Добрый день!
Есть центральный роутер 3627 с прошивкой 2.52.B44, около 150 acl+pbr для распределения пользователей между двумя аплинками.
С ним творится непонятная вещь: он может ни с того ни с сего просто уйти в даун:
он перестаёт пинговаться с любого хоста, ни один другой роутер, включая аплинков, его не видит, соответственно рушится маршрутизация и ничего не работает. Диоды на передней панели продолжают активно мигать. Это случается самопроизвольно, когда никаких всплесков трафика не видно. Зависимостей такого стечения обстоятельств тоже не наблюдается. Помогает только физический ребут 36-го (выдёргиваем питание и вставляем обратно). После загрузки всё продолжает нормально работать. Может проработать несколько дней, а может меньше получаса.
После ребута логи чистые. При загрузке нашли такую запись:

Сам STP выключен, но был включен Loopback Detection. Выключили, пока что полёт нормальный.
В нормальном режиме работы загрузка CPU ~7-10 %
FDB ~ 120 записей
ARPTABLE - 25
Значения далеко некритические, а понять в чём может быть дело никак не удаётся

syslog используете?
150 ACL это какие?
Мониторите ли вы CPU?

Приведите, пожалуйста, полный кусок настроек STP из конфигурационного файла до того, как Вы отключили использование LBD в STP.

_________________
С уважением,
Бигаров Руслан.

syslog - используем, но скорее всего роутер не успел туда ничего отослать до того, как пропала с ним связь.
ACL - это например такие:

И к ним соотвественно PBR:

И такого добра около 150.
Миниторим cpu, но опять же - все графики показывают, что никакого зашкаливания cpu не было, а просто обрыв связи с роутером.


Вот изначальный настроек нету, это совершенно новый роутер, после перепрошивки сбросили на дефолтные настройки, STP всё было как по дефолту, а вот LBD было включено.
Есть смысл выкладывать то, что сейчас ?

приведите конфиг LBD (вы имеете в виду LBD или STP-LBD?), и что вы в нём меняли, чтобы свич нормально стал работать.

Я имел ввиду STP-LBD.
Было так:

Поставили так:

Хотя я не уверен что это повлияет на что то при:


Когда это случилось первый раз, мы просто перезагрузили свитч, так он проработал около недели. Поэтому утверждать, что выключение STP-LBD привело в нормальную работу свитч я пока не могу.

Т.е. на данный момент он работает нормально?

Если он снова подвиснет, пожалуйста, подключитесь по RS-232 и посмотрите что он там выводит. И Вы используете syslog сервер?

_________________
С уважением,
Бигаров Руслан.

Да. До отключения STP-LBD он неделю тоже проработал нормально, а потом завис.


Попробуем конечно подключиться, просто это центральный роутер, и как бы времени на восстановление в обрез

Syslog используем, но во время падения он ничего туда не успел отправить.

была такая же проблема в одну из пятниц. ребутнули, повторилось, приехали, включили консоль в соседний сервер. загрузка процессора 100%. при этом перестает отвечать на arp, ospf hello и telnet.
вероятной причиной послужила DDoS-атака, которая была воспроизведена на стенде. ping -f в несколько потоков на ip коммутатора (не управляющий, а шлюз для абонентов) кладет его на лопатки!.. так что попробуйте отключать уходящие порты и найти, откуда идет флуд.

Спасибо за информацию. В пятницу вечером как раз включили на всякий случай SafeGuard Engine.

а не подскажите как от этого защиту сделать и от всего остального
при топологии типа
центр - раненый узел - домовые коммутаторы
3627 - 3028 - 3526

какие посоветуете асл применить и на каком узле ?

при том что на каждый дом свой влан

_________________
админ DGS 3612(DGS36xxRun_2[1].50-B15), DES 3526 (DES3526R6_6.00.B10),
DES 3028(DES_3028_52_V2.10-B06),DES 3026, DES 2108 (hw des-2108v3-00-27),
DWL 2100, DWL 700G, DIR 100,
DL-LB604 (app2+4+DI-604LBVPN_v102_b0Otw_080815_ipsec)

А от чего остального? Можно поподробнее?

у нас наблюдается иногда проблема, какой нибудь пользователь или вирус выставит себе ип шлюза, как с этим бороться ?

_________________
админ DGS 3612(DGS36xxRun_2[1].50-B15), DES 3526 (DES3526R6_6.00.B10),
DES 3028(DES_3028_52_V2.10-B06),DES 3026, DES 2108 (hw des-2108v3-00-27),
DWL 2100, DWL 700G, DIR 100,
DL-LB604 (app2+4+DI-604LBVPN_v102_b0Otw_080815_ipsec)

Мы решили такое ACL правилами:


В 3 профиль мы разрешаем ходить с портов, в которые воткнуты абоненты, куда угодно только с их IP.
В 4 профиле запрещаем на абонентских портах всё (1-24 порт), и разрешаем всё на аплинках (25-26).

Т.о. если абонент сменит себе IP, свитч его заблокирует.
Единственное, надо иметь базу свитч-порт-айпи.

о дак это решение и конфликта меж юзерами просто у нас было и такое, при трафик сегментации на коммутаторе, пользователи ставили одни и теже ипы, но у них конфликта не было явного, а у нас видно было на л3 1 ип с 2 маками ))

да но тут надо что то думать тогда на счет базы

_________________
админ DGS 3612(DGS36xxRun_2[1].50-B15), DES 3526 (DES3526R6_6.00.B10),
DES 3028(DES_3028_52_V2.10-B06),DES 3026, DES 2108 (hw des-2108v3-00-27),
DWL 2100, DWL 700G, DIR 100,
DL-LB604 (app2+4+DI-604LBVPN_v102_b0Otw_080815_ipsec)