Привет всем
Примерно в 7-мь вечера пинги на свичи выростают до 1000мс

Примерно 100 свичей 3026
Как определить от чего?

Управление вынесено в отдельный VLAN в сети? Какая у Вас версия прошивки?

Управление не вынесено в отдельный влан, сеть не сегментирована, netbios не зарезан (3026 же не могут?), PPPoE - 5ть серверов доступа...

Я пытаюсь донести до руководства что в этом может быть дело, но руководство говорит что "такого не должно быть - это просто админы свичи неправильно настроили"...

Я снимаю с нескольких корневых свичей(раз в минуту) общее количество маков, так вот интересно следующее - в пиках маков не больше 3000, но вдруг на графиках случаются провалы - вплоть до 500 маков....
В пиках и начинается самое интересное - телнет сиссии подвисают, на некоторые свичи пинги поднимаются до 4000мс...Такое происходит 4-5 раз с 18-22 часов ( время когда максимально много народу сидит в сети)...
И теперь самое интересное - очень сильного увеличения количества траффика в моменты когда пинги поднимаются нет, например на свич приходит 20-30 Мбит и на него потери и большие пинги....
Так же интересно что пинги возростают на все свичи в сети, просто на некоторые это 100-300мс а на некоторые 1000-5000мс.

Как определили что это имеет место?
В сети стоят еще свичи кроме длинков: 5шт Extreme summit200-48, так вот они перегружались по watchdog-у, при этом писали в лог о том что загрузка CPU 89-98, а иногда и все 100%

B самое интересное LoopBackdetection стоит на корневых свичах + на длинках...и ничего не отключается когда загрузка возростает...

График с одного такого свича - красное температура, зелёное CPU




Конфиг:
http://pastebin.ca/1563903
Я уже писал что хотел бы снимать загрузку проца на 3026 по snmp...

PS:
Забыл добавить что у екстримов включали cpu-protect, но они все равно загружались под завязку....

Всё что Вы описываете говорит о том что у Вас флуд попадает на интерфейс процессора устройства. Как минимум нужно вынести управление в отдельный VLAN и большинство Ваших проблем уйдёт. А потом останется потихоньку сегментировать сеть. Это Вы можете всё передать руководству со ссылкой на меня. Как снять загрузку процессора на DES-3026 по SNMP я Вам выслал.

Спасибо за oid'ы на 3026....Посмотрим как картина загрузки проца меняется до вечера...

Вопрос в следующем - что это за флуд, ведь свичи не все время с потерями пингов и плохой отзывчивастью, а именно какое-то количество раз за вечер?

Такое впечатление что кто-то нарошно на свичи какой-то траффик гонит или через них...

Просто что бы перестроить сеть - надо понять в чем её узкое место и от чего такое происходит?...
Я уже говорил что у нас PPPoE, а не PPtP - это тоже ведь надо учитывать когда сеть перестраивать...

Вопрос - можно как-нить определить что нагружает процессор свича?
snmp?telnet?web?... Что бы определить какой паразитный траффик в сети?
Например на extreme 24-портовом при вплюченном igmp 170 групп...

1) Как и советует Иван - выносите управляющие интерфейсы в отдельный VLAN
2) Дробите сеть на сегменты

У вас очень большой брудкастовый домен, и часть мусора так или иначе попадает на интерфесы коммутаторов из-за чего ваши проблемы и появляются.

Если вынести управляющий интерфейс в отдельный влан - мусор на коммутаторы попадать не будет.
Если раздробить сеть на сегменты - мусора тупо будет меньше.

Это понятно...но...

На корневых свичах(оптические гигабитные 12-24 порта) стоит arp timeout 300сек, данные о количестве мак адрессов снимаются каждую минуту, так вот количество маков одно и тоже, не считая аномалий когда случаюся провалы на графиках... Аномалии случаются реже чем моменты загрузки...и не на всех корневых...
Но в моменты большой загружки - на всех свичах поднимается пинг, CPU резко поднимается...

Насколько Я понимаю это значит что "флуд" или "нелегальный траффик" на всех свичах, но как это возможно если количество маков не пересекает допустимые 8к?
В среднем это 3000-4000 маков на каждом корневом свиче... и 4000-4400 уникальных маков за день на всех свичах....(правда таблицу маков снимаем раз в 15 минут - значит можем тупо не заметить переполнение таблицы маков на свичах доступа , но Я думаю это должно компенсироваться снятием таблицы маков с корневых?)...

Так вот что это за интересный траффик, который "вдруг" появляется на всех свичах? Я понимаю если бы таблица переполнялась и свич работал бы как хаб...
Значит это либо бродкаст либо мультикаст?

Кольцо внутри сегментов? - исключается loop-back detection'ом на корневых...

ЗЫ:
Интересно что когда Я ключил на одном из Zyxel GS-4012F, к которому подключены конечные дома igmp snooping на него пинги поднялись до небес и были потери...(пишу, может кого-то наведёт на мысль?)

4k MAC-адресов в одном влане - это сильно

Ну вот представьте что половина этих маков брудкастит (а она брудкастит) и весь брудкаст попадает на все интерфейсы всех свичей.
И брудкаст может быть не только 806-й (ARP), есть ещё куча интересных брудкастов.

В этоге ваша сеть благополучно укладывается, это логично при такой топологии.

Можно конечно сделать небольшую диагностику: хотя-бы на половине свичей поднять сегментацию трафика, если это поможет - значит делаем так, как я описал выше: выносим ipif в отдельный влан и дробим сеть.

Ну а так, что могу сказать, грустно у вас ....

У Меня еще один вопрос...
А что будет с сотней 3026 если они продолжительное время загруженны на 80-100% и с них еще пытаться снимать по snmp fdb-table?
Могут ли они сами становится причиной шторма в сети?
ЗЫ:
Отрицательный ответ... не будет означать что Мы быстренько выкинем длинки
Просто Я не осведомлен с тем, что бывает с свичем при перегрузке проца?

ну они будут тупить некоторое время, затем восстановят свою работоспособность.

Он будет долго и упорно поочерёдно выполнять все задачи, которые должен, т.е. тупить, затем отдупляться. SaveGuard Engine включите на всякий случай, не помешает.

Тоесть свич даже при 100% загрузке не будет превращатся в флудилку, трафико генератор и т.д.?
...а потери пакетов не к свичу а на клиентов будут?Тоесть могут порваться PPPoE сессии или другие, что приведет к возростанию трафика(повторный пакет например) или к его потерям?

Ну а как сами-то думаете?
У нас при 100% нагрузке свичи тупо не пропускают траф по всем портам, потом начинают пропускать, и PPP сессии рвутся в том числе.

спасибо за подтверждение оих догадок...

Не могу понять только в чём проблема начать с простого вынесения управляющего VLAN-а в отдельный? Это никак не повлияет на работоспособность протоколов в сети.

Начали, только это длительный процесс - вручную
ЗЫ:
Непойму как сегментировать сеть что бы PPPoE сервера которые в центре не соприкосались с ненужным трафом.... (тянуть Влан от сегментиков в центр - как-то неправильно? И на Л3 не поделишь - PPPoE не будет работать )