есть клиент, получает какой-то вирь и по UDP начинает слать пакеты по разным адресам. Свич работает как маршрутизатор и это его валит насмерть. Пинги 3..5 сек. Практически перестает ходить через него трафик. Те порты, которые свичуются - работают нормально. Вопрос, как нормализовать ситуацию ? Заблокировать трафикогенерирующий адрес - не получается, ибо на свич просто не зайти. Что делать ?

Винда себя также ведет с этим вирем.
А на свиче можно попробовать настроить access_profile - функция, очень похожая на файрволл
Т.к. вири обычно пользуют порты UDP с большими номерами, то их и запретить (напр. >4000). Правда, придется повозиться, что бы не подрезать некоторые полезные приложения, которые тоже пользуют большие номера портов. Например, создать несколько профилей на разные диапазоны.
Да,еще полезно закрыть прохождение в инет портов 137-139,445 и порты RPC

_________________
С уважением,
Крутских С.В. , консультант по проектам
D-Link Russia, Н.Новгород

..конкретно то приложение о котором я говорю использует 1017, 1018 порты. А, если к вопросу подходить широко, то свич валит любой большой трафик. Много маленьких пакетов - и опа.

1. Значит, можно закрыть все порты , большие , напр. 1600
вот только аська , напр. пользует 5190
2. Много маленьких пакетов - не валит, тестировали серьезные лаборатории. А вот открытие кучи сессий по случайным адресам - может переполнить таблицу ТСП-сессий. Что, видимо и происходит

3. А еще антивирус хорошо помогает
И снести аутглюк - главный источник заразы (после криворуких юзеров). От этой "сладкой парочки" не спасет даже очень крутой файрволл с антивирусом на входе сети - все равно вирус притащат на дисках

_________________
С уважением,
Крутских С.В. , консультант по проектам
D-Link Russia, Н.Новгород

Насчет серъезных лабораторий - у меня свое мнение Ребята из Длинка в курсе. А насчет аутглюка - да, согласен, НО ! Есть пара свичей, ( 3326с ) которые работают в офисной сети, никаких проблем. Ессно в офисной сетке нет вирей, пользователи построены и пересчитаны.. и тд. А три свича висят в городской сети.. вот там пользователей не построить. И вот там постоянно вылезают проблемы. То свич подвисает, и на него не зайти, то зайти можно, а трафик через него не бегает. И вот тут я и думаю что делать. По идее, между пользователями и 3326, должен будет встать еще 3226. Он должен будет " причесывать " трафик.. но это когда еще будет ? а работыть нужно щас. К слову Циска 3550, которая стоит так-же на маршрутизации - молотит на ура. За пол-года - ни единого глюка/подвисания. Но моя задача не циски везде расставить ( нереал ) а заставить Длинк работать так, как нужно. Если нет - я опускаю руки

Ярослав, только ручками с консольки, отрубив всех, включаем блокировку портов или адресов. Ну не надо от свича третьего уровня требовать той же производительности что у полновесного рутера! Ваши экстримальные условия работы наших железок (даже не работы, а выживания) нам известны. Спасибо за помощь, но...

_________________
Влад Волков

Влаааад, ничего не знаю, никакой консольки, помогай давай
И какие тут экстремальные условия ? 5..8 линков по 100М, реально до 6М с каждого линка.. А насчет производительности.. я _производительнось_ ожидаю большую, нежели может дать маршрутизатор. _возможностей_ - да, меньше. На " тяжелом" трафике они ( куча возможностей ) и не очень нужны.

Позвони, обсудим.

_________________
Влад Волков

может тут ?
если мысли/идеи есть - говори, все проверю, попробую.

вот таких пингов на 24 экрана ( смотрю на юнихе за свичем ) и свич лежит.

From Address To Address Prot Bytes CPS
10.8.21.1..echoreqst 10.28.84.35 icmp 60 12
10.8.21.1..echoreqst 10.28.84.36 icmp 60 12
10.8.21.1..echoreqst 10.28.84.37 icmp 60 12
10.8.21.1..echoreqst 10.28.84.38 icmp 60 12
10.8.21.1..echoreqst 10.28.84.39 icmp 60 12
10.8.21.1..echoreqst 10.28.84.40 icmp 60 12
10.8.21.1..echoreqst 10.28.84.41 icmp 60 12
10.8.21.1..echoreqst 10.28.84.42 icmp 60 12
10.8.21.1..echoreqst 10.28.84.43 icmp 60 12
10.8.21.1..echoreqst 10.28.84.44 icmp 60 12
10.8.21.1..echoreqst 10.28.84.45 icmp 60 12

М-да....
[quote]Винда себя также ведет с этим вирем.
А на свиче можно попробовать настроить access_profile - функция, очень похожая на файрволл
Т.к. вири обычно пользуют порты UDP с большими номерами, то их и запретить (напр. >4000). Правда, придется повозиться, что бы не подрезать некоторые полезные приложения, которые тоже пользуют большие номера портов. Например, создать несколько профилей на разные диапазоны.
Да,еще полезно закрыть прохождение в инет портов 137-139,445 и порты RPC[/quote]
А зачем Вы, уважаемый - сравниваете - des-3226 c какой-то видной. Другие советы - про фаервол, антивирус - просто ничтожны.
Коммутатор - не должен виснуть! (хороший естественно). Не из-за трафика, не из-за питания , не из-за количества открытых TCP сессий и проч...
Читая форум - я все больше склоняюсь к мнению что все коммутаторы Dlink (3226 в часности)- плохие Жаль...хотел было покупать.

Насчет "плохие" - о вкусах не спорят !
Но что, если посмотреть на форумы других брендов ? или почитать списки багов, устраненных в новых прошивках (хотя бы той же Киски)?
Они так же виснут, сбрасываются, глючат и т.д.
А Киски как, хорошие ? По крайней мере, дорогие
И то , что хороший коммутатор не должен виснуть, напр. из-за питания - это вот именно "М-м-да.." . Также и сгорать при ударе молнии в кабель, кинутый между зданиями по воздуху.

Вообще то, в идеале, конечно не должен. Можно напихать внутрь много разных защит - и опторазвязку на портах, и разрядники, и кучу всяких фичек в фирмваре. Но цена при этом будет явно дороже. И прилично ! А людям, у которых в сети все в порядке и эти доп. навороты не нужны, зачем за них платить? Они хотят просто коммутатор, который выполняет только свои прямые функции, т.е коммутирует. А все остальное у них уже есть - стоит сеть выделенного электропитания, грозозащита, оптика между зданиями - т.е сеть построена грамотно.
И про критические замечания в форумах на этом сайте - все очень просто ! Много ли народу пишет сюда, что у них все работает прекрасно и купленным оборудованием полностью доволен ? вот то то и оно. Редко-редко такое бывает. Зато если что-то не работает (из-за кривых рук чаще всего) - сразу сюда с громкими заявлениями " ваша продукция такое г..". Когда же ему подскажут, где он ошибался - опять же редко-редко кто напишет, что был неправ и сам не разобрался или доку не почитал, чаще просто тишина.

Вот такие вот мои наблюдения.

ну на такой ответ нужно что-то написать. итак.
стоит свич 3326с с ИОС 401Б33. занято два порта. Один порт поключен к виндовой машине, второй порт воткнут в маршрутизатор 2691 и далее в инет. На 2691 поднят НАТ. Доступа с ИНЕТА на 3326с нет
картина 1. 3326 работает в качестве коммутутора.
на виндовой машине стоит адрес 1.1.1.1, на 2691 адрес 1.1.1.2. Любое количество правил на свиче не мешают его нормальной работе в инет и с 2691. Подключаем к свичу еще одну виндовую машину с адресом 1.1.1.3 качаем с первой машины на вторую - затыков нет, скорость около 10М/сек ( на машинках сетевушки ИНТЕЛ ). Отключаем вторую машину.
картина 2. 3326 работает в качестве маршрутизатора
на виндовой машине стоит адрес 1.1.1.1, на свиче два влана 802.1ку на одном соответственно адрес 1.1.1.2, на втором 2.2.2.1 на 2691 адрес 2.2.2.2. пинги, работа с инет - без проблем, ставим еще одну виндовую машину в первый влан, с адресом 1.1.1.3, машина заражена ( пользовательская машина отданная нам на лечение ) сидит там ловсан, сыпет по 135 порту и что-то еще по 445 порту. На 3326 акцес листов нет... Все, приехали. пинги с первой машины до свича - до 1 сек, управлять свичем достаточно тяжело. Копирование с машины на машину.. оставляет тягосТное впечатление. Вроде и копирует, иногда даже под 5М/сек, но скорость плавает. На 2691 ессно видно и 135 порт и 445. Пишем на свич акцесс-лист, блокируем 135 и 445 порты. все ок, работаем почти нормально, иногда какие-то затыки возникают ( потери пакетов ), но не страшно, копируется нормально, длительных перерыров нет. Рисуем еще пяток правил, размещаем их ДО проверки на вирь. Ладно, это была глупая шутка, свичем управлять невозможно, работать невозможно, пинги с машины на машину отсутствуют, на 2691 трафика никакого не видно подолгу. Иногда что-то прорывается. Снимаем правила ( работа нормализуется ) пишем их после проверки на вирь ( правила совершенно левые ).. наблюдаем ухудшение работы свича - увеличение времени отклика пинга между машинами. Начинает прыгать скорость при копировании файлов. Ставим в еще один влан юних, адрес 3.3.3.3 шлюз на свиче 3.3.3.4, и долбим с него пингфлудом по 1к на 2691. опять была глупая шутка. 3326 лежит. не пингуется, не копируется. Ставим первым правилом пропуск пакетов на свич. работа со свичем становится несколько лучше. ( пинги уменьшаются всего до пары секунд ) блокируем ИЦМП. пинги ессно прекращаются, копирование немного начинает иттить. иногда даже разгоняется до пары мегов в сек. Свичем становится возможно управлять. Вообще свичем я управлял с компа номер1, а в период тяжких затыков, или выдергивал остальные машины, или цеплялся к консоли с бука. Удивляет что и на консоли чувствуются тормоза. В общем потом вместо длинка поставил циску 3550, без всяких акцесс листов, в режима маршрутизации, с теми-же адресами - свичу - побоку, зато стала лагать 2691 Не смертельно, но иногда пинги прыгали до пары секунд. Отсюда и проблемы с 3326, в локальной сети ( офисной ) все просто, можно пользователей построить, пересчитать.. и тд. Но и то, завались свич - как два байта переслать не дело имхо. слабый проц, сыроватый иос ? сам свич да по такой цене - нормально. но вот хочется решения двух вопрос. 1 - разобраться с этими затыками. ( они ведь, падлы, только в режиме маршрутизации ) 2 - иметь возможность мониторить проходящий трафик

Проблема с ACL есть = http://www.dlink.ru/newphorum/viewtopic.php?t=2543
Разработчики в курсе, разбираются.
Будет багфикс

ага, только тут сказано пакеты НА свич. а тормозит и то, что проходит ЧЕРЕЗ свич.