Собрался тут заменить linux-роутер на коммутатор. Заменил, настроил все как надо, по портам развесил IP, которые у клиентов в настройках шлюза прописаны, гигабитный порт вывел в магистральную сеть.


Т.е. фактически коммутатор делает ipforwarding, для чего и был куплен.

Использую ACL для отбрасывания 135-139,445 tcp+udp на всех портах и еще несколько правил для блокирования трафика по 22 порту в транспортную сеть.

Клиентов на коммутаторе около 150, загрузка портов минимальная, но в log постоянно падают EXHAUSTED mode

92 2008/06/27 15:25:49 SafeGuard Engine enters EXHAUSTED mode
91 2008/06/27 15:24:13 SafeGuard Engine enters EXHAUSTED mode
90 2008/06/27 15:22:27 SafeGuard Engine enters EXHAUSTED mode
89 2008/06/27 15:20:21 SafeGuard Engine enters EXHAUSTED mode
88 2008/06/27 15:05:04 SafeGuard Engine enters EXHAUSTED mode
87 2008/06/27 14:36:11 SafeGuard Engine enters EXHAUSTED mode
86 2008/06/27 14:22:45 SafeGuard Engine enters EXHAUSTED mode
85 2008/06/27 14:22:10 SafeGuard Engine enters EXHAUSTED mode
84 2008/06/27 14:20:19 SafeGuard Engine enters EXHAUSTED mode


Версия прошивки 4.00.B55.

Думал может из-за нагрузки при передаче такое, но опять же она минимальная. Подключив два тестовых сервера на гигабитные порты я провел прокачку на скорости около 50-60 Мб/с и нагрузка осталась в норме, как только сажаю клиентов, сразу CPU нагружается и EXHAUSTED mode.

Не ACL часом так сильно нагрягает коммутатор, хотя отключал и все равно проблема остается.

У меня всего 5 портов задействовано, а в планах было почти все, вот теперь думаю что если коммутатор ложится при нагрузке, то сможет ли он заменить linux роутеры собой или нет? linux роутер на базе P3-500 великолепно справлялся и с впятеро большим числом клиентов.

Что делать? Менять прошивку или пробовать отключить все что только можно?

Включены: ACL, Vlan (4 штуки по 1-2 порта в каждом), IP interface setting и все!

Задача: заменить linux-роутер, который занимался ip-forwaring'ом с поддержкой vlan.

Поснифферите сеть, может кто-то из юзеров валит CPU коммутатора вирусным траффиком, или ещё чем нить...

Есс-но что валит кто-то, только в том-то и вопрос, а почему этим вирусным трафиком невозможно было завалить linux-роутер (даже на базе Pentium 166) в течение нескольких лет?

Коммутатору должно быть безразлично кто и чем его пытется валить, он должен просто "топить" ненужный трафик, а заниматься форвардингом нужного. Или это невозможно?

При этом очень и очень желательно, чтобы клиенты могли делать ping ip-шлюза, в качестве которого и выступает определенный порт коммутатора. Т.е. как это и делалось на linux-роутере раньше, только при помощи нескольких сетевых карт.

Может быть какие-то правила надо создать чтобы "уничтожить" влияние такого трафика на коммутатор?

Функции работы со storm включал уже и выключал.

1. Вынести управляющий интерфейс в отдельный влан исключительно для управления.
2. Выявить, что за трафф и позапрещать его ACL + CPU Interface Filtering.

1. Есс-но вынесен.

2. ACL есть и работают, но CPU Interface также подразумевает и IP шлюзов клиентов, с ними как быть, если им необходимо оставить ICMP в любом случае.

Кстати, а почему так много расходуется правил для ACL?

Чтобы полностью заблокировать порты 135-139, 445 надо израсходовать 520 правил.

Не планируется ли сделать что-то вроде port 1-52, а не для каждого порта отдельно, как сейчас это сделано при auto-assign?

Вобщем потихоньку провожу эксперименты с различными опциями, но пока неудачно. Самое плохое, что не могу смоделировать вручную ситуацию аналогичную тому, что вытворяют клиенты. У меня даже самые высокие скорости передачи и многосессионые соединения не заставляют так страдать коммутатор, а как только вывожу его в сеть, то начинается.

Сниферить магистраль, с поочерёдным включением/выключением портов клиентских вланов.

проще будет узнать простым отключением порта, или включением портов поочереди. а потом уже снифить этот порт. у меня была такая ситуация, оказалось дело в битом порту на свиче(( и главное что такое получалось только в одном сегменте сети, в любом другом все работало на ура!

To replicant:

Попробуйте пожалуйста прошивку которую я вам выслал в другом посте.

Вобщем на прошивке Build 4.05.B09 ситуация с EXHAUSTED mode полностью повторилась и нагрузка при 40-50 клиентах не спадает ниже 40%. В коммутаторе всего-то задействовано 7 портов, трафик через коммутатор не более 3-4 Мб/с в сумме по всех задействованным портам.

На его месте до этого DES-3828 работал отлично.

На DES-3852 Ping до IP коммутатора в рабочем режиме от 50 до 100 мс учитывая что я от коммутатора в 3 метрах по прямому кабелю сижу в отдельном vlan.

Такая ситуация была на прошивке 4.00.B55 до ремонта.

Да и на DES-3828 на всех 4-х версиях прошивок с коммутаторами творится такая же ерунда, поэтому на них использую исключительно 3.00.B57 и все работает. Последнюю высланную версию для DES-3828 (DES3828r4_4_50-B15.had) пока не пробовал, как будет время попробую, но остается актуальным вопрос с 3852 и мне кажется похожие проблемы на 3828 с прошивками версии 4 не случайны.

Нет ли где-нибудь старой древней прошивки версии 3.00 c чем-то там, чтобы попробовать? Уже сил нет с ним бороться.

Конфигурация более чем стандартная. Несколько портов в разных vlan. На каждом порту по IP, и один гигабитный порт в транспортную сеть. Через него весь трафик бежит в центр и из центра. Между сегментами на vlan трафик бегает по коммутатору из подсети в подсеть.

Вобщем HELP. Нужна стабильная в маршрутизации прошивка.

Иван, что с аппаратной частью в этом случае ? (пока des3852 не используем, но вдруг понадобится)

как в des3550 или как в des3052 (интересует естественно подход к решению, я прекрасно понимаю, что свитчи отличаются кардинально)

To replicant:

Попробуйте прошивку 4.50-B15. Она должна помочь в этой ситуации. А мы пока запроосим прошивку этой же версии для DES-3852.

To vxb:

Как в DES-3052.

А где мне взять 4.50-B15 для DES-3852?

Сорри, понял. Ждать.

Мы запросили прошивку в приоритетном порядке.

Я пока работаю с прошивкой 3.00.B57 - такой же как на моих DES-3828, вроде бы пока работает, но хотелось бы попробовать стабильную 4-4.5 серию и на 3852.

Попробуйте пока на DES-3828.