biox Опубликовано 29 января, 2012 (изменено) · Жалоба Есть сеть vlan на район+управляющий vlan. Районы где то по 100-300 абонентов. В цепочке от 1 до 4-х коммутаторов DES-3200. Агрегация L3 на DGS-3627G. Настроен safeguard_engine, flood_fdb, loopdetect, syslog. На всех коммутаторах регулярно (до 10 раз в час) срабатывает SGE, иногда это происходит при появлении flood_fdb, это ещё можно понять, но иногда SGE срабатывает по неизвестной причине. Прошу помощи у опытных юзальщиков DES-3200. Изменить дизайн сети не представляется возможным. Помогите пожалуйста продебажить проблему. Изменено 29 января, 2012 пользователем biox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 29 января, 2012 · Жалоба Что-то туплю - Что такое SGE? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pliskinsad Опубликовано 29 января, 2012 · Жалоба safeguard_engine safeguard_engine Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 29 января, 2012 · Жалоба igmp_snooping/ism? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Hawk128 Опубликовано 29 января, 2012 (изменено) · Жалоба Недавно столкнулся с подобным у себя в сети. 3627 забивали свой cpu в 100%. Причиной оказались парные TP-Link 1043 у абонентов, подключенные в соседние 3528 в сети, которей потом приходили по цепочке на 3627. Забивало мультикастом от таких абонентов по 12 kpps с каждого. Вылечил просто запретив на доступе через acl. Увидеть можно на коммутаторе доступа по sh pa po в разделе пакетов мультикаста. Вырезал так для 3528: create access_profile profile_id 2 profile_name udp_st ip udp des 255.255.255.255 config access_profile profile_id 2 add access_id 2 ip udp des 224.0.0.252 port 1-28 deny Для 3200 надо чуть подправить. Если будут проблемы - могу выложить. Изменено 29 января, 2012 пользователем Hawk128 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 29 января, 2012 (изменено) · Жалоба в данной сети нет ни ism vlan, ни igmp snooping. С DGS-3627G всё в порядке, но смысл понятен - думаете это мультик валит коммутаторы, вообще то контроль шторма то же натроен. Попробую зарезать. Но хотелось бы именно продебажить, а не тыкать пальцем. Изменено 29 января, 2012 пользователем biox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 29 января, 2012 · Жалоба Снифер цепляем и вперёд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Hawk128 Опубликовано 29 января, 2012 · Жалоба У меня мультикаст сыпался и до сервака, там и рассмотрел его адрес, его и блокирнул. Вроде что-то из автоматической настройки сети роутеров, но кривова-то сделанной. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 29 января, 2012 · Жалоба Так это... storm control - не? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 29 января, 2012 · Жалоба Со шторм контролом всё в порядке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 29 января, 2012 · Жалоба Пардон, я скорее не к первому посту, а к тому, что если это мультикаст от юзеров, то он прекрасно рубится трафик контролем Недавно столкнулся с подобным у себя в сети. 3627 забивали свой cpu в 100%. Причиной оказались парные TP-Link 1043 у абонентов, подключенные в соседние 3528 в сети, которей потом приходили по цепочке на 3627. Забивало мультикастом от таких абонентов по 12 kpps с каждого. Вылечил просто запретив на доступе через acl. Увидеть можно на коммутаторе доступа по sh pa po в разделе пакетов мультикаста. А если по теме - протяните до себя юзерский проблемный влан и поглядите tcpdump`ом, что там летает. Если действительно "раз 10 в час", то вполне может быть, что сразу и увидите что-то. Ну и `sh uti cpu`, `sh uti ports` Ну и на 3627 в логах чисто? Ни loop, ни possible spoofing attack? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 30 января, 2012 · Жалоба На 3627G всё чисто. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 30 января, 2012 · Жалоба DHCP Relay используется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 30 января, 2012 · Жалоба только на L3. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 30 января, 2012 · Жалоба Попробуйте один из районов отсегментировать относительно аплинков. Все свичи. По результатам посмотрите, какая ветвь свичей у вас уходит в SGE. По вашей схеме (влан на район и 1 управляющий влан) крайне тяжело искать источник проблем на свичах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 30 января, 2012 · Жалоба 1) Есть возможность подцепить в сеть DES-3200 без абонентов? 2) Если да, то будет ли на нём срабатывать Safeguard Engine? 3) Если да, то в стык ставьте мостом сниффер под Линуксом и записывайте в файл весь мусор. 4) Постепенно отфильтровывайте этот мусор с помощью ebtables и смотрите, перестал ли ругаться SGE. Весной отловили таким образом причину смерти DGS-3627 (одну из). Их убивал транзитный юникастовый udp в объёме 1kpps (тысяча пакетов в секунду). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 30 января, 2012 · Жалоба м.... это идея. Сегодня заменили 4-ре штуки на наговские..... А эти планируем в новой сети со схемой vlan на дом использовать. На недле если время найду то попробую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 31 января, 2012 · Жалоба увеличить arp agetime. сделать conf multicast filter port all filter_unregistred включить traffic control на мультикаст с действием drop. провенить корректность настройки. stp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 31 января, 2012 (изменено) · Жалоба в stp я кстати полный дуб. arp пока не трогал, всё остальное только что сделал на всех коммутаторах 32ХХ серии Изменено 31 января, 2012 пользователем biox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 1 февраля, 2012 · Жалоба корректность stp означает явно настоеный корень дерева с помощью приоритетов. включение на абонентских портах restrict tcn и role. и по логам на корне следить, чтобы topology change не летали без причины. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 1 февраля, 2012 · Жалоба сделать conf multicast filter port all filter_unregistred включить traffic control на мультикаст с действием drop. Не помогает.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
asteroid Опубликовано 1 февраля, 2012 · Жалоба А кто встречал такое, что при температуре ниже -18, Dlink DES-3200-26 в начале начинает терять пакеты по портам SFP, а после ребута, помирает совсем. SFP откидываю. БП - так же. Охлаждали до -20, напряжение держит. Прикол еще в том, что два свитча загибаются при такой температуре. Остальная куча, что в сети, работает. Предполагаю, что какой то электролит. конденсатор замерз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
brainfair Опубликовано 2 февраля, 2012 · Жалоба 3200 выпуска до лета 2011 мерзнут при температуре менше где-то 20 градусов, решается перепайкой одной детальки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 2 февраля, 2012 · Жалоба Вы вообще в паспорт смотрели? Какая у них допустимая рабочая температура? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
brainfair Опубликовано 2 февраля, 2012 · Жалоба По паспорту до нуля, но мы же в России живем =) в принципе после перепайки и в -40 работают Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...