[BanZaj]

Добрый день!

Имеем узел агрегации - два D-Link DGS3420-26SC соединённых последовательно по 10G линку. В них включено порядка 35-40 узлов доступа (УД) EdgeCore ES3528M.

На УД, кое где, коммутаторы включены последовательно с целью расширения кол-ва портов. ТАк вот, в один прекрасный момент, на одном из почти 2-х сотен УД, стали происходить непонятные вещи - юзеры с pppoe авторизуются только после 15-30 попыток, при том, что раньше они работали нормально.

СОбытие примерно (с точностью до недели) совпало с установкой 2-го коммутатора на УД и подключением некольких абонентов.

Есть несколько мыслей и решений по данному поводу:

1. Железо - коммутаторы были заменены оба

2. Софт - ПО было обновлено на свежее. При том что данная конфигурация используется на всей сети (и узлов агрегации не один.)

3. Кто-то шибко умный поднял у себя РРРоЕ сервер и мешает (это так чисто интуитивная мысля)

4. Полтергейст.

 

МАСов на узлах не много (в пределах разумного), при том, что, количество маков ограничено двумя на один абонентский порт. Линки не загружены.

МАС-и до ядра долетают без вопросов, но на билинге нет даже намёка на все те попытки авторизации (во всяком случае пока не заметили) - только успешные.

Может кто подсказать - чего где посмотреть, поковырять с целью анализа.

 

Да сессии терминируются на БРАСе в ядре.

[pliskinsad]

Добрый день!

Имеем узел агрегации - два D-Link DGS3420-26SC соединённых последовательно по 10G линку. В них включено порядка 35-40 узлов доступа (УД) EdgeCore ES3528M.

На УД, кое где, коммутаторы включены последовательно с целью расширения кол-ва портов. ТАк вот, в один прекрасный момент, на одном из почти 2-х сотен УД, стали происходить непонятные вещи - юзеры с pppoe авторизуются только после 15-30 попыток, при том, что раньше они работали нормально.

СОбытие примерно (с точностью до недели) совпало с установкой 2-го коммутатора на УД и подключением некольких абонентов.

Есть несколько мыслей и решений по данному поводу:

1. Железо - коммутаторы были заменены оба

2. Софт - ПО было обновлено на свежее. При том что данная конфигурация используется на всей сети (и узлов агрегации не один.)

3. Кто-то шибко умный поднял у себя РРРоЕ сервер и мешает (это так чисто интуитивная мысля)

4. Полтергейст.

 

МАСов на узлах не много (в пределах разумного), при том, что, количество маков ограничено двумя на один абонентский порт. Линки не загружены.

МАС-и до ядра долетают без вопросов, но на билинге нет даже намёка на все те попытки авторизации (во всяком случае пока не заметили) - только успешные.

Может кто подсказать - чего где посмотреть, поковырять с целью анализа.

 

Да сессии терминируются на БРАСе в ядре.

 

Ну берешь линукс, включаешь в вилан проблемный, пытаешься там посмотреть активных PPPoE концентраторов. Находишь левый концентратор, вычисляешь его mac. И дальше ищешь порт, и блокируешь его.

[Saab95]

Ну берешь линукс, включаешь в вилан проблемный, пытаешься там посмотреть активных PPPoE концентраторов. Находишь левый концентратор, вычисляешь его mac. И дальше ищешь порт, и блокируешь его.

 

А на коммутаторах доступа разве нельзя включить изоляцию трафика и заблокировать все, кроме PPPoE? Тогда пусть хоть каждый абонент себе PPPoE сервер ставит, никому проблем не создаст.

[pliskinsad]

Ну берешь линукс, включаешь в вилан проблемный, пытаешься там посмотреть активных PPPoE концентраторов. Находишь левый концентратор, вычисляешь его mac. И дальше ищешь порт, и блокируешь его.

 

А на коммутаторах доступа разве нельзя включить изоляцию трафика и заблокировать все, кроме PPPoE? Тогда пусть хоть каждый абонент себе PPPoE сервер ставит, никому проблем не создаст.

А это был ответ на следущий вопрос ТС :)

[BanZaj]

Проблема, вроде, разрешилась путём изолирования одного клиента (выявленного интуитивным путём =) и методом исключения) в отдельный VLAN.

 

Про изоляцию трафика думал, ещё бы готовый рецепт подсказал кто =)?

[pawel40]

Проблема, вроде, разрешилась путём изолирования одного клиента (выявленного интуитивным путём =) и методом исключения) в отдельный VLAN.

 

Про изоляцию трафика думал, ещё бы готовый рецепт подсказал кто =)?

Роутер делинк со старой прошивкой у юзера?

[BanZaj]

Роутер делинк со старой прошивкой у юзера?

 

Не знаю, связаться не удалось, но стоит какая-то мыльница, вроде.

[Vermison]

Проблема, вроде, разрешилась путём изолирования одного клиента (выявленного интуитивным путём =) и методом исключения) в отдельный VLAN.

 

Про изоляцию трафика думал, ещё бы готовый рецепт подсказал кто =)?

У 3528 два режима изоляции: Изолировать весь межклиентский трафик, что они не могут друг с другом общаться(pvlan) и такая штука, как pppoe intermediate agent, который следит, чтобы абоненты у себя левые пппое серверы не поднимали

 

pvlan

pvlan session 1 uplink ethernet 1/25-28 downlink ethernet 1/1-24 (абоненты с 1 по 24 порт могут видеть только 25-28)

Добавлено: Вроде чип позволяет только восьмерками изолировать, то есть нельзя изолировать клиентов 1-3 порт, только 1-8, 9-16 и т.д.

 

пппое агент:

pppoe intermediate-agent

и аплинки делаем доверенными

interface ethernet 1/28

pppoe intermediate-agent port-enable

pppoe intermediate-agent trust

 

Незачто :)

Изменено 24 декабря, 2013 пользователем Vermison

[tractor_driver]

Добавлено: Вроде чип позволяет только восьмерками изолировать, то есть нельзя изолировать клиентов 1-3 порт, только 1-8, 9-16 и т.д.

 

 

да только восьмерками, один товарищ жаловолся, что соседей видит :)

[BanZaj]

 

Незачто :)

 

Спасибо!

 

pvlan включал, но все 24 порта, может по этому не заметил разницы.

 

Прописал оба варианта, посляжу.

 

кстати прописывал порциями по 8 портов но в конфиге

 

pvlan

pvlan session 1 uplink ethernet 1/25-28 downlink ethernet 1/1-24

 

или можно _всего_ 8?

Изменено 25 декабря, 2013 пользователем BanZaj

[tester-str]

У D-Link решается так:

http://www.dlink.ru/ru/faq/62/206.html

 

В других коммутаторах есть функция PPPoE IA.