Добрый день. Имеется коммутатор DGS-3612G в качестве ядра сети. На него заведено порядка 16 VLAN. В каждом влане не более 30-40 пользователей. Коммутатор выполняет функции по маршрутизации между вланами. Всего используется 6 портов из 12-ти. Загрузка на каждом порту не превышает 80-100 мбит. Используется ACL для простой блокировки не более 20 пользователей по source IP.
Остальной функционал на коммутаторе выключен. Версия прошивки: Build 2.20-B35 и Hardware Version: 1A1G.
Наблюдаем следующие неприятные вещи:
1. DGS-3612G:4#show error ports 1-2
Command: show error ports 1-2


Port number : 1
RX Frames TX Frames
--------- ---------
CRC Error 0 Excessive Deferral 0
Undersize 0 CRC Error 0
Oversize 0 Late Collision 0
Fragment 0 Excessive Collision 0
Jabber 0 Single Collision 0
Drop Pkts 7249931 Collision 0
Symbol Error 0

Port number : 2
RX Frames TX Frames
--------- ---------
CRC Error 0 Excessive Deferral 0
Undersize 0 CRC Error 0
Oversize 0 Late Collision 0
Fragment 0 Excessive Collision 0
Jabber 0 Single Collision 0
Drop Pkts 11896253 Collision 0
Symbol Error 0

DGS-3612G:4#show error ports 1-12
Command: show error ports 1-12


Port number : 3
RX Frames TX Frames
--------- ---------
CRC Error 0 Excessive Deferral 0
Undersize 0 CRC Error 0
Oversize 0 Late Collision 0
Fragment 0 Excessive Collision 0
Jabber 0 Single Collision 0
Drop Pkts 19130151 Collision 0
Symbol Error 0

Сперва думал что эти дропы показывает сколько пакетов отброшено по ACL. Но они также постоянно очень быстро растут и на тех портах где не включен ACL. Также эти дропы идут и на медных портах и на оптических SFP.
2. Иногда коммутатор входит в EXHAUSED MODE без видимых на то причин. Может находиться в нем до 2-х минут. Хотя загрузка ЦП по графику в это время не превышает 20-30%. В настройке SAfeguard выставлены параметры входа в защиту при 90% и выход из него при 80%.
3. Ингода может не отвечать на пинг и админинтерфейс.
4. Пару раз было что просто намертво завис: не отвечал на icmp, нелзя было подконектиться к нему и небыло форвадинга ни на одном влане. Помогало передергивание питания.
5. После установки этого коммутатора пользователи жалуются на низкую скорость работы в сети, постоянные потери пакетов и обрывы сессий. Как я пологаю это происходит из-за всего выше перечисленного.

Какие действия предпринимать в данной ситуации? Возможно ли получение новой прошивки на него, желательно с changelogом.

По порядку:

1) В счётчик drop packets попадают не только пакеты отброшенные ACL, но также пакеты не прошедшие по порты по каим-то условиям (Ingress checking, Port Security, IMP и т.д.).

2) У Вас управление в отдельном VLAN-е?

3) Попробуйте прошивку которую я Вам выслал.

долго копался по форуму, нашел старую тему... но не понятно как бороться с такой проблемой ?

Поднято 3 Влана в каждом Влане по 4 порта
1) системный (5-8 порт)
2) сетьYY (1-4 порт) кабель в ключен в 4 (оптика) порт 1Gb
3) СетьХХ (9-12 порт) кабель включенн в 11(медь) порт 100Mb

Firmware Version Build 2.40.B75
Hardware Version A1
Никаких ACL нету. Снимаем статистику загрузки портов по СНМПи.

Загрузка процессора большую часть времени 4-5%, потом происходят самопроизвольные импульсы до 80-90% (продолжительностью ~ 40 секунд), повторяется несколько раз через ~20 - 60 сек., после чего нормализается работа опять., Кроме того вырастает число дроп пакетов на интерфейсах.

Смотрим на оптическом порту: 3 (RX) мегабайта трафика 5000 пакетов/сек ~200 дропается.. На медном порту 6,5 (RX) мегабайт 4500 пакетов/сек в это время, когда всё хорошо - дропается 5-10 пакетов в секунду, когда приходят "приступы" 500-900 пакетов в сек.

наблюдается потеря пакетов. (пинги)

Ради интереса проверил состояние счетчиков ДРОП пакетов на 3028/3526.. елси верить счетчикам то "drop" не больше 1 пакетов на 50 000

Добрый день!
Можно мне новую прошивку.
Спасибо!

646 2008-11-08, 14:31:29 Safeguard Engine enters NORMAL mode
645 2008-11-08, 14:31:18 Safeguard Engine enters EXHAUSTED mode
644 2008-11-08, 14:28:44 Safeguard Engine enters NORMAL mode
643 2008-11-08, 14:28:34 Safeguard Engine enters EXHAUSTED mode
642 2008-11-08, 14:21:29 Safeguard Engine enters NORMAL mode
641 2008-11-08, 14:21:16 Safeguard Engine enters EXHAUSTED mode
640 2008-11-08, 14:03:59 Safeguard Engine enters NORMAL mode
639 2008-11-08, 14:03:39 Safeguard Engine enters EXHAUSTED mode
638 2008-11-08, 13:54:34 Safeguard Engine enters NORMAL mode
637 2008-11-08, 13:54:20 Safeguard Engine enters EXHAUSTED mode
636 2008-11-08, 13:46:34 Safeguard Engine enters NORMAL mode
635 2008-11-08, 13:46:10 Safeguard Engine enters EXHAUSTED mode

CPU Utilization Settings
Rising Threshold (20%-100%) 80%
Falling Threshold (20%-100%) 70%

Safeguard отключаем ...

отключили, Safeguard

Воткнули ещё 3 меди 100Мбит, все они в одном В-лане. Собственно загрузка процессора осталась на том же уровне, до 80-100%.. наверное совпадение. но уже 2 дня нету тотальной потери пакетов как в 1-е два дня.. но пинги плавают в пиках загрузки ЦПУ пинги на интерфейс уходят под 1000Мс.. фактический пропуск трафика между В-ланами до 12 Мегабайт в сек

Помогите решить вопрос ?!?

Может штормит где чего .. ?

смотрел со свитчика статистику по пакетам.. весь тарфик идет уникастом, скажем бродкастового трафика не так уж и много, и его пульсация не всегда совпадает с загрузкой процессора нужно будет ещё посмотреть..
пока из того что видел до 300-400 бродкастовых пакетов в сек.. что нетак уж много...

хоть содись со снифиром и смотри трафик.. вообще штука ж не глупая неужели из неё нельзя получить параметры которые могли бы отобразить причину столь странного поведения.. или что вообще делать ??

To T_IgorWW:

Я Вам прошивку выслал.

To Shkaf:

Перезвоните пожалуйста завтра в офис по телефону 744-00-99 доб.390.

вообщем покапавшись решил что:
судя по всему валится он от лишнего "вредного" трафика.. Получается с 2-х сторон большие широковещательные зоны по ~500 компов с каждой стороны... Пока обдумываем как бы их разделить на более мелкий подсети, чтобы пользователи ничего не заметили. обрубив тем самым большую часть широковещательного трафика.

есть 2 вопроса:
1) ACL правила на 3612G обрабатываются хардварно не долетая до процессора или через проц летают ? (фитрация по типу езернет пакета, по МАК адресу, по ИП адресу)
2) Модет ктонибуть поделиться примером какими способами с помощью ACL можно на Л3 свечке (3612G) порезать "вредный" трафик ?

не много ... ?

У меня на 5-6 тысяч пользователей 30-40 бродкастовых pps ...

Сколько там машин болтается?

ACL конечно отрабатываются в железе, и только CPU ACL работают в софте. Вы скажите какой конкретно трафик вы хотите резать.

в случае РРРоЕ - нет, в других случаях - это перебор ...

2 Shkaf - у Вас там случаем РРРоЕ не используется?


ну дык Вы то Профессионал (с большой, да)! это не всем дано ...

_________________
с уважением, БП