Jump to content
Калькуляторы

Помогите отдебажить DES-3200-26(28) Есть причины написать сюда а не вендору

Есть сеть vlan на район+управляющий vlan. Районы где то по 100-300 абонентов. В цепочке от 1 до 4-х коммутаторов DES-3200. Агрегация L3 на DGS-3627G. Настроен safeguard_engine, flood_fdb, loopdetect, syslog.

На всех коммутаторах регулярно (до 10 раз в час) срабатывает SGE, иногда это происходит при появлении flood_fdb, это ещё можно понять, но иногда SGE срабатывает по неизвестной причине.

Прошу помощи у опытных юзальщиков DES-3200.

Изменить дизайн сети не представляется возможным.

Помогите пожалуйста продебажить проблему.

Edited by biox

Share this post


Link to post
Share on other sites

Недавно столкнулся с подобным у себя в сети. 3627 забивали свой cpu в 100%. Причиной оказались парные TP-Link 1043 у абонентов, подключенные в соседние 3528 в сети, которей потом приходили по цепочке на 3627.

Забивало мультикастом от таких абонентов по 12 kpps с каждого. Вылечил просто запретив на доступе через acl. Увидеть можно на коммутаторе доступа по sh pa po в разделе пакетов мультикаста.

 

Вырезал так для 3528:

 

create access_profile profile_id 2 profile_name udp_st ip udp des 255.255.255.255
config access_profile profile_id 2 add access_id 2 ip udp des 224.0.0.252 port 1-28 deny

 

Для 3200 надо чуть подправить. Если будут проблемы - могу выложить.

Edited by Hawk128

Share this post


Link to post
Share on other sites

в данной сети нет ни ism vlan, ни igmp snooping. С DGS-3627G всё в порядке, но смысл понятен - думаете это мультик валит коммутаторы, вообще то контроль шторма то же натроен. Попробую зарезать. Но хотелось бы именно продебажить, а не тыкать пальцем.

Edited by biox

Share this post


Link to post
Share on other sites

Снифер цепляем и вперёд.

Share this post


Link to post
Share on other sites

У меня мультикаст сыпался и до сервака, там и рассмотрел его адрес, его и блокирнул. Вроде что-то из автоматической настройки сети роутеров, но кривова-то сделанной.

Share this post


Link to post
Share on other sites

Со шторм контролом всё в порядке.

Share this post


Link to post
Share on other sites

Пардон, я скорее не к первому посту, а к тому, что если это мультикаст от юзеров, то он прекрасно рубится трафик контролем

 

Недавно столкнулся с подобным у себя в сети. 3627 забивали свой cpu в 100%. Причиной оказались парные TP-Link 1043 у абонентов, подключенные в соседние 3528 в сети, которей потом приходили по цепочке на 3627.

Забивало мультикастом от таких абонентов по 12 kpps с каждого. Вылечил просто запретив на доступе через acl. Увидеть можно на коммутаторе доступа по sh pa po в разделе пакетов мультикаста.

 

А если по теме - протяните до себя юзерский проблемный влан и поглядите tcpdump`ом, что там летает. Если действительно "раз 10 в час", то вполне может быть, что сразу и увидите что-то.

Ну и `sh uti cpu`, `sh uti ports`

 

Ну и на 3627 в логах чисто? Ни loop, ни possible spoofing attack?

Share this post


Link to post
Share on other sites

На 3627G всё чисто.

Share this post


Link to post
Share on other sites

только на L3.

Share this post


Link to post
Share on other sites

Попробуйте один из районов отсегментировать относительно аплинков. Все свичи.

По результатам посмотрите, какая ветвь свичей у вас уходит в SGE.

По вашей схеме (влан на район и 1 управляющий влан) крайне тяжело искать источник проблем на свичах.

Share this post


Link to post
Share on other sites

1) Есть возможность подцепить в сеть DES-3200 без абонентов?

2) Если да, то будет ли на нём срабатывать Safeguard Engine?

3) Если да, то в стык ставьте мостом сниффер под Линуксом и записывайте в файл весь мусор.

4) Постепенно отфильтровывайте этот мусор с помощью ebtables и смотрите, перестал ли ругаться SGE.

 

Весной отловили таким образом причину смерти DGS-3627 (одну из).

Их убивал транзитный юникастовый udp в объёме 1kpps (тысяча пакетов в секунду).

Share this post


Link to post
Share on other sites

м.... это идея. Сегодня заменили 4-ре штуки на наговские..... А эти планируем в новой сети со схемой vlan на дом использовать. На недле если время найду то попробую.

Share this post


Link to post
Share on other sites

увеличить arp agetime.

сделать conf multicast filter port all filter_unregistred

включить traffic control на мультикаст с действием drop.

провенить корректность настройки. stp

Share this post


Link to post
Share on other sites

в stp я кстати полный дуб.

 

arp пока не трогал, всё остальное только что сделал на всех коммутаторах 32ХХ серии

Edited by biox

Share this post


Link to post
Share on other sites

корректность stp означает явно настоеный корень дерева с помощью приоритетов. включение на абонентских портах restrict tcn и role. и по логам на корне следить, чтобы topology change не летали без причины.

Share this post


Link to post
Share on other sites

сделать conf multicast filter port all filter_unregistred

включить traffic control на мультикаст с действием drop.

Не помогает....

Share this post


Link to post
Share on other sites

А кто встречал такое, что при температуре ниже -18, Dlink DES-3200-26 в начале начинает терять пакеты по портам SFP, а после ребута, помирает совсем. SFP откидываю. БП - так же. Охлаждали до -20, напряжение держит.

Прикол еще в том, что два свитча загибаются при такой температуре. Остальная куча, что в сети, работает.

Предполагаю, что какой то электролит. конденсатор замерз.

Share this post


Link to post
Share on other sites

3200 выпуска до лета 2011 мерзнут при температуре менше где-то 20 градусов, решается перепайкой одной детальки

Share this post


Link to post
Share on other sites

Вы вообще в паспорт смотрели? Какая у них допустимая рабочая температура?

Share this post


Link to post
Share on other sites

По паспорту до нуля, но мы же в России живем =) в принципе после перепайки и в -40 работают

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this