Добрый день. Используем vlan на порт(абонента) и то умудряется в логи падать flood fdb . Всего 44 мак-адреса на DES-1210-28/ME





Наблюдаются проблемы с FDB. В логи падает flood fdb.
Неужели на 1210-28/me такие проблемы с хэш функцией как на 3028?

Отдельный VLAN на абонента не решает проблему коллизий. Просто на коммутаторе увеличивается число броадкастовых доменов и у кадра в такой схеме всегда всего один порт назначения. То есть проблема коллизий никуда не уходит, просто она практически перестает доставлять неудобства.

_________________
D-Link Switches: Tips & Tricks

Сформулирую ответ точнее, на базе документации от производителей чипов

При совпадении hash и, соответственно, невозможности добавить MAC в таблицу - пакеты на него посылаются во все порты, принадлежащие VLAN отправителя. Так как hash на самом деле вычисляется по паре MAC+VLAN - последствия могут быть самые разнообразные

Ещё предлагаю "огласить весь список" коллизий, так как возможен вариант, когда команда в firmware осталась, но смысловой нагрузки не несёт - мы уже убедились в этом на примере DES-1210-52/ME/C. Проверить просто - скармливаем коммутатору несколько тысяч MAC адресов, а потом смотрим их наличие в таблице.

Я так понимаю проблема известна и D-Link молчанием это подтверждает?

Просто это очень старая проблема. Комментарии D-Link были.

_________________
D-Link Switches: Tips & Tricks

Проблема может и старая но коммутаторы остались и абон база растет и маков еще больше.
Потому и вопросы остались и появляются новые:

Есть коммутатор DES-3200-26 (стоит в офисе)
в коммутаторе 16 маков абонентов - в портах с 1 по 24 и 26
25 - порт включен в ядро. т.к. это рабочий-админский коммутатор сюда заведены почти все вланы кторые есть в сети.
на порту я вижу 744 маков.

вот что говорит show flood_fdb:

есть пару вопрос:
1) что идет в хеш мак+порт+влан
вот к примеру
1882 1 5C-D9-98-CA-30-3F * 395585 - мак свитч ядра (DGS-3120-24SC+2шт стек)
1882 2 F0-DE-F1-6C-04-7B * 395585 - мак моего рабочего ноута
сюда по звездочке оба мак в таблице fdb



1882 - это номер и есть хеш значение. как-то на семинарах упоминалось, что свитч запоминаем мак+порт и пишет a fdb и только потом если нужно послать на это мак пакет - проверяется принадлежит ли порт данной влан группе.
тогда получается что в хеш = мак+порт - тогда деление на вланы - бесполезно

получается что ели хеш колизия в одном влане то трафик будет только у того абонента чья запись есть в fdb.
так если другой абонент пошлет пакет - свитч сразу же перезапишет запись fdb на новый порт - и к первому абоненту пакеты не полетят, а все пакеты получит второй абонент (даже пакеты которые должны были попасть к первому абоненту)
потом от первого абонента придет пакет и так будет "моргать" то у 1го то у 2го трафик - я правильно понимаю?
Или при хеш колизия в одном влане - вообще записи не будет в fdb и трафик флудом будет расходиться во все порты (в данной влан группе)?

что значит:

Если в fdb есть запись абонента А который в влан 10, потом на другой порт свитча в влан 20 приходит мак от абонента Б, и хеш совпадает , то он не записывается. Получается в таблице fdb остается мак абонента А. И кода абонент В пошлет пакет на мак адрес абонента Б - он попадет к абоненту А так как его мак остался в fdb в мак абонента Б не смог записаться из-за коллизии.
Или при хеш коллизии сотрется та запись которая есть и вообще ничего не запишется в fdb про абонента А и Б.


2) что за время в столбике - Time Stamp это время когда добавилась запись ? (т.к. оно не меняется)


3) может есть что почитать по этому поводу как оно устроенно и как работает? и какие могут быть последствия.

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.

Попробую вкратце ответить.

1. hash вычисляется по VLAN+MAC. Но если получен пакет на MAC адрес, которого ещё нет в таблице или не удалось его добавить - он посылается на все порты того VLAN'а, к которому принадлежит порт его источника за исключением того же самого порта. Т.е. в схеме "VLAN-на-порт + proxy arp на коммутаторе агрегации" пакеты не попадут в другие абонентские порты. Для Вашего примера абонент Б получит свой пакет, но его получат и все абоненты, принадлежащие к VLAN 20. Похожий эффект даёт схема с traffic isolation на абонентских портах и выключением mac learning на магистральном. Процесс удаления записей из таблицы MAC адресов как правило основан на превышении предела по времени, в течении которого запись считается действующей (обновляется при приходе пакета с нужного порта и нужным src адресом).

2. Time Stamp - время момента добавления записи в таблицу MAC адресов.

3. Почитать можно основы теории и практику - здесь.