D-Link • Просмотр темы - Помогите разобраться с ситуацией

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Помогите разобраться с ситуацией

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 13 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

sergeyfromkomi

Заголовок сообщения: Помогите разобраться с ситуацией

Добавлено: Пт окт 07, 2011 14:07

Зарегистрирован: Вт авг 18, 2009 13:47
Сообщений: 173

Помогите разобраться с ситуацией:

Существует рабочее кольцо построенное на DES3200+ERPS (6 шт.).
При попытке подключения нового абонента (юрлицо vlan на пользователя) происходит резкое увеличение загрузки портов, что приводит к потере управления оборудованием и проблемам с предоставлением услуг всем абонентам кольца.
Работоспособность сети восстанавливается после отсоединения нового абонента и размыкания кольца.
Проверены варианты подключения:
1. подключение абонента в подготовленный порт (с прописанным vlan-ом)
2. подключение абонента в не подготовленный порт (с defaultvlan-ом)
3. 1. и 2. варианты при условии заранее разомкнутого кольца.
Однако, когда между оборудованием абонента и кольцом устанавливаем cisco2950, то все работает отлично.

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: Помогите разобраться с ситуацией

Добавлено: Пт окт 07, 2011 15:34

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Видимо, от абонента идет какой-то вредоносный трафик, который почему-то блокируется коммутатором cisco. У вас на клиентских портах loopdetect включено?
Посмотрите на сниф, уточните, какое оборудование у клиента, нет ли там кольца и пр.

Вернуться наверх

sergeyfromkomi

Заголовок сообщения: Re: Помогите разобраться с ситуацией

Добавлено: Пт окт 07, 2011 17:08

Зарегистрирован: Вт авг 18, 2009 13:47
Сообщений: 173

Artem Kolpakov писал(а):

loopdetect включали на порту des-а -- результат тот же.
со слов абонента у них сеть на des3624 + ISA Serner
Проверить сеть абонента на наличие петель, пока возможности нет(их сис. ад. на больничном)
Опыта у меня не очень много поэтому спрошу, что за вредоносный трафик такой, который бы мог положить целую сеть?

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: Помогите разобраться с ситуацией

Добавлено: Пн окт 10, 2011 07:58

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Какая прошивка установлена на вашем коммутаторе DES-3200?

Вернуться наверх

sergeyfromkomi

Заголовок сообщения: Re: Помогите разобраться с ситуацией

Добавлено: Вт окт 11, 2011 08:34

Зарегистрирован: Вт авг 18, 2009 13:47
Сообщений: 173

Artem Kolpakov писал(а):

Какая прошивка установлена на вашем коммутаторе DES-3200?

Все des-ы с fw 1.41. С прошивкой 1.52 кольцо работает не стабильно. Все же интересно узнать, что за зверский трафик такой может идти от абонента, на который catalyst не реагирует никак, а des3200 отваливается напрочь.

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: Помогите разобраться с ситуацией

Добавлено: Вт окт 11, 2011 09:26

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Вы можете проанализировать идущий от клиента трафик снифером

Вернуться наверх

sergeyfromkomi

Заголовок сообщения: Re: Помогите разобраться с ситуацией

Добавлено: Пт окт 14, 2011 13:23

Зарегистрирован: Вт авг 18, 2009 13:47
Сообщений: 173

Artem Kolpakov писал(а):

Вы можете проанализировать идущий от клиента трафик снифером

Похоже причиной этой проблемы является прот-л GVRP идущий от абонента в нашу сеть. Как des3200 "отучить" воспринимать(не реагировать) на GVRP пакеты нашего абонента?

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: Помогите разобраться с ситуацией

Добавлено: Пт окт 14, 2011 15:29

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

У вас отключен GVRP на клиентском порту?
Приведите настройки секции VLAN с коммутатора

Вернуться наверх

sergeyfromkomi

Заголовок сообщения: Re: Помогите разобраться с ситуацией

Добавлено: Пт окт 14, 2011 15:54

Зарегистрирован: Вт авг 18, 2009 13:47
Сообщений: 173

Artem Kolpakov писал(а):

У вас отключен GVRP на клиентском порту?
Приведите настройки секции VLAN с коммутатора

Унас настройка GVRP - по умолчанию.

Код:

#show gvrp
Command: show gvrp

Global GVRP  : Disabled

Port  PVID  Reassigned  GVRP      Ingress   Acceptable Frame Type
            PVID        State     Checking
----  ----  ----------  --------  --------  -----------------------
1     256   -           Disabled    Enabled     All Frames
2     260   -           Disabled    Enabled     All Frames
3     252   -           Disabled    Enabled     All Frames
4     264   -           Disabled    Enabled     All Frames
5     697   -           Disabled    Enabled     All Frames
6     173   -           Disabled    Enabled     All Frames
7     977   -           Disabled    Enabled     All Frames
8     194   -           Disabled    Enabled     All Frames
9     246   -           Disabled    Enabled     All Frames
10    931   -           Disabled    Enabled     All Frames
11    401   -           Disabled    Enabled     All Frames
12    494   -           Disabled    Enabled     All Frames
13    1     -           Disabled    Enabled     All Frames
14    1     -           Disabled    Enabled     All Frames
15    1     -           Disabled    Enabled     All Frames
16    1     -           Disabled    Enabled     All Frames
17    1     -           Disabled    Enabled     All Frames
18    1     -           Disabled    Enabled     All Frames
19    1     -           Disabled    Enabled     All Frames
20    1     -           Disabled    Enabled     All Frames
21    1     -           Disabled    Enabled     All Frames
22    1     -           Disabled    Enabled     All Frames
23    1     -           Disabled    Enabled     All Frames
24    1     -           Disabled    Enabled     All Frames
25    1     -           Disabled    Enabled     All Frames
26    1     -           Disabled    Enabled     All Frames
27    1     -           Disabled    Enabled     All Frames
28    1     -           Disabled    Enabled     All Frames

Total Entries  : 28

Всего создано 1,5 тыс. вланов. Привожу первые и последние строки секции конфига вланов.

Код:

disable asymmetric_vlan
enable pvid auto_assign
config vlan default delete 1-28
config vlan default advertisement enable
create vlan VLAN6 tag 6
config vlan VLAN6 add tagged 27-28
create vlan VLAN11 tag 11
config vlan VLAN11 add tagged 27-28
create vlan VLAN100 tag 100
... ... ....
create vlan VLAN1497 tag 1497
config vlan VLAN1497 add tagged 27-28
create vlan VLAN1498 tag 1498
config vlan VLAN1498 add tagged 27-28
create vlan VLAN1499 tag 1499
config vlan VLAN1499 add tagged 27-28
create vlan VLAN1500 tag 1500
config vlan VLAN1500 add tagged 27-28
disable qinq
disable gvrp
config qinq ports 1-28 role nni outer_tpid 0x88A8 trust_cvid disable vlan_translation disable
config gvrp 1 state disable ingress_checking enable acceptable_frame admit_all pvid 256
config gvrp 2 state disable ingress_checking enable acceptable_frame admit_all pvid 260
config gvrp 3 state disable ingress_checking enable acceptable_frame admit_all pvid 252
config gvrp 4 state disable ingress_checking enable acceptable_frame admit_all pvid 264
config gvrp 5 state disable ingress_checking enable acceptable_frame admit_all pvid 697
config gvrp 6 state disable ingress_checking enable acceptable_frame admit_all pvid 173
config gvrp 7 state disable ingress_checking enable acceptable_frame admit_all pvid 977
config gvrp 8 state disable ingress_checking enable acceptable_frame admit_all pvid 194
config gvrp 9 state disable ingress_checking enable acceptable_frame admit_all pvid 246
config gvrp 10 state disable ingress_checking enable acceptable_frame admit_all pvid 931
config gvrp 11 state disable ingress_checking enable acceptable_frame admit_all pvid 401
config gvrp 12 state disable ingress_checking enable acceptable_frame admit_all pvid 494
config gvrp 13-28 state disable ingress_checking enable acceptable_frame admit_all pvid 1

Что нужно сказать(какую команду) des-у, чтоб он перестал реагировать на gvrp протокол?

Вернуться наверх

sergeyfromkomi

Заголовок сообщения: Re: Помогите разобраться с ситуацией

Добавлено: Пн окт 17, 2011 16:11

Зарегистрирован: Вт авг 18, 2009 13:47
Сообщений: 173

Ув. инженеры dlink буду очень благодарен, если Вы обратите свой взор к этой пустяковой задачке....

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: Помогите разобраться с ситуацией

Добавлено: Вт окт 18, 2011 13:05

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Попробуйте написать acl для cpu, который будет фильтровать GVRP пакеты со стороны клиента.

Вернуться наверх

sergeyfromkomi

Заголовок сообщения: Re: Помогите разобраться с ситуацией

Добавлено: Вт окт 18, 2011 14:22

Зарегистрирован: Вт авг 18, 2009 13:47
Сообщений: 173

Artem Kolpakov писал(а):

Попробуйте написать acl для cpu, который будет фильтровать GVRP пакеты со стороны клиента.

Не думал, что всё так сложно... В нашей сети не используется GVRP. Нам и нашему абоненту он не нужен. Просто отключить его на коммутаторе абонента пока нет возможности, собственно мы и не знаем как его отключить.

Может так?:
config vlan vlanid 444 advertisement disable

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения: Re: Помогите разобраться с ситуацией

Добавлено: Вт окт 18, 2011 14:58

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Это команда всего лишь означает, что вилан 444 не будет анонсироваться по gvrp. На приём gvrp пакетов это никак не влияет.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 13 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 26

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения