BanZaj Опубликовано 19 декабря, 2013 · Жалоба Добрый день! Имеем узел агрегации - два D-Link DGS3420-26SC соединённых последовательно по 10G линку. В них включено порядка 35-40 узлов доступа (УД) EdgeCore ES3528M. На УД, кое где, коммутаторы включены последовательно с целью расширения кол-ва портов. ТАк вот, в один прекрасный момент, на одном из почти 2-х сотен УД, стали происходить непонятные вещи - юзеры с pppoe авторизуются только после 15-30 попыток, при том, что раньше они работали нормально. СОбытие примерно (с точностью до недели) совпало с установкой 2-го коммутатора на УД и подключением некольких абонентов. Есть несколько мыслей и решений по данному поводу: 1. Железо - коммутаторы были заменены оба 2. Софт - ПО было обновлено на свежее. При том что данная конфигурация используется на всей сети (и узлов агрегации не один.) 3. Кто-то шибко умный поднял у себя РРРоЕ сервер и мешает (это так чисто интуитивная мысля) 4. Полтергейст. МАСов на узлах не много (в пределах разумного), при том, что, количество маков ограничено двумя на один абонентский порт. Линки не загружены. МАС-и до ядра долетают без вопросов, но на билинге нет даже намёка на все те попытки авторизации (во всяком случае пока не заметили) - только успешные. Может кто подсказать - чего где посмотреть, поковырять с целью анализа. Да сессии терминируются на БРАСе в ядре. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pliskinsad Опубликовано 19 декабря, 2013 · Жалоба Добрый день! Имеем узел агрегации - два D-Link DGS3420-26SC соединённых последовательно по 10G линку. В них включено порядка 35-40 узлов доступа (УД) EdgeCore ES3528M. На УД, кое где, коммутаторы включены последовательно с целью расширения кол-ва портов. ТАк вот, в один прекрасный момент, на одном из почти 2-х сотен УД, стали происходить непонятные вещи - юзеры с pppoe авторизуются только после 15-30 попыток, при том, что раньше они работали нормально. СОбытие примерно (с точностью до недели) совпало с установкой 2-го коммутатора на УД и подключением некольких абонентов. Есть несколько мыслей и решений по данному поводу: 1. Железо - коммутаторы были заменены оба 2. Софт - ПО было обновлено на свежее. При том что данная конфигурация используется на всей сети (и узлов агрегации не один.) 3. Кто-то шибко умный поднял у себя РРРоЕ сервер и мешает (это так чисто интуитивная мысля) 4. Полтергейст. МАСов на узлах не много (в пределах разумного), при том, что, количество маков ограничено двумя на один абонентский порт. Линки не загружены. МАС-и до ядра долетают без вопросов, но на билинге нет даже намёка на все те попытки авторизации (во всяком случае пока не заметили) - только успешные. Может кто подсказать - чего где посмотреть, поковырять с целью анализа. Да сессии терминируются на БРАСе в ядре. Ну берешь линукс, включаешь в вилан проблемный, пытаешься там посмотреть активных PPPoE концентраторов. Находишь левый концентратор, вычисляешь его mac. И дальше ищешь порт, и блокируешь его. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 декабря, 2013 · Жалоба Ну берешь линукс, включаешь в вилан проблемный, пытаешься там посмотреть активных PPPoE концентраторов. Находишь левый концентратор, вычисляешь его mac. И дальше ищешь порт, и блокируешь его. А на коммутаторах доступа разве нельзя включить изоляцию трафика и заблокировать все, кроме PPPoE? Тогда пусть хоть каждый абонент себе PPPoE сервер ставит, никому проблем не создаст. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pliskinsad Опубликовано 19 декабря, 2013 · Жалоба Ну берешь линукс, включаешь в вилан проблемный, пытаешься там посмотреть активных PPPoE концентраторов. Находишь левый концентратор, вычисляешь его mac. И дальше ищешь порт, и блокируешь его. А на коммутаторах доступа разве нельзя включить изоляцию трафика и заблокировать все, кроме PPPoE? Тогда пусть хоть каждый абонент себе PPPoE сервер ставит, никому проблем не создаст. А это был ответ на следущий вопрос ТС :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BanZaj Опубликовано 23 декабря, 2013 · Жалоба Проблема, вроде, разрешилась путём изолирования одного клиента (выявленного интуитивным путём =) и методом исключения) в отдельный VLAN. Про изоляцию трафика думал, ещё бы готовый рецепт подсказал кто =)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pawel40 Опубликовано 23 декабря, 2013 · Жалоба Проблема, вроде, разрешилась путём изолирования одного клиента (выявленного интуитивным путём =) и методом исключения) в отдельный VLAN. Про изоляцию трафика думал, ещё бы готовый рецепт подсказал кто =)? Роутер делинк со старой прошивкой у юзера? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BanZaj Опубликовано 24 декабря, 2013 · Жалоба Роутер делинк со старой прошивкой у юзера? Не знаю, связаться не удалось, но стоит какая-то мыльница, вроде. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vermison Опубликовано 24 декабря, 2013 (изменено) · Жалоба Проблема, вроде, разрешилась путём изолирования одного клиента (выявленного интуитивным путём =) и методом исключения) в отдельный VLAN. Про изоляцию трафика думал, ещё бы готовый рецепт подсказал кто =)? У 3528 два режима изоляции: Изолировать весь межклиентский трафик, что они не могут друг с другом общаться(pvlan) и такая штука, как pppoe intermediate agent, который следит, чтобы абоненты у себя левые пппое серверы не поднимали pvlan pvlan session 1 uplink ethernet 1/25-28 downlink ethernet 1/1-24 (абоненты с 1 по 24 порт могут видеть только 25-28) Добавлено: Вроде чип позволяет только восьмерками изолировать, то есть нельзя изолировать клиентов 1-3 порт, только 1-8, 9-16 и т.д. пппое агент: pppoe intermediate-agent и аплинки делаем доверенными interface ethernet 1/28 pppoe intermediate-agent port-enable pppoe intermediate-agent trust Незачто :) Изменено 24 декабря, 2013 пользователем Vermison Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tractor_driver Опубликовано 25 декабря, 2013 · Жалоба Добавлено: Вроде чип позволяет только восьмерками изолировать, то есть нельзя изолировать клиентов 1-3 порт, только 1-8, 9-16 и т.д. да только восьмерками, один товарищ жаловолся, что соседей видит :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BanZaj Опубликовано 25 декабря, 2013 (изменено) · Жалоба Незачто :) Спасибо! pvlan включал, но все 24 порта, может по этому не заметил разницы. Прописал оба варианта, посляжу. кстати прописывал порциями по 8 портов но в конфиге pvlan pvlan session 1 uplink ethernet 1/25-28 downlink ethernet 1/1-24 или можно _всего_ 8? Изменено 25 декабря, 2013 пользователем BanZaj Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tester-str Опубликовано 25 декабря, 2013 · Жалоба У D-Link решается так: http://www.dlink.ru/ru/faq/62/206.html В других коммутаторах есть функция PPPoE IA. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...