ip udp des 255.255.255.255
config access_profile profile_id 2 add access_id 2 ip udp des 224.0.0.252 port 1-28 deny

 

Для 3200 надо чуть подправить. Если будут проблемы - могу выложить.

Edited by Hawk128
biox

biox

Posted
  • Author
Posted (edited)

в данной сети нет ни ism vlan, ни igmp snooping. С DGS-3627G всё в порядке, но смысл понятен - думаете это мультик валит коммутаторы, вообще то контроль шторма то же натроен. Попробую зарезать. Но хотелось бы именно продебажить, а не тыкать пальцем.

Edited by biox
Hawk128

Hawk128

Posted
Posted

У меня мультикаст сыпался и до сервака, там и рассмотрел его адрес, его и блокирнул. Вроде что-то из автоматической настройки сети роутеров, но кривова-то сделанной.

Wingman

Wingman

Posted
Posted

Пардон, я скорее не к первому посту, а к тому, что если это мультикаст от юзеров, то он прекрасно рубится трафик контролем

 

Недавно столкнулся с подобным у себя в сети. 3627 забивали свой cpu в 100%. Причиной оказались парные TP-Link 1043 у абонентов, подключенные в соседние 3528 в сети, которей потом приходили по цепочке на 3627.

Забивало мультикастом от таких абонентов по 12 kpps с каждого. Вылечил просто запретив на доступе через acl. Увидеть можно на коммутаторе доступа по sh pa po в разделе пакетов мультикаста.

 

А если по теме - протяните до себя юзерский проблемный влан и поглядите tcpdump`ом, что там летает. Если действительно "раз 10 в час", то вполне может быть, что сразу и увидите что-то.

Ну и `sh uti cpu`, `sh uti ports`

 

Ну и на 3627 в логах чисто? Ни loop, ни possible spoofing attack?

terrible

terrible

Posted
Posted

Попробуйте один из районов отсегментировать относительно аплинков. Все свичи.

По результатам посмотрите, какая ветвь свичей у вас уходит в SGE.

По вашей схеме (влан на район и 1 управляющий влан) крайне тяжело искать источник проблем на свичах.

Ilya Evseev

Ilya Evseev

Posted
Posted

1) Есть возможность подцепить в сеть DES-3200 без абонентов?

2) Если да, то будет ли на нём срабатывать Safeguard Engine?

3) Если да, то в стык ставьте мостом сниффер под Линуксом и записывайте в файл весь мусор.

4) Постепенно отфильтровывайте этот мусор с помощью ebtables и смотрите, перестал ли ругаться SGE.

 

Весной отловили таким образом причину смерти DGS-3627 (одну из).

Их убивал транзитный юникастовый udp в объёме 1kpps (тысяча пакетов в секунду).

biox

biox

Posted
  • Author
Posted

м.... это идея. Сегодня заменили 4-ре штуки на наговские..... А эти планируем в новой сети со схемой vlan на дом использовать. На недле если время найду то попробую.

dmvy

dmvy

Posted
Posted

увеличить arp agetime.

сделать conf multicast filter port all filter_unregistred

включить traffic control на мультикаст с действием drop.

провенить корректность настройки. stp

biox

biox

Posted
  • Author
Posted (edited)

в stp я кстати полный дуб.

 

arp пока не трогал, всё остальное только что сделал на всех коммутаторах 32ХХ серии

Edited by biox
dmvy

dmvy

Posted
Posted

корректность stp означает явно настоеный корень дерева с помощью приоритетов. включение на абонентских портах restrict tcn и role. и по логам на корне следить, чтобы topology change не летали без причины.

biox

biox

Posted
  • Author
Posted

сделать conf multicast filter port all filter_unregistred

включить traffic control на мультикаст с действием drop.

Не помогает....

asteroid

asteroid

Posted
Posted

А кто встречал такое, что при температуре ниже -18, Dlink DES-3200-26 в начале начинает терять пакеты по портам SFP, а после ребута, помирает совсем. SFP откидываю. БП - так же. Охлаждали до -20, напряжение держит.

Прикол еще в том, что два свитча загибаются при такой температуре. Остальная куча, что в сети, работает.

Предполагаю, что какой то электролит. конденсатор замерз.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.