faq обучение настройка
Текущее время: Чт мар 28, 2024 11:20

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
Автор Сообщение
СообщениеДобавлено: Пн янв 24, 2022 12:44 
Не в сети

Зарегистрирован: Пн сен 02, 2013 17:13
Сообщений: 3
Схема предоставления услуги:
Роутер клиента(D-link) – DGS-1100/me – DGS-3120-24SC
История началась 3 января 2022г. Ни с того, ни с сего легло управление на коммутаторе DGS-1100-10/me. В праздники дела, до этого никому нет. Клиенты не жалуются и ладненько. В первые рабочие дни нового года, пошли массовые звонки в службу ТП. Звонили абоненты этого сегмента, подключенные к коммутаторам DES-3552, жаловались на падение скорости. Коммутаторы отвечали со значительным превышением отклика, но отвечали, safe guard не отрабатывал. При отключении части портов (любых, порядка 10 шт.), коммутаторы оживали. Уже были планы по замене этих коммутаторов, решили, что время настало. Коммутаторы поменяли, у клиентов все нормализовалось.

Где-то к 13 января, линейная бригада таки поехала, сняла старый DGS-1100-10/me, поставила новый. В тех. отделе, мониторинг начал истошно орать о том, что недоступны агрегаторы (DGS-3120) этого сегмента, лаги по пингу и загрузка CPU 90%. Тем временем, линейная бригада, добралась до рабочего места и выполнила конфигурацию коммутатора. Конфигурация выполняется скриптом по нажатию кнопки в CRM. После чего, коммутатор DGS-1100-10/me перестал отвечать, а агрегаторам стало несколько полегче, они стали отвечать на пинг запросы системы мониторинга а загрузка CPU снизилась (до уровня 70 до 80%). По мониторингу определили, что в норме загрузка CPU на коммутаторах DGS-3120 составляет 40%, и выроста она как раз 3 января. Cтало понятно, что мусор летит с коммутатора DGS-1100-10/me, и коммутаторы DES-3552, можно было не менять.

Средств посмотреть, что загрузило процессор на коммутаторах D-link нет. В логах пусто. Статистика по интерфейсу показала, наличие потока multicast трафика. Трафик составлял, 150 пакетов в секунду (по счетчику коммутатора). Мы не используем multicast трафик в сети, поэтому было принято решение, вырезать его фильтрами. Но как выяснилось, сделать это невозможно. Пробовали использовать traffic control, все снупинги мультикаста, acl, ничего не получилось, трафик не режется. Поехали, искать порт клиента.
Нашли клиента, заснифили трафик. Клиентом оказался, человек с которым общение невозможно (считайте, что он заместитель прокурора, у него все как-то работает, и дела до наших проблем ему нет). Посмотрели трафик, им оказался поток порядка 3,5 килопакетов состоящий из DHCP запросов ipv6 адреса. Пакет, генерировал роутер D-link принадлежащий клиенту. Все попытки вырезать трафик средствами DGS-1100-10/me, так же не привели к хоть какому-нибудь результату.

Создалось впечатление, что этот трафик заруливается на CPU до, того как срабатывают acl и остальные средства фильтрации. По сети у нас, порядка 150 DGS-1100-10/me коммутаторов. На всех мы используем прошивку V1.01.B102. Нашли на форуме прошивку V1.01.B108 и зашили. И это частично помогло. Сам конечный коммутатор DGS-1100-10/me, работает. На коммутаторах сегмента нагрузка на CPU снизилась до 60-70%. На коммутаторе DGS-3120, в статистике интерфейса поток multicast трафика снизился с 150 до 50 (frame/sec). Не очень понятно, как он считает, если снифер за минуту захватил порядка 3,5к пакетов.

Проблема может стать значительной, если таких устройств в сегменте будет несколько. Будет сложно определить источник проблемы и изолировать его. Может кто-то сталкивался с подобной проблемой? Возможно у кого-то есть информация о том, как обрабатываются пакеты DHCP ipv6 коммутатором?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт янв 25, 2022 05:23 
Не в сети

Зарегистрирован: Вт сен 04, 2007 01:32
Сообщений: 291
Откуда: Курск
antdre писал(а):
Создалось впечатление, что этот трафик заруливается на CPU до, того как срабатывают acl и остальные средства фильтрации. По сети у нас, порядка 150 DGS-1100-10/me коммутаторов. На всех мы используем прошивку V1.01.B102. Нашли на форуме прошивку V1.01.B108 и зашили. И это частично помогло. Сам конечный коммутатор DGS-1100-10/me, работает. На коммутаторах сегмента нагрузка на CPU снизилась до 60-70%. На коммутаторе DGS-3120, в статистике интерфейса поток multicast трафика снизился с 150 до 50 (frame/sec). Не очень понятно, как он считает, если снифер за минуту захватил порядка 3,5к пакетов.

Проблема может стать значительной, если таких устройств в сегменте будет несколько. Будет сложно определить источник проблемы и изолировать его. Может кто-то сталкивался с подобной проблемой? Возможно у кого-то есть информация о том, как обрабатываются пакеты DHCP ipv6 коммутатором?

вы правильно поняли насчет заруливания на CPU
create cpu_access_profile с блокировкой ipv6 на всех свитчах d-link.
ну и обычными не-cpu ацльками порежьте ipv6 на всех абонентских портах, чтобы не разлетались по сети.

_________________
/nixx


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт янв 25, 2022 11:54 
Не в сети

Зарегистрирован: Пн сен 02, 2013 17:13
Сообщений: 3
На DGS-1100-10/me
create access_profile ethernet ethernet_type profile_id 5
config access_profile profile_id 5 add access_id 1 ethernet ethernet_type 0x86dd port 1-10 deny

create cpu_access_profile ethernet ethernet_type profile_id 3
config cpu_access_profile profile_id 3 add access_id 1 ethernet ethernet_type 0x86dd port 1-10 deny

На DGS-3120-24/SC
create access_profile profile_id 5 profile_name IPv6 ethernet ethernet_type
config access_profile profile_id 5 add access_id 1 ethernet ethernet_type 0x86DD port 1:1-1:24 deny

create cpu access_profile profile_id 1 ethernet ethernet_type
config cpu access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x86DD port 1:1-1:24 deny

График загрузки CPU:
Изображение

Возможно есть еще, какой-то паразитный трафик. Полностью вырезать не удается.

График загрузки CPU аналогичного коммутатора из другого сегмента (размер сегментов приблизительно одинаковый):
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт янв 25, 2022 22:43 
Не в сети

Зарегистрирован: Вт сен 04, 2007 01:32
Сообщений: 291
Откуда: Курск
таки вы снифером смотрели, убеждались, что ipv6 пропадает дальше по сети после создания ацлек на порту кривого абонента?
или как у меня в соседней теме на des-3200 - ацлька есть, а трафику пофиг, бегает?

_________________
/nixx


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср янв 26, 2022 17:15 
Не в сети

Зарегистрирован: Пн сен 02, 2013 17:13
Сообщений: 3
К сожалению нет, на узел я так и не доехал. Если, получится поснифить я отпишусь.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт фев 10, 2022 00:06 
Не в сети

Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 146
Откуда: UA
nixx писал(а):
таки вы снифером смотрели, убеждались, что ipv6 пропадает дальше по сети после создания ацлек на порту кривого абонента?
или как у меня в соседней теме на des-3200 - ацлька есть, а трафику пофиг, бегает?


обычные ACL не зарежит тот трафик которые обрабатывается процессором это как раз ipv6 multicast (ну и броадкаст и другой) для этого нужно использовать CPU ACL

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт фев 10, 2022 11:00 
Не в сети

Зарегистрирован: Вс янв 06, 2008 14:22
Сообщений: 84
Код:
create access_profile ethernet ethernet_type  profile_id 1
config access_profile profile_id 1 add access_id 3 ethernet ethernet_type 0x86dd port 1-10 deny 

create cpu_access_profile ethernet ethernet_type  profile_id 1
config cpu_access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x86dd port 1-10 deny



вот так у меня


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot], koval и гости: 46


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB