Здравствуйте, уважаемые товарищи!

В конторе имеется два десятка управляемых коммутаторов длинк (3226,3526,2108).
Коммутаторы соединены друг с другом тегированными портами.
Управляющие интерфейсы коммутаторов включены в вилан default.
В центре - гигабитный коммутатор DGS-3024, к порту 1 подключен роутер.
Интерфейс роутера тоже в режиме виланов.
С роутера осуществляется управление и мониторинг всех коммутаторов.

На DGS-3024 установлена прошивка:
Device Type : DGS-3024 Gigabit-Ethernet Switch
MAC Address : 00-17-9A-06-2A-A1
IP Address : 10.1.1.57 (Manual)
VLAN Name : default
Subnet Mask : 255.255.255.0
Default Gateway : 10.1.1.1
Boot PROM Version : Build 1.00.B03
Firmware Version : Build 4.00-B04
Hardware Version : 0A1
System Name : gig1
System Location : house
System Contact : 109-xxxx
Spanning Tree : Disabled
GVRP : Disabled
IGMP Snooping : Enabled
TELNET : Enabled (TCP 23)
WEB : Disabled
RMON : Disabled



Примерно через несколько дней (иногда неделя-две) после перезагрузки,
DGS-3024 перестает форвардить пакеты в вилане default. При этом
с роутера пингуется управляющий интерфейс самого DGS-3024, но
уже не пингуются управляющие интерфейсы всех управляемых коммутаторов,
подключенных к DGS-3024. Пробовал пинговать их как с роутера, так
и с самого DGS-3024, зайдя на него по телнет и выполняя команду ping.
Айпи адреса всех управляемых коммутаторов лежат в одной логической
айпи подсети, так что пинг с одного коммутатора на другой происходит
напрямую, без участия роутера.

Лечиться перезагрузкой DGS-3024.

Когда происходит глюк, то в логе свича (sh log, и в syslog) не появляются
никаких подозрительных сообщений.
snmp-трапы свич не шлет, не нашел в логе вообще никаких трапов, что странно.
Может кто глянет мой конфиг, правильно ли я включил трапы, а то от других
свичей периодически приходят трапы, а от этого нет. Авторизация на трап сервере
отключена, он должен принимать любые трапы от любых устройств.


Иногда глюк принимает немного другой вид - перестает пинговаться
управляющий интерфейс и самого DGS-3024. При это я заметил, что если
зайти на него через ком-порт и дать дать команды:
config ipif System state disable
config ipif System state enable
то часто управляющий интерфейс можно реанимировать, и его опять можно пинговать с роутера.

Несколько раз глюк был такой, что на свич не удавалось зайти и через ком-порт,
так что по питанию перегружали его.

Что странно, при этом свич форвардит пакеты в других виланах, и пользователи
не жалуются. Проблема только у меня, сложно мониторить сетку.
В вилане default трафик мизерный, там лишь система мониторинга пингует свичи
и собирает с них маки по snmp.

Есть более новая прошивка
ftp://ftp.dlink.ru/pub/Switch/DGS-3024/ ... .01B01.had
В описании к ней D-Link+DGS-3024_A4_Release+Note_v4.01B01.txt
написано, что лечит она всего один баг
Problems Resolved:
1. Fix the problem that when RSTP topology changed, the STP convergence never back to normal.

У нас не используется stp, отключен на свичах. Поэтому я не стал обновляться на эту прошивку.

Глюк начал проявлять себя не сразу, а как-то постепенно. Может год назад
началось, точно не помню. Потом все чаще стало. Возможно
это из-за постепенного увеличения нагрузки на свич,
а может кондеры опухли в БП (в серверной было жарко этим летом),
а может у меня драйвер /dev/hands плохо работает.


Может кто подскажет чего ?


Если нужно, то могу предоставить удаленный доступ по телнет сотруднику поддержки длинк.


Прилагаю конфиг свича

#-------------------------------------------------------------------
# DGS-3024 Configuration
# Firmware: Build 4.00-B04
# Copyright(C) 2003-2004 D-Link Corporation. All rights reserved.
#-------------------------------------------------------------------
# BASIC
config serial_port baud_rate 9600 auto_logout 15_minutes
enable telnet 23
disable web
# STORM
config traffic control storm_type broadcast_multicast_dlf threshold 15000
config traffic control ports 1 state disable
config traffic control ports 2 state disable
config traffic control ports 3 state disable
config traffic control ports 4 state disable
config traffic control ports 5 state disable
config traffic control ports 6 state disable
config traffic control ports 7 state disable
config traffic control ports 8 state disable
config traffic control ports 9 state disable
config traffic control ports 10 state disable
config traffic control ports 11 state disable
config traffic control ports 12 state disable
config traffic control ports 13 state disable
config traffic control ports 14 state disable
config traffic control ports 15 state disable
config traffic control ports 16 state disable
config traffic control ports 17 state disable
config traffic control ports 18 state disable
config traffic control ports 19 state disable
config traffic control ports 20 state disable
config traffic control ports 21 state disable
config traffic control ports 22 state disable
config traffic control ports 23 state disable
config traffic control ports 24 state disable
# SSH
config ssh algorithm 3DES enable
config ssh algorithm AES128 enable
config ssh algorithm AES192 enable
config ssh algorithm AES256 enable
config ssh algorithm arcfour enable
config ssh algorithm blowfish enable
config ssh algorithm cast128 enable
config ssh algorithm twofish128 enable
config ssh algorithm twofish192 enable
config ssh algorithm twofish256 enable
config ssh algorithm MD5 enable
config ssh algorithm SHA1 enable
config ssh algorithm RSA enable
config ssh algorithm DSA enable
config ssh authmode hostbased enable
config ssh authmode password enable
config ssh authmode publickey enable
config ssh user admin authmode Password
config ssh server maxsession 8 contimeout 600 authfail 2 rekey never port 222
disable ssh
# SYSLOG
enable syslog
create syslog host 1 ipaddress 10.1.1.1 severity all facility local0 udp_port 514 state enable
# QOS
config scheduling_mechanism round_robin
config scheduling_mechanism round_robin
config scheduling_mechanism round_robin
config scheduling_mechanism round_robin
config scheduling_mechanism round_robin
config scheduling_mechanism round_robin
config scheduling_mechanism round_robin
config scheduling_mechanism round_robin
config 802.1p user_priority 0 1
config 802.1p user_priority 1 0
config 802.1p user_priority 2 0
config 802.1p user_priority 3 1
config 802.1p user_priority 4 2
config 802.1p user_priority 5 2
config 802.1p user_priority 6 3
config 802.1p user_priority 7 3
config scheduling 3 max_packet 3
config scheduling 2 max_packet 2
config scheduling 1 max_packet 1
config scheduling 0 max_packet 0
config 802.1p default_priority 1-24 0
config bandwidth_control 1-24 rx_rate no_limit
# MIRROR
disable mirror
config mirror source port 1
config mirror ingress_target disable
config mirror egress_target disable
# SSL
enable ssl ciphersuite RSA_with_RC4_128_MD5
enable ssl ciphersuite RSA_with_3DES_EDE_CBC_SHA
enable ssl ciphersuite DHE_DSS_with_3DES_EDE_CBC_SHA
enable ssl ciphersuite RSA_EXPORT_with_RC4_40_MD5
disable ssl
# PORT
config ports 1-24 speed auto flow_control disable learning enable state enable
# 8021X
disable 802.1x
config 802.1x capability ports 1-24 none
config 802.1x auth_parameter ports 1-24 direction both port_control auto quiet_period 60 tx_period 30 supp_timeout 30 server_timeout 30 max_req 2 reauth_period 3600 enable_reauth disable
# SNMPv3
delete snmp community public
delete snmp community private
delete snmp user initial
delete snmp group initial
delete snmp view restricted all
delete snmp view CommunityView all
config snmp engineID 800000ab0300179a062aa1
create snmp view ViewAll 1 view_type included
create snmp view restricted 1.3.6.1.2.1.1 view_type included
create snmp view restricted 1.3.6.1.2.1.11 view_type included
create snmp view restricted 1.3.6.1.6.3.10.2.1 view_type included
create snmp view restricted 1.3.6.1.6.3.11.2.1 view_type included
create snmp view restricted 1.3.6.1.6.3.15.1.1 view_type included
create snmp view CommunityView 1 view_type included
create snmp view CommunityView 1.3.6.1.6.3 view_type excluded
create snmp view CommunityView 1.3.6.1.6.3.1 view_type included
create snmp group initial v3 noauth_nopriv read_view restricted notify_view restricted
create snmp group AdmGroup v3 auth_nopriv read_view ViewAll write_view ViewAll notify_view ViewAll
create snmp user encrypted by_key auth md5 37bf730dcc4144f911ee7fe62a30fccb priv none
create snmp host 10.1.1.1 v1
# MANAGEMENT
enable snmp traps
enable snmp authenticate trap
config snmp system_name gig1
config snmp system_location house
config snmp system_contact 322-223
disable rmon
# VLAN
config vlan default delete 1-24
config vlan default add tagged 1,11,19,22-24
config vlan default add untagged 8,18,21
config vlan default advertisement disable
create vlan pir-m9 tag 70
config vlan pir-m9 add tagged 3,5,10
config vlan pir-m9 advertisement disable
create vlan ul tag 71
config vlan ul add tagged 3
config vlan ul add untagged 17
config vlan ul advertisement disable
create vlan local1 tag 100
config vlan local1 add tagged 1,11,19,22-24
config vlan local1 add untagged 12-16,20
config vlan local1 advertisement disable
create vlan sr12 tag 161
config vlan sr12 add tagged 1,11
config vlan sr12 advertisement disable
create vlan sr4 tag 162
config vlan sr4 add tagged 1,11
config vlan sr4 advertisement disable
create vlan brt tag 164
config vlan brt add tagged 1,23
config vlan brt advertisement disable
create vlan KAM tag 165
config vlan KAM add tagged 1,24
config vlan KAM advertisement disable
create vlan dl tag 170
config vlan dl add tagged 1,11
config vlan dl advertisement disable
create vlan ol1 tag 190
config vlan ol1 add tagged 1-3
config vlan ol1 add untagged 9
config vlan ol1 advertisement disable
create vlan inet tag 217
config vlan inet add tagged 2,4,6
config vlan inet add untagged 7
config vlan inet advertisement disable
create vlan iptv tag 300
config vlan iptv add tagged 3-5,10
config vlan iptv advertisement disable
disable gvrp
config gvrp 1,11-16,19-20,22-24 state disable ingress_checking enable acceptable_frame admit_all pvid 100
config gvrp 2,4,6-7 state disable ingress_checking enable acceptable_frame admit_all pvid 217
config gvrp 3,5 state disable ingress_checking enable acceptable_frame admit_all pvid 70
config gvrp 8,10,18,21 state disable ingress_checking enable acceptable_frame admit_all pvid 1
config gvrp 9 state disable ingress_checking enable acceptable_frame admit_all pvid 190
config gvrp 17 state disable ingress_checking enable acceptable_frame admit_all pvid 71
# FDB
create fdb default 00-01-01-01-01-01 port 1
create fdb local1 00-15-17-02-44-44 port 20
create fdb local1 00-01-01-01-01-01 port 1
config fdb aging_time minutes 5
config multicast port_filtering_mode forward_unregistered_groups
# MAC_ADDRESS_TABLE_NOTIFICATION
config mac_notification interval 1 historysize 1
disable mac_notification
config mac_notification ports 1-24 disable
# STP
config stp version rstp
config stp maxage 20 maxhops 20 forwarddelay 15 txholdcount 3 fbpdu enable hellotime 2 lbd enable lbd_recover_timer 60
config stp priority 32768 instance_id 0
config stp mst_config_id name 00:17:9A:06:2A:A1 revision_level 0
disable stp
config stp ports 1-24 externalCost auto edge false p2p auto state enable lbd disable
config stp mst_ports 1-24 instance_id 0 internalCost auto priority 128
config stp ports 1-24 fbpdu enable
# BANNER_PROMP
config command_prompt default
config greeting_message default
# SNOOP
enable igmp_snooping
config igmp_snooping default host_timeout 260 router_timeout 260 leave_timer 2 state disable
config igmp_snooping querier default query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier default last_member_query_interval 1 state disable
config igmp_snooping pir-m9 host_timeout 260 router_timeout 260 leave_timer 2 state disable
config igmp_snooping querier pir-m9 query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier pir-m9 last_member_query_interval 1 state disable
config igmp_snooping u-l host_timeout 260 router_timeout 260 leave_timer 2 state disable
config igmp_snooping querier u-l query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier u-l last_member_query_interval 1 state disable
config igmp_snooping local1 host_timeout 260 router_timeout 260 leave_timer 2 state disable
config igmp_snooping querier local1 query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier local1 last_member_query_interval 1 state disable
config igmp_snooping sr12 host_timeout 260 router_timeout 260 leave_timer 2 state disable
config igmp_snooping querier sr12 query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier sr12 last_member_query_interval 1 state disable
config igmp_snooping sr4 host_timeout 260 router_timeout 260 leave_timer 2 state disable
config igmp_snooping querier sr4 query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier sr4 last_member_query_interval 1 state disable
config igmp_snooping brt host_timeout 260 router_timeout 260 leave_timer 2 state disable
config igmp_snooping querier brt query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier brt last_member_query_interval 1 state disable
config igmp_snooping KAM host_timeout 260 router_timeout 260 leave_timer 2 state disable
config igmp_snooping querier KAM query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier KAM last_member_query_interval 1 state disable
config igmp_snooping dl host_timeout 260 router_timeout 260 leave_timer 2 state disable
config igmp_snooping querier dl query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier dl last_member_query_interval 1 state disable
config igmp_snooping ol1 host_timeout 260 router_timeout 260 leave_timer 2 state disable
config igmp_snooping querier ol1 query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier ol1 last_member_query_interval 1 state disable
config igmp_snooping inet host_timeout 260 router_timeout 260 leave_timer 2 state disable
config igmp_snooping querier inet query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier inet last_member_query_interval 1 state disable
config igmp_snooping iptv host_timeout 260 router_timeout 260 leave_timer 2 state enable
config igmp_snooping querier iptv query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier iptv last_member_query_interval 1 state disable
config router_ports iptv add 5
# SNTP
enable sntp
config time_zone operator + hour 3 min 0
config sntp primary 1.2.1.1 secondary 0.0.0.0 poll-interval 720
config dst repeating s_week last s_day sun s_mth 3 s_time 0:0 e_week last e_day sun e_mth 10 e_time 0:0 offset 60
# LACP
config link_aggregation algorithm mac_source
config lacp_port 1-24 mode passive
# IP
config ipif System vlan default ipaddress 10.1.1.57/24 state enable
# ACCESS_AUTHENTICATION_CONTROL
config authen_login default method local
config authen_enable default method local_enable
config authen application console login default
config authen application console enable default
config authen application telnet login default
config authen application telnet enable default
config authen application ssh login default
config authen application ssh enable default
config authen application http login default
config authen application http enable default
config authen parameter response_timeout 30
config authen parameter attempt 3
disable authen_policy
# AAA_LOCAL_ENABLE_PASSWORD
config admin local_enable
# ROUTE
create iproute default 10.1.1.1 1
#-------------------------------------------------------------------
# End of configuration file for DGS-3024
#-------------------------------------------------------------------

Я Вам выслал последнюю версию прошивки. Пожалуйста, обновите и напишите по результатам.

_________________
С уважением,
Бигаров Руслан.

Здравствуйте!

К сожалению не помогла последняя прошивка.
Свич перестал форвардить пакеты в вилане default через два дня.
Сам при это доступен в вилане default, могу пинговать его и заходить по телнет.

Device Type : DGS-3024 Gigabit-Ethernet Switch
MAC Address : 00-17-9A-06-2A-A1
IP Address : 10.1.1.57 (Manual)
VLAN Name : default
Subnet Mask : 255.255.255.0
Default Gateway : 10.1.1.1
Boot PROM Version : Build 1.00.B03
Firmware Version : Build 4.01-B02
Hardware Version : 0A1
System Name : gig1
System Location : house
System Contact : 109-xxxx
Spanning Tree : Disabled
GVRP : Disabled
IGMP Snooping : Enabled
TELNET : Enabled (TCP 23)
WEB : Disabled
RMON : Disabled

После перепрошивки, делал
reset system
и заливал старый конфиг обратно.
С трапами разобрался, добавил в конфиг кое-чего.

diff old new
< # Firmware: Build 4.00-B04
> # Firmware: Build 4.01-B02
> disable jumbo_frame
> create snmp view none 1 view_type excluded
> create snmp group public1 v1 read_view none notify_view none
> create snmp group public1 v2c read_view none notify_view none
> create snmp community public1 view none read_only
< create snmp host 10.1.1.1 v1
> create snmp host 10.1.1.1 v1 public1

трапы теперь приходят, по поводу up-down портов. Но когда свич глюканул,
то не пришел трап, и в логе свича тоже нет никаких сообщений за тот день.

Спасибо, что никто не помог
Баг локализовал самостоятельно.

Мак адрес маршрутизатора (для примера я использовал 00-01-01-01-01-01) у меня привязан к порту 1 гигабитного коммутатора, используя статические записи в fdb :

create fdb default 00-01-01-01-01-01 port 1
create fdb local1 00-01-01-01-01-01 port 1

Здесь две записи, потому что мне нужно в этих виланах защититься от подмены мак адреса роутера. В вилане local1 полно горе-хакеров, периодически балующихся подменами мак адресов. А в вилане default у меня управляющие интерфейсы всех коммутаторов сети, и хотелось подстраховаться на случай несанкционированного подключения к тегированному порту. В идеале хорошо было бы во всех виланах сделать статические привязки мака маршрутизатора, но как-то руки не дошли.

Мак адрес роутера у меня одинаковый во всех виланах. Я был уверен, что это совершенно нормальная конфигурация, ведь виланы полностью изолируют сегменты друг от друга, на то они и виланы. Но потом до меня доперло, что от некоторых коммутаторов все таки можно ожидать кое-каких странностей в такой конфигурации. Пару недель назад, когда этот коммутатор доканал меня своими выходками, я позвонил товарищу, спросить совета, чего бы поставить в центр сети. И хотя я знал, что он ответит, но обращаться мне больше не кому, не в форуме же длинка задавать такой вопрос, хотя и очень хотелось это сделать Ну, товарищ мой, как всегда начал рассказывать, что кроме циско, все остальное хлам, жалкое подобие коммутаторов, а длинк это особое г, и у него на них такая сильная аллергия, что даже, например, если бы он пришел куда-то устраиваться на работу, и увидел бы там длинк, то сразу развернулся бы и ушел, или же поставил условие - длинк или он. Я ему говорю, бюджет ограничен, а он грит, что лучше купить нормальный коммутатор (т.е. циску), поставить и забыть о его существовании, а с дешевый коммутатором %потни много, и все равно в конечном счете выльется в туже сумму и более, за счет повышенных эксплуатационных расходов, но просто растянется во времени. Но, потом он все таки согласился, что если денег совсем нет, то на крайняк можно взять прокурву. Потом он рассказывал про разные косяки, которые в разное время обнаруживались у длинков, и упомянул про глюк, который был несколько лет назад, когда народ в одном сегменте видел маки из другого сегмента, т.е. некоторые пакеты просачивались через виланы. Вот тут то мне почему-то и пришла мысля, что все таки не желательно иметь одинаковые маки, несмотря на то, что они в разных виланах. Или же, не стоит для одинаковых маков создавать статические записи в fdb. Или же не желательно иметь одинаковые маки (в разных виланах) на очень активном узле, через который проходит много трафика, и который еще иногда и мультикасты использует. Ну в общем, пришла догадка, что дело в совокупности каких-то факторов. Решил я проверить свою догадку, полез на этот коммутатор, который к тому моменту уже несколько дней находился в переклиненном состоянии, и как только я удалил одну из двух статических привязок, то произошло оно, долгожданное чудо - коммутатор мгновенно отклинило, даже перезагрузка не понадобилась.

Извиняюсь, что так длинно получилось, но просто эмоции, сами понимаете..

В общем я удивлен, что у такого старого коммутатора имеется баг, который проявляется в такой несложной конфигурации. Не думаю, что одинаковые мак адреса роутера в разных виланах, что это какая-то редкость, и что никто не создавал статические записи для роутера в разных виланах.

Похоже, в чем-то прав мой товарищ, насчет повышенных экспл расходов. Я припоминаю, как нас доканывал dgs-1224t тормознутостью своего интерфейса управления, вплоть до полной его потери, часто в самые неподходящие моменты, когда нужно было срочно прописать новый вилан. А сейчас вот с 3024 пришлось иметь отношения.
Но хорошо хоть, что с 3024 разобрались наконец, и не придется тратить деньги на новый коммутатор.

Коммутатор достаточно старый, поэтому возможны подобные случаи с данной проблемой. А так, данную проблему решают с помощью ACL PCF.

_________________
С уважением,
Бигаров Руслан.