Всем привет.
Нужна помощь.
Очень странная ситуация, второй день ломаем голову.
Сеть выглядит так:
1. Сервер доступа
2. к серверу доступа подключены коммутаторы, у всех настроена изоляция портов (только аплинк к серверу). Абоненты не видят друг друга.
3. на базе mANTBox (2) видим непонятный трафик (через packet sniffer), трафик абонентский (10.20.0.98) и (10.20.0.63). На базе mANTBox (1) при этом еще много абонентов.
происходит видно при обращении абонента к каким либо ресурсам в Интернете и каким то образом он перенаправляется в это место. Честно даже не понимаем как, все коммутаторы перепроверили, все изолировано.
абонентские антенны настроены в режиме роутера.
Так же при этом непонятном трафике на базе Nanostation M2, а именно на абонентах этой базы очень сильно подскакивает пинг.
Отключаю на (10.20.0.98) и (10.20.0.63) - ethernet интерфейсы - странный трафик пропадает.
И самое главное на базе mANTBox (2) нет ни одного абонента.
Коммутаторы проверили, зеркалирвоания нигде нет.
Как на эту антенну трафик попадает, непонятно...
Что-то непонятное и невозможное для нас происходит помогите пожалуйста
карта:
http://i99.fastpic.ru/big/2018/0121/e4/ ... 9921e4.jpg
Странный трафик
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
На Dlink-3028 подключенном к серверу доступу дайте команду и через несколько часов напишите результат
Код: Выделить всё
enable flood_fdb
Код: Выделить всё
show flood_fdb
-
- Сообщения: 6
- Зарегистрирован: 21 янв 2018, 16:27
kt72ru писал(а):На Dlink-3028 подключенном к серверу доступу дайте командуи через несколько часов напишите результатКод: Выделить всё
enable flood_fdb
Код: Выделить всё
show flood_fdb
Value VLAN ID MAC Address Time Stamp
------ ------- ------------------- ----------
1480 1 28-10-7B-BC-A8-DA * 398101
1480 1 6C-3B-6B-C6-0F-DF 398101
6391 1 00-13-49-E7-B8-26 * 398097
6391 1 6C-3B-6B-CE-9A-A0 398097
6589 1 68-72-51-4A-2F-D4 * 398098
6589 1 6C-3B-6B-3B-96-9F 398098
Большое спасибо!
те мак адреса что не помечены звездочкой, как раз и есть те абоненты.
Немного начинаю разбираться.
Что посоветуете?!
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
Во первый почитать о коллизии хэш-функции в оборудовании DLink.
Варианты решения:
1.Уменьшить размер броадкаст домена. Сегментация сети.
2.Отключить изучения MAC-адресов на коммутаторе, включить сегментацию трафика.
3.Вынести проблемные коммутаторы из транзита на доступ, заменив на оборудование не подверженное данной проблеме.
Варианты решения:
1.Уменьшить размер броадкаст домена. Сегментация сети.
2.Отключить изучения MAC-адресов на коммутаторе, включить сегментацию трафика.
3.Вынести проблемные коммутаторы из транзита на доступ, заменив на оборудование не подверженное данной проблеме.
-
- Сообщения: 6
- Зарегистрирован: 21 янв 2018, 16:27
kt72ru писал(а):Во первый почитать о коллизии хэш-функции в оборудовании DLink.
Варианты решения:
1.Уменьшить размер броадкаст домена. Сегментация сети.
2.Отключить изучения MAC-адресов на коммутаторе, включить сегментацию трафика.
3.Вынести проблемные коммутаторы из транзита на доступ, заменив на оборудование не подверженное данной проблеме.
Еще раз спасибо. Почитали, разобрались.
Только начали строить сети, и вот первые проблемы, с большим кол-вом абонентов.
Склоняемся к третьему варианту, и в ядро поставить какую нибудь более качественную железку.
Если мы на два этих участка прокинем отдельные виланы до сервера доступа, нас спасёт это?
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
tnega писал(а):Склоняемся к третьему варианту, и в ядро поставить какую нибудь более качественную железку.
правильное решение, также желательна сегментация сети.
tnega писал(а): Если мы на два этих участка прокинем отдельные виланы до сервера доступа, нас спасёт это?
на какое то время спасет.
-
- Сообщения: 6
- Зарегистрирован: 21 янв 2018, 16:27
Подниму тему, казалось бы, опять на новом участке заметил странный трафик.
Повторюсь. Сеть пока в одном единственном VLAN 1.
Абсолютно на всех коммутаторах включена изоляция трафика на оди наплинк порт к серверу доступа, не один абонент не видит друг друга.
Устройство DIsc Lite 5 настроено в режиме бриджа, делаю снифинг трафика на нем и вижу трафик от LHG5 такого вида:
LHG5 настроен в режиме роутера и имеет ип адрес 10.20.4.189
Включал на DES-3028 enable flood_fdb, смотрел таблицу - пустая.
LHG5 находится в одном из самых маленьких так скажем участком сети, там где-то в районе 30 абонентов, если не меньше.
Есть другие участки где сидят по 100 юзеров и больше - проблем нет.
Что посоветуете?
Карта:
Повторюсь. Сеть пока в одном единственном VLAN 1.
Абсолютно на всех коммутаторах включена изоляция трафика на оди наплинк порт к серверу доступа, не один абонент не видит друг друга.
Устройство DIsc Lite 5 настроено в режиме бриджа, делаю снифинг трафика на нем и вижу трафик от LHG5 такого вида:
LHG5 настроен в режиме роутера и имеет ип адрес 10.20.4.189
Включал на DES-3028 enable flood_fdb, смотрел таблицу - пустая.
LHG5 находится в одном из самых маленьких так скажем участком сети, там где-то в районе 30 абонентов, если не меньше.
Есть другие участки где сидят по 100 юзеров и больше - проблем нет.
Что посоветуете?
Карта: