SashaGub Posted January 18, 2013 Здравствуйте, уважаемые форумчане! Прошу помощи или подсказки в таком вопросе. Есть сеть, топологию её можно увидеть на рисунке. Еще скрин Interface List в нормальном режиме когда сеть работает без проблем: Так вот в чем вопрос…, с недавнего времени, а точнее со 2 января сеть начала падать. Симптомы: увеличивается время прохождения пакетов через центральный роутер - RB1100AHx2 (время пинга от центрального роутера к клиенту 160-200мс.) , симптом не постоянный, зависимость не найдена, от количества пакетов (pps) не зависит – может при 4100 pps - валится сеть, а может и на 5600 pps - нормально работать, от процессора не зависит – может при 40% валится, и при этом на 50% нормально работать, от количества трафика также не зависит – может прокачивать 52 Mbps и нормально работать, а может и при 45 Mbps падать. Как правило происходит это вечером когда большая нагрузка. Найдена только одна зависимость в момент завала сети, в Tools/Profile , Firewall отъедает 40%, в обычном режиме это 27%. В Firewall только изоляция сетей, перенаправление на страницу напоминалку, порезаны некоторые порты, дроп инвалид пакетов и ограничение по количеству TCP сессий в размере 300. Радио часть: все в идеале, пинг от роутера каждого сегмента (RB750) к клиенту составляет 2-4мс.. Если посмотреть на схеме где роутер RB 750 включен кабелем (зеленая линия), во второй порт, так вот от этого роутера к RB1100AHx2 в момент падения сети, пинг составляет 10 – 60 мс., подключен он кабелем длиной в 50 см., в нормальном режиме это 0мс. Клиенты все находятся за NATом. Внешний канал при этом все отлично, проверено несколько, раз. Иными словами если все обобщить то возникает чувство, что в какой то момент RB1100AHx2 не может переварить весь трафик, и все что через него проходит тормозится, а вот что эму мешает пока найти не могу возможно это трафик какого то клиента? Заранее благодарен за любую информацию в этом направлении. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 18, 2013 Ну так запустите Torch со всеми галочками на интерфейсах от клиентов и посмотрите что за трафик идет. Возможно кто-то рассылает флуд или занимает все порты ната, отсюда и идет большая нагрузка. Попробуйте для начала количество сессий ограничить или количество пакетов на клиента. Либо на RB750 отключайте каналы что бы найти откуда ноги растут. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SashaGub Posted January 18, 2013 Спасибо Saab95, сегодня вечером попробую. Подскажите, пожалуйста на какие критерии стоит обращать внимание в Torch ? На данный момент вижу что несколько машин (клиентов) флудят внутри сетки на ip: 192.168.1.253:9080, что это у меня такого IP-адреса нету, и что это за порт? Как определить что клиент занимает все порты NATа, здесь если можно ткните носом... С отключением каналов экспериментировал, но точно определить не получилось, так как каждый раз по разному была реакция на отключение того или иного канала. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 18, 2013 Ставите все галочки и сортируете по адресу или по принятым данным. Не должно быть левых адресов, и все запросы должны идти либо в интернет с адресов ваших клиентов, либо от вашего сервера к ним. Так же есть в меню Tools - Sniffer, там ставите лимит буфера 2000, указываете входящий интерфейс и жмете старт. Далее на кнопку Sniffed Packets, включаете все столбцы и смотрите что и как. Так же там есть кнопка Connection и Host. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SashaGub Posted January 19, 2013 Посмотрел вчера, понаблюдал... честно ничего не увидел.. пару клиентов нашел флудили, мне кажется это не они сеть садят. Возможно все таки это железяка RB100AHx2 слабенькая? Тут предложили в каждом секторе поставить управляемые свитчи, например D-Link DES-3200 и отфильтровать сеть, от бродкаст штормов и т.д., чтобы на центральный шел только чистый трафик. Но сходу вопрос что умеют DES-3200 чего нельзя настроить на MikriTik RB750 (по фаерволу)? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 19, 2013 Ничего не умеет. Микротик может фильтровать и маки и что угодно. Смотрите раздел BRIDGE - FILTER. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted January 20, 2013 Ничего не умеет. Микротик может фильтровать и маки и что угодно. Смотрите раздел BRIDGE - FILTER. а подскажите как настроить loopback на МТ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SashaGub Posted January 20, 2013 Ничего не умеет. Микротик может фильтровать и маки и что угодно. Смотрите раздел BRIDGE - FILTER. Уважаемый, Saab95 подскажите тогда как настроить RB 750 у которого все порты в бридже от таких казусов: 1. От широковещательного/многоадресного/ одноадресного шторма 2. Предотвращение атак DoS 3. Предотвращение ARP Spoofng 4. Предотвращение атак BPDU Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 20, 2013 Уважаемый, Saab95 подскажите тогда как настроить RB 750 у которого все порты в бридже от таких казусов: 1. От широковещательного/многоадресного/ одноадресного шторма 2. Предотвращение атак DoS 3. Предотвращение ARP Spoofng 4. Предотвращение атак BPDU 1. Блокировка трафика между портами бриджа. 2. Ограничение на количество пакетов в секунду с одного IP адреса. 3 и 4 - используйте PPPoE. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Voronok Posted January 21, 2013 Возможно все таки это железяка RB100AHx2 слабенькая? По нашим наблюдениям ложится при 20 - 30 мегабитах трафика. Правда, в кабельной сети с настроенной приоритезацией трафика на железке. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted January 21, 2013 (edited) По нашим наблюдениям ложится при 20 - 30 мегабитах трафика. Правда, в кабельной сети с настроенной приоритезацией трафика на железке. от профиля трафика зависит. У нас RB1100AHx2 (PPPoE+VLAN терминация, QoS-tree, минимальный firewall)кладется при 200 аб (тарифы 1-3 Мбит/с) онлайн и суммарных 100 Мбит/с RB1100 с тем же набором умирал при 100-110 аб. и суммарных 45-50 Мбит/с Edited January 21, 2013 by saaremaa Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SashaGub Posted January 21, 2013 (edited) По нашим наблюдениям ложится при 20 - 30 мегабитах трафика. Правда, в кабельной сети с настроенной приоритезацией трафика на железке. У нас не в кабельной сети и с приоритезацией трафика пока вытягивает 56 Mbps, а дальше видно будет. Задавал представителям MT на MUM в Киеве почему Микротик не выпустило устройство оутдоровского назначения, учитывая что у них большая масса продуктов именно такие, с более мощным процессором, например тот же Cloud Core, так как у нас в основном в частном секторе только мачты, тех помещений нету и нужно думать о экономии электричества (стоят везде упсы)и о терморежиме. Edited January 21, 2013 by SashaGub Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 21, 2013 По нашим наблюдениям ложится при 20 - 30 мегабитах трафика. Правда, в кабельной сети с настроенной приоритезацией трафика на железке. от профиля трафика зависит. У нас RB1100AHx2 (PPPoE+VLAN терминация, QoS-tree, минимальный firewall)кладется при 200 аб (тарифы 1-3 Мбит/с) онлайн и суммарных 100 Мбит/с RB1100 с тем же набором умирал при 100-110 аб. и суммарных 45-50 Мбит/с Что там у вас за такие настройки хитрые? У меня даже RB450G вытягивал под 50-60 мегабит на PPPoE в качестве сервера для 150 клиентов. А у вас железка в разы мощнее и не справляется. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted January 21, 2013 (edited) Что там у вас за такие настройки хитрые? Торентов много. 39 правил в mangle (нарезка скорости + приоретизация по типу трафика ) 2 правила в firewall rules 31 vlan в каждом свой pppoe-server (vlan на дом или поселок в зависимости от абонентской базы) немного ospf Edited January 21, 2013 by saaremaa Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SSD Posted January 21, 2013 31 vlan в каждом свой pppoe-server (vlan на дом или поселок в зависимости от абонентской базы) Видимо проблема в этом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted January 21, 2013 Видимо проблема в этом. Не совсем так. При нагрузке смотрели tool → profile там написано что queue+firewall нагружают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Voronok Posted January 21, 2013 от профиля трафика зависит. У нас RB1100AHx2 (PPPoE+VLAN терминация, QoS-tree, минимальный firewall)кладется при 200 аб (тарифы 1-3 Мбит/с) онлайн и суммарных 100 Мбит/с RB1100 с тем же набором умирал при 100-110 аб. и суммарных 45-50 Мбит/с Ой, я дико извиняюсь что ввёл в заблуждение. Сейчас посмотрел - у нас стоит RB2011L-RM, который гораздо слабее. Ну и тарифы 1-40 мегабит, 50 абонентов. Маршрутизация, QoS, firewall. Тогда всё логично. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 21, 2013 31 vlan в каждом свой pppoe-server (vlan на дом или поселок в зависимости от абонентской базы) Попробуйте для теста все вланы объединить в бридж, заблокировать трафик между портами бриджа и на этом бридже сделать один PPPoE сервер, другие можете просто выключить, что бы если что быстро вернуть все обратно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted January 21, 2013 Попробуйте для теста все вланы объединить в бридж, заблокировать трафик между портами бриджа и на этом бридже сделать один PPPoE сервер, другие можете просто выключить, что бы если что быстро вернуть все обратно. Как будет минутка попробую на стенде сделать как эксперимент. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SashaGub Posted January 21, 2013 1. Блокировка трафика между портами бриджа. 2. Ограничение на количество пакетов в секунду с одного IP адреса. 3 и 4 - используйте PPPoE. 1. Это сделано. 2. Это также сделано в размере 250, по Вашему примеру. 3 и 4 а вот PPPoE по ряду обстоятельств не могу и не хочу, вот и получается, что чего те не может. А вот действительно как настроить на MT loopback ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted January 21, 2013 А вот действительно как настроить на MT loopback ? You already can create loopback interface by adding bridge interface without bridge ports. http://forum.mikrotik.com/viewtopic.php?f=1&t=23522 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted January 21, 2013 You already can create loopback interface by adding bridge interface without bridge ports. http://forum.mikroti...php?f=1&t=23522 не совсем это имел ввиду ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
