Есть небольшая сеть частично на управляемых свитчах а местами на не очень. В качестве управляемых работаю D-link DES 3052 Dlink Des 3028 и D link Des 3256.
Падение сети происходит на отдельно взятом секторе — точнее между Dlink 3028 и Dlink 3052. Определенной закономерности не выявлено.
Временное лечение — Вкл/Выкл порта на котором это все висит со стороны Dlink 3028.
По веб-интерфейсу наблюдается периодическое увеличение количества пакетов на этом порту — скачкообразно.
Вопрос, которых собственно несколько 1. Где можно посмотреть причину падения ? (в логах свитча было сначала blat attack -но это вылечено — пару торрентоманов прибил) 2. Как защититься от падения? 3. Можно ли как то с помощью wireshark например найти источник проблемы/больших пакетов и тд ?
Собственно прошу помочь хотя бы определить направление куда копать — а то совсем непонятно.
Всего записей: 138 | Зарегистр. 16-10-2004 | Отправлено:06:21 04-07-2014
bga83
Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору проверить на предмет закольцовки, поднят ли STP? попробовать на место этих свичей поставить от других вендоров. Еще к вопросу о STP и DLink — на практике сталкивался с вот таким безобразием: при подключении в сеть с поднятым STP неуправляемого DLink сеть ложилась напрочь.
Всего записей: 2008 | Зарегистр. 30-11-2007 | Отправлено:09:44 04-07-2014
PlastUn77
Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору myther Как падает линк, в чем это выражается? потери пакетов или порт в down? Что в логах, когда падает линк? Что показывает «#show error ports №» Uplink между свичами на гигабите?
Всего записей: 431 | Зарегистр. 16-06-2008 | Отправлено:09:45 04-07-2014
myther
Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору bga83 Колец нет — проверил. STP нету — уже тестировал — как мануалов почитаю может и внедрю. )) PlastUn77 Линк уходит в даун. Его просто нет.
Код:
#show error ports №» Port Number : 27 RX Frames TX Frames ——— ——— CRC Error 159 Excessive Deferral 0 Undersize 0 CRC Error 0 Oversize 0 Late Collision 0 Fragment 223 Excessive Collision 0 Jabber 0 Single Collision 0 Drop Pkts 0 Collision 0
Это на первом свитче который у меня в здании стоит а вот что на том куда уходит линк
Код:
Port Number : 42 RX Frames TX Frames ——— ——— CRC Error 310934 Excessive Deferral 0 Undersize 0 CRC Error 0 Oversize 0 Late Collision 0 Fragment 369848 Excessive Collision 0 Jabber 67 Single Collision 0 Drop Pkts 0 Collision 0
Вывод о том что какая то хрень валит тот сегмент из моей сети — верен ?
В логах Link Down|Link Up по целевому порту. Конкретно на этом порту показывает 100ку. Кабель прозванивал — все норм.
CRC Error — ошибки следы передачи (контрольная сумма), переобжимайте концы, если не поможет — меняйте кабель.
easy_adminko
Карманные записки Системного Инженера
show ports Показать инфо о портах
config ports x state enable Включить порт
config ports x state disable Выключить порт
config vlan default(имя влана) delete xx config vlan v996 (имя влана) add untagged xx Изменение влана
show switch Отображение информации о коммутаторе. Важно: не путать версию прошивки и версию конфига
show log Просмотр логов коммутатора
Варианты записей присутствующих в логах коммутатора:
7028 2008/10/23 18:51:57 Port 19 link down — упал линк на 19-м порту 7029 2008/10/23 18:52:01 Port 19 link up, 100Mbps FULL duplex — линк поднялся на 19-м порту установлена скорость передачи 100Mb установлен режим полного дуплекса 7045 2008/10/23 19:28:19 Multicast storm is occurring (port: 18) — зафиксирован мультикаст шторм на 18 порту. 7035 2008/10/23 19:06:19 Multicast storm has cleared (port: 8) — мультикаст шторм был очищен 7313 2008/10/24 21:59:16 Broadcast storm is occurring (port: 15) — зафиксирован броадкаст шторм на 18 порту. 7429 2008/10/25 14:11:12 Broadcast storm has cleared (port: 18) — броадкаст шторм был очищен
Если в логах коммутатора вы видите записи о том что на всех активных портах одновременно были зафиксированы броадкаст и мультикаст шторм, коммутатор перезагружался.
show ports description Просмотр описания порта
config ports X description Добавить описание порта
sh ports media_type Посмотреть какие модули установлены в каких портах, их модели, версии и версии прошивок.
show arpentry Отображает ARP-кэш. В D-Link нет функции поиска IP по заданному MAC’y, поэтому при необходимости такого поиска приходится выводить весь кэш на экран и искать вручную.
show utilization cpu Отображение загрузки центрального процессора, за последние 5 секунд, минуту и 5 минут.
show utilization ports Отображение загрузки портов в PPS (пакеты в секунду)
show ipif Отображение информации по всем сконфигурированным интерфейсам на данном свитче.
show iproute Отображение таблицы маршрутизации свитча sh fdb Отображение всех сконфигурированных интерфейсов свитча и MAC-адреса подключенных к ним устройств.
show error ports Отображение ошибок передачи пакетов на заданном порту
Типы ошибок: CRC Error — ошибки проверки контрольной суммы Undersize — возникают при получение фрейма размером 61-64 байта. Фрейм передается дальше, на работу не влияет Oversize — возникают при получении пакета размером более 1518 байт и правильной контрольной суммой Jabber — возникает при получении пакета размером более 1518 байт и имеющего ошибки в контрольной сумме Drop Pkts — пакеты отброшенные в одном из трех случаев: Переполнение входного буфера на порту Пакеты, отброшенные ACL Проверка по VLAN на входе Fragment — количество принятых кадров длиной менее 64 байт (без преамбулы и начального ограничителя кадра, но включая байты FCS — контрольной суммы) и содержащих ошибки FCS или ошибки выравнивания. Excessive Deferral — количество пакетов, первая попытка отправки которых была отложена по причине занятости среды передачи. Collision — возникают, когда две станции одновременно пытаются передать кадр данных по общей сред Late Collision — возникают, если коллизия была обнаружена после передачи первых 64 байт пакета Excessive Collision — возникают, если после возникновения коллизии последующие 16 попыток передачи пакета окончались неудачей. данный пакет больше не передается Single Collision — единичная коллизия
show fdb port Отображение MAC-адресов на заданном порту
show fdb mac_address Отображает принадлежность MAC-адреса порту коммутатора
show packet ports Отображение статистики трафика на порту в реальном времени.
RX — пакеты приходящие от клиента TX — пакеты приходящие к клиенту
show traffic control Отображение настроек storm control на коммутаторе. Должно быть отключено для аплинков, каскадных портов и всех портов узловых коммутаторов.
Параметры настроек имеют вид Enabled(Disabled)/10/S(D) Enabled(Disabled) — показывает включен ли шторм контроль для данного порта Числовое значение — кол-во пакетов при превышение, которого срабатывает шторм контроль S(D) — действие выполняемое с пакетами. S — блокируется весь трафик на порту. D — пакеты отбрасываются В колонке Time Interval указывается продолжительность дествия над трафиком.
show mac_notification Отображение настроек уведомления о появлении новых MAC-адресов на порту коммутатора. Должно быть отключено для аплинков, каскадных портов и всех портов узловых коммутаторов.
show port_security Отображение настроек контроля MAC-адресов. Должно быть отключено для аплинков, каскадных портов и всех портов узловых коммутаторов.
show stp Отображение настроек протокола STP на коммутаторе
show arpentry ipaddress Поиск записи с данным IP-адресом в arp-таблице.
show dhcp_relay Отображение настроек dhcp_relay на коммутаторе. Обязательно должно быть включено в сегментированном районе, выключено в несегментированном.
Пример вывода: Command: show dhcp_relay DHCP/BOOTP Relay Status : Enabled — включена или выключена функция DHCP/BOOTP Hops Count Limit : 16 DHCP/BOOTP Relay Time Threshold : 0 DHCP Relay Agent Information Option 82 State : Enabled DHCP Relay Agent Information Option 82 Check : Disabled DHCP Relay Agent Information Option 82 Policy : Keep Interface Server 1 Server 2 Server 3 Server 4 ————— ————— ————— System 83.102.233.203 — адрес централизованного DHCP-сервера
show bandwidth_control Отображение настроек полосы пропускание для заданного порта.
show traffic_segmentation Отображение настроек сегментации трафика для заданного порта
show current_config access_profile Отображение настроек ACL по всем портам (На свичах DES-3028 команда show access_profile) .
Пример вывода: config access_profile profile_id 150 add access_id 24 ip destination_ip 0.0.0.0 port 24 deny (150 — номер правила, далее указывается, что блокируется этим правилом, порт на который действует данное правило, состояние правила deny — запрещено, permit — разрешено)
show vlan Отображение настроек Vlan на коммутаторе.
cable_diag ports Диагностическая утилита для проверки длины кабеля (показывает результат только на юзерских портах (1-24)) Доступна без enable на DES-3526 с прошивкой 6.00.B25, а также на DES-3028. Примеры вывода ниже.
Линк на порту есть, все работает нормально: Command: cable_diag ports 1 Perform Cable Diagnostics … Port Type Link Status Test Result Cable Length (M) —- —— ————- —————————— —————- 1 FE Link Up OK 88 В следующем случае вариантов может быть несколько: а. Кабель целый, все работает отлично; б. Кабель целый, просто вытащен из компа; в. Кабель целый, в сетевую воткнут, но сам ПК выключен; г. Кабель аккуратно срезан.v При диагностике стоит учитывать, что разница в один метр — совершенно нормальная ситуация — в UTP отдельные пары идут с различным шагом скрутки (одна пара более «витая», чем другая). Command: cable_diag ports 1 Perform Cable Diagnostics … Port Type Link Status Test Result Cable Length (M) —- —— ————- —————————— —————- 1 FE Link Down Pair1 Open at 83 M — Pair2 Open at 84 M Видимо проблема с кабелем, а именно повреждены жилы: Command: cable_diag ports 1 Perform Cable Diagnostics … Port Type Link Status Test Result Cable Length (M) —- —— ————- —————————— —————- 1 FE Link Down Pair2 Open at 57 M — Кабель не подключен к свитчу: Command: cable_diag ports 1 Perform Cable Diagnostics … Port Type Link Status Test Result Cable Length (M) — —— ————- —————————— —————- 1 FE Link Down No Cable — Кабель обрезан на 48 метре: Command: cable_diag ports 1 Perform Cable Diagnostics … Port Type Link Status Test Result Cable Length (M) —- —— ————- —————————— —————- 1 FE Link Down Pair1 Short at 48 M — Pair2 Short at 48 M Питание по кабелю есть, но измерить длину невозможно: Command: cable_diag ports 1 Perform Cable Diagnostics … Port Type Link Status Test Result Cable Length (M) —- —— ————- —————————— —————- 1 FE Link Down ОК —
show lldp remote_ports Отображение следующего оборудования на порту (отображает мак адрес во 2й строчке).
Пример вывода: Command: show lldp remote_ports 26
Port ID : 26 Remote Entities count : 1 Entity 1 Chassis Id Subtype : MACADDRESS Chassis Id : 00-1E-58-AE-DC-14 Port Id Subtype : LOCAL Port ID : 1/25 Port Description : D-Link DES-3028 R2.50 Port 25 System Name : P1CV186021772-1#B340237#B340238 System Description : Fast Ethernet Switch System Capabilities : Repeater, Bridge, Management Address count : 1 Port PVID : 0 PPVID Entries count : 0 VLAN Name Entries count : 0 Protocol ID Entries count : 0 MAC/PHY Configuration/Status : (None) Power Via MDI : (None) Link Aggregation : (None) Maximum Frame Size : 0 Unknown TLVs count : 0
show address_binding dhcp_snoop binding_entry Просмотр таблицы dhcp snooping binding
Функция IP-MAC-Port Binding в коммутаторах D-Link позволяет контролировать доступ компьютеров в сеть на основе их IP и MAC-адресов, а также порта подключения. Если какая-нибудь составляющая в этой записи меняется, то коммутатор отбрасывает фреймы от этого мака (аналог фунции IP Source Address Guard на Alcatel’ях). Соответствие мака, порта и ip коммутатор проверяет по таблице dhcp snooping binding. Посмотреть эту таблицу можно командой show address_binding dhcp_snoop binding_entry. Соответственно, если с кокого-либо порта уходят ip-пакеты, в которых ip-адрес отправителя отличен от указанного в этой таблице (скажем 169.254.255.5 или 0.0.0.0, или некорректная статика), то свич такие пакеты отбрасывает, при этом занося в лог следующую запись: Unauthenticated IP-MAC address and discardet by ip mac port binding (IP 169.254.255.5, MAC 00-24-26-35-56-08, port: 19)
Блог по сетевым технологиям и решениям
Поиск по этому блогу
понедельник, 9 марта 2015 г.
CRC ошибки на оптическом SFP порту коммутатора HP 5412zl
Данный пост о том, что будет если сварка оптики проведена некачественно, а контрольные измерения сфальсифицированы. У заказчика устанавливали новое сетевое оборудование HP для внутренней LAN. Коммутаторы HP 5412zl объединенные 10Гб/с линками. Оптика была заранее подготовлена другим подрядчиком. После монтажа и настройки коммутаторов и системы мониторинга в логах одного коммутатора стали сыпаться ошибки: W 03/03/15 09:33:04 00329 FFI: AM1: port C3-Excessive CRC/alignment errors. See help. W 03/03/15 09:34:05 00329 FFI: AM1: port C3-Excessive CRC/alignment errors. See help. W 03/03/15 09:44:00 00329 FFI: AM1: port C3-Excessive CRC/alignment errors. See help. W 03/03/15 09:53:54 00329 FFI: AM1: port C3-Excessive CRC/alignment errors. See help. W 03/03/15 09:58:00 00329 FFI: AM1: port C3-Excessive CRC/alignment errors. See help. W 03/03/15 10:01:25 00329 FFI: AM1: port C3-Excessive CRC/alignment errors. See help. W 03/03/15 10:05:52 00329 FFI: AM1: port C3-Excessive CRC/alignment errors. See help. W 03/03/15 10:08:36 00329 FFI: AM1: port C3-Excessive CRC/alignment errors. See help. W 03/03/15 10:09:17 00329 FFI: AM1: port C3-Excessive CRC/alignment errors. See help. W 03/03/15 10:11:00 00329 FFI: AM1: port C3-Excessive CRC/alignment errors. See help.
Что означает, что порт С3 отбрасывает кадры по причине неверной контрольной суммы. Вот вывод статистики самого интерфейса: # sh int c3
Status and Counters — Port Counters for port C3
Name : _______trk3_______ MAC Address : 2c59e5-aaabbb Link Status : Up Totals (Since boot or last clear) : Bytes Rx : 250,722,825 Bytes Tx : 1,573,512,656 Unicast Rx : 322,901,717 Unicast Tx : 330,113,038 Bcast/Mcast Rx : 2,627,746 Bcast/Mcast Tx : 63,041,624 Errors (Since boot or last clear) : FCS Rx : 1,198,124 Drops Tx : 0 Alignment Rx : 0 Collisions Tx : 0 Runts Rx : 0 Late Colln Tx : 0 Giants Rx : 16,231 Excessive Colln : 0 Total Rx Errors : 1,214,355 Deferred Tx : 0 Others (Since boot or last clear) : Discard Rx : 0 Out Queue Len : 0 Unknown Protos : 0 Rates (5 minute weighted average) : Total Rx (Kbps) : 50,000 Total Tx (Kbps) : 50,048 Unicast Rx (Pkts/sec) : 38 Unicast Tx (Pkts/sec) : 39 B/Mcast Rx (Pkts/sec) : 2 B/Mcast Tx (Pkts/sec) : 25 Utilization Rx : 00.50 % Utilization Tx : 00.50 %
Видно, что на 323 миллиона принятых кадров, 1.2 миллиона были отброшено. При том, что нормой считается 1 кадр на 5000, здесь явное превышение этого порога. Так как порт оптический то возможно посмотреть данные о самом SFP трансивере: # sh interfaces transceiver c3 de
Transceiver in C3 Interface Index : 51 Type : SFP+LR Model : J9151A Connector Type : LC Wavelength : 1310nm Transfer Distance : 10.0km (9um), Diagnostic Support : DOM
Status Temperature : 32.945C Voltage : 3.3211V Tx Bias : 40.554mA Tx Power : 0.6202mW, -2.075dBm Rx Power : 0.0111mW , -19.546dBm
Уровень получаемого сигнала слишком слаб (для SFP), что приводит к потерям при передаче. Причиной стало плохая пайка кабеля в кассете оптического кросса. Решение — переход на другое волокно в этом кабеле.
В статье рассматривается начальная настройка управляемого коммутатора D-Link с использованием интерфейса командной строки CLI.
Для начальной настройки коммутатора используется консольный порт RS-232. Для этого необходимо соединить ПК и коммутатор консольным кабелем с разъемами DB-9.
Рекомендованные производителем параметры подключения следующие: terminal — VT 100+; speed — 9600; parity — none; data bits — 8; stop bit — 1; sofware flow control — none; hardware flow control — none
Для подключения к коммутатору по протоколу Telnet можно использовать различные терминальные программы, например Hiperterminal, Putty, Minicom и др.
Рассмотрим конфигурирование на примере коммутатора D-Link DGS-3120-24SC.
При подключении к коммутатору отобразится примерно следующая информация
Нажимаем пару раз «Enter», пропуская ввод логина и пароля. Изначально они не заданы. Просмотреть текущую конфигурацию устройства:
Конфигурируем. Обратите внимание на то, что CLI регистро-чувствительный. Например команда «System» вводится, с большой буквы, в то время как другие — с маленькой.
Создаем интерфейс управления и назначаем ему IP адрес для доступа к устройству. По умолчанию устройство имеет назначенный IP адрес 10.90.90.90.
Задаем шлюз маршрута по умолчанию.
Для того, чтобы устройство было доступно только в определенном VLAN, создадим VLAN и поместим интерфейс управления в него.
Создадим аккаунт для администрирования и управления устройством.
Настройки времени Задаем временную зону, параметры перехода на летнее время и адрес сервера времени:
Для самоуспокоения можно пробежаться по настройкам, с помощью команды «show» с соответствующими аргументами удостоверится, что желаемые настройки применены верно. После чего — сохраняем всё, и настройки и журнал событий, в энергонезависимую память:
Теперь идём на своё рабочее место и подключаемся к устройству используя для это протокол SSH.
Первым делом стоит подкорректировать настройки портов. Например таким образом:
Здесь мы позволили клиентским портам принимать конфигурацию клиента, предлагая аппаратный контроль потока передаваемых данных, выделили один порт для связи с маршрутизатором на скорости 100 Мегабит с полным «дуплексом» и выделили два «гигабитных» порта для связи с другими коммутаторами.
Очень желательно явно выставлять параметры интерфейсов, предназначенных для связи между коммутаторами и маршрутизаторами. На моей практике неоднократно наблюдались огромные, до 30%-40% потери пакетов из-за того, что оборудование не могло договорится о режимах работы в автоматической конфигурации.
Следует иметь в виду, что у D-Link при конфигурировании «гигабитных» портов нужно явно указывать, какая сторона ведущая, а какая ведомая. В частности, если этот коммутатор «ведущий» (master), что на втором «гигабитные» порты должны быть инициированы как «ведомые» (slave), например:
Далее следует чуть подкорректировать общие настройки, имеющие отношение к обеспечению условий коммутации.
Чтобы огорчить любителей повесить на порт нашего коммутатора свой коммутатор и нацеплять за ним кучу незарегистрированного оборудования, явно укажем не принимать запросы на порту более чем с одного MAC:
Естественно, для «транков» ограничение на количество обслуживаемых MAC снимаем:
Насколько я понял из документации, опция «OnTimeout» регламентирует периодичность пересмотра таблицы коммутации (Forwarding Database) MAC на портах. Надо полагать (вернее, так сказано в документации, но я мог неверно перевести), что MAC-адрес клиента неактивного порта будет удалён из таблицы и другому MAC-адресу будет позволено работать на нём именно после этого самого пересмотра таблицы. Сменить период пересмотра таблицы можно с помощью соответствующей команды (по умолчанию период составляет 300 секунд):
На случай, если понадобится по быстрому, не дожидаясь истечения «таймаута» разблокировать какой-либо порт, очистив историю использования его клиентам, есть команда, которой мы очистим историю использования для портов со второго по седьмой:
Теперь активируем функционал «Storm Control» для борьбы с клиентами, сорящими «бродкастовыми» и «мультикастовыми» пакетами (зажимаем клиента по максимуму — у нас только традиционные сервисы, не подразумевающие рассылок; в обычной плоской сети реальный «флуд» диагностируется по показателю в 100 Kbs):
Можно попробовать применить новый функционал D-Link обнаружения и блокирования потенциальных DoS-атак, пока вреда от него я не замечал:
Типов атак несколько, вместо «all» можно включать и выключать их обнаружение индивидуально:
Видно, что выше я отключил обнаружение атак типа «TCP SYN SrcPort less 1024»; не углублялся в суть вопроса, но при активировании этой опции коммутатор воспринимает попытки взаимодействия Linux/BDS/Apple-машины с сетевым принтером как атаку, блокируя передачу данных.
Для отлова «петель» на стороне клиента используем специализированный функционал коммутатора, регулярно посылающий тестовый пакет обнаружения «loopback» (это работает независимо от протокола STP):
В качестве дополнительной меры обеспечения доступности сервисов, представляемых коммутатором, включим поддержку «Safeguard engine», режима, в котором отбрасываются или отправляются в конец очереди (с пониженным приоритетом) все ARP и «широковещательные» пакеты тогда, когда загрузка процессора возрастёт выше установленного порога:
Далее — обще-системные мелочи.
Велим коммутатору отправлять на удалённый сервер данные своего журнала событий:
Научим наш коммутатор выспрашивать точное время у соответствующих серверов.
Задаём «часовой пояс»:
Отключим перевод на «летнее время»:
Укажем наши сервера точного времени:
Далее отключим то, что не подпадает под понятие базовой настройки.
Отключаем подсистему уведомлений о событиях на SMTP-сервер:
Отключаем систему уведомления SNMP сервера о изменении MAC клиента на портах:
Отключаем протокол оповещения и сбора информации о соседнем оборудовании (свободная замена таким протоколам, как: Cisco Discovery Protocol, Extreme Discovery Protocol, Foundry Discovery Protocol или Nortel Discovery Protocol). Вещь полезная, но в небольшой сети не особо нужная, особенно, если нет понимания целесообразности применения:
Отключаем перенаправление DHCP запросов на целевой сервер:
Отключаем зеркалирование портов (применяется для мониторинга и сбора статистики):
Отключаем поддержку протокола STP:
Отключаем функционал единого адреса для стека коммутаторов:
Отключаем авторизацию клиентов на портах:
Отключаем инкапсуляцию тегов VLAN в теги VLAN второго уровня (сеть у нас маленькая):
Явно отключаем управление «мульткастом», раз уж он не используется:
Можно побродить по «web»-интерфейсу коммутатора. Уж не знаю, что там можно было наворотить, но «сайт» успешно завешивает Google Chrome (Linux); браузер начинает беспрерывно перезапрашивать один из «фреймов» панели управления, потребляя при этом половину ресурсов компьютера и не отображая при этом ничего, кроме аляповатого рисунка коммутатора на мозаичном фоне в стиле Web-0.9. Хорошо хоть Firefox (Linux) справился. Первым делом рекомендую забанить анимированную, очень детализированную, с искорками, вертящимися вокруг стилизованного земного шара, картинку-логотип в фрейме меню управления; лично у меня на «нетбуке» после этого обороты вентилятора сразу упали со средних до нулевого уровня. Рекомендую отключить «web»-интерфейс:
CLI предоставляет достаточно инструментария для контроля и мониторинга устройства, например:
В общем, все. Теперь можете приступать к чтению «мануалов», что бы осмыслить, как освоить оставшиеся здесь неосвещёнными 90% функционала устройства.
