Здравствуйте.
Сеть: в центре DGS-6604 48SFP, от него 20 районов с DGS-3120-24SC - от них на домах DES-3200-10/18
Настроен RSTP в центре и на районных коммутаторах, на домовых traffic control broadcast и loopdetect

Периодически (1-2 раза в 1-5 мин) в сети возникает unicast-шторм небольшими пакетами. Интервалы очень разные и это круглосуточно. Длительность от 1 до 8 сек.
Видео шторма: https://youtu.be/WVKd1Mgj1uM
На видео 10.1.0.4 - районный коммутатор, у него на 17-м порту домовой dlink 10.1.4.52, у которого с 5 порта (абонент) идет входящий трафик во время шторма.
Таких портов в сети я нашел около 4, скорее их больше, складывается предположение, что это вирус у абонентов (например для DoS-атак) или глючные роутеры.
Multicast и broadcast по нулям, потому traffic control никак не реагирует, unicast enable threshold 64 action drop тоже никак не помогает.
Пробовал отрубать районы в самом начале, думал источник один, выходило так, что сила шторма (пакеты/сек) просто сокращалась на 30-60%, но он не исчезал.
Проблема наблюдается только во vlan1, причем районы друг от друга изолированы traffic_segmentation на уровне центрального DGS-6604 48SFP, но шторм на всех коммутаторах.
Какой выход из ситуации?

_________________
ICQ: 300-220

На данный момент выяснили, что источников всплесков трафика около 8, каждый по 15000 пак/с, ~8-10 мбит. Это абоненты (скорее с роутерами TP-Link 841N V14, завтра подтвердится).
Почему именно эти роутеры? С лета 2019 начали брать эти модели, только аппаратная версия не V13 (работающая годами), а новая - V14, которая в нашей сети глючила и зависала несколько раз в день. Техподдержка сказала, что у нас сеть кривая, а роутеры шикарные и досвидания. Сегодня подтвердилось, что у одного из абонентов именно такой роутер.
Кроме того, входящий штормовой трафик с проблемного абонентского порта (возникающий периодически) прекращается, если отрубить роутеру доступ к интернету на уровне билинга, будто роутер на свой сервер долбится, только почему этот трафик unicast и расходится по всей сети непонятно. На данный момент отключен доступ 4-м из 8 таким абонентам и сила шторма (при скачках) упала более чем в 2 раза (было ~100 тыс. пак/с, стало ~40 тыс.). Подробнее напишу, как будет доп информация.

_________________
ICQ: 300-220

у DES-3200 hw A1/B1 или C1? прошива последняя?

может ви имееет ввиду: config block tx ports <--> unicast enable ?
threshold радикально меньше пробовали?
traffic control логи включени ? лучше на удален серв и/или трапи
IMPB настройки?

а вообще нужни конфиги dgs-3120 и des-3200

на шлюзе алиаси?

Зря грешил на TP-Link, проблема оказалась в роутерах Tenda N300/N301 (у всех 10 абонентов, фото приложено). Как только меняли тип авторизации абонента с PPoE на IPoE (с перенастройкой роутера) - проблема с периодическим штормом с порта исчезала. Видимо когда таких роутеров было мало, проблемы были не очевидны, а когда 10 роутеров начали штормить по 4-8 мбит каждый - тайное стало явным.


В сети у нас ассорти, C1 составляет около 30%, разумеется config block tx ports на A1 и B1 нет, как и на 3120-24SC такой функции не нашел. Насчет traffic control, логи включены, ничего не сообщают, да и чего им сообщать, если при шторме multicast и broadcast по нулям.

Стандартные настройки коммутаторов 3120-24SC такие:

Настройки коммутаторов 3200-10 такие:

На следующей неделе постараюсь изъять проблемный роутер и сделать дамп трафика.

_________________
ICQ: 300-220

А у вас во вланах по 1 ip интерфейсу или пачка secondary навешано? Да, это косяк роутеров Tenda, тоже столкнулись, проанализировали. Если подтвердите, что есть secondary интерфейсы, расскажу, что делают эти роутеры.

Все согласно примерам настроек. Настраивается только ipif System интерфейс с vlan 2 на каждом коммутаторе. Secondary не используем. Только на центральном коммутаторе DGS-6604 навешан свой ip на каждый vlan.

_________________
ICQ: 300-220

Вроде не должно штормить при таких настройках.

Расскажу, если все правильно вспомню, что у нас было. В центре на DGS-3620 во влане были настроены несколько ip интерфейсов с 24 маской из одного диапазона с 16-й. Таблица FDB хранится 5 минут, ARP - намного больше, иначе ARP записи часто терялись. Допустим, какое-то устройство отключилось от сети, запись в FDB пропала, а в ARP и IPFDB - нет. Что делает маршрутизатор, если пришел пакет на отключенное устройство? Т.к. запись есть в ARP таблице - отправляет пакет адресату. А так как в таблицах FDB на всех коммутаторах запись уже пропала, то пакет летит во все порты и попадает в том числе на роутеры Tenda.

И вот этот роутер получает пакет, предназначенный другой подсети в этом влане. Что он должен по правилам сделать? Дропнуть. Это нормальная логика. Но не у этих роутеров. Видя, что пакет предназначен не им, они, подменяя заголовок пакета и уменьшая TTL на 1, отправляют его на свой маршрутизатор в лице DGS-3620, который, видя ip адрес назначения, снова отправляет его по всем портам. Если этих роутеров больше 1 в сети, то происходит вся эта беда (вроде называется L3 Loopback, который коммутаторами не отлавливается, пакеты то обычные юникаст).

Кстати, DGS-3620 немного хитрит и отправляет пакет не во все порты, как должен по логике, а только в тот порт, который хранится в таблице IPFDB. С CISCO сеть ляжет намного быстрее.

В итоге, полностью избавились от нескольких подсетей в одном влане, проблема ушла. Не знаю, поможет ли вам эта информация, если, по вашим словам, у вас не более 1 подсети на влан.


PS. Еще в вашем случае возможен вариант, что заворачивает этот роутер пакет не на Dlink, а в PPPOE туннель на PPPOE концентратор, а он уже отправляет на Dlink.

Большое спасибо за информацию, есть куда копать. Пока перенастроили 10 абонентов, но похоже есть еще столько же с меньшим объемом такого трафика (примерно по 5000 пакетов/с). Насчет подсетей, на билинге у нас 2 локальных интерфейса, оба в разных подсетях и принимают PPoE. На одном из них навешаны еще и вторичные ip, как шлюзы для 2-х диапазонов белых адресов.
Буду копать дальше. Обязательно отпишу, как будет больше информации.

_________________
ICQ: 300-220

config block tx
на А1/В1 есть

у меня таких тенд полно, полет нормальний

>Насчет подсетей, на билинге у нас 2 локальных интерфейса, оба в разных подсетях и принимают PPoE. На одном из них навешаны еще и вторичные ip, как шлюзы для 2-х диапазонов белых адресов.

вам нужен ацл запрета ттл=1
иначе завтра ви еще какие нибудь тенди с подобними глюками найдете

config block tx появился после обновления прошивки и действительно устраняет проблему. Шторм не идет не только с порта Тенды, но и отсутствует на других портах, когда на других во всю лютует. Спасибо.

_________________
ICQ: 300-220