Поиск колец

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
sfox
мл. сержант
Сообщения: 71
Зарегистрирован: 2008-12-16 17:28:01
Откуда: http://camenda.com
Контактная информация:

Поиск колец

Непрочитанное сообщение sfox » 2011-02-25 14:14:54

Есть сеть построеная на комутаторах cisco 3500 и длинках 3028. Сеть поделена по вланам. И казалось бы, все работает замечательно, но вот возникает кольцо. Вот тут то и начинаются грабли. На данный момент проблема решается выключением сегментов сети(метод половинного деления? :smile: ) и отключением всех вланов кроме управляющего в тот или иной сегмент, до тех пор, пока не будет локализован виновник. Однако, это слишком долгий, накладный способ поиска кольца и мне кажется не профессиональный способ поиска проблемы.
Есть ли более оптимальные способы диагностики и поиска? Как вы боретесь с подобным?
Запомни главное, добрый молодец, - сказала Баба Яга, - В секции инициализации, помимо заполнения рабочего вектора, следует также установить обработчик мультиплексного прерывания!
Prama Media. Лисярам - скидки

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

blade_007
ст. прапорщик
Сообщения: 571
Зарегистрирован: 2010-03-12 12:59:08
Контактная информация:

Re: Поиск колец

Непрочитанное сообщение blade_007 » 2011-02-25 14:26:25

spanning-tree вам поможет

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Поиск колец

Непрочитанное сообщение hizel » 2011-02-25 14:27:37

и portfast на всех портах отлючить
если много вланов то выбирайте mst
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
sfox
мл. сержант
Сообщения: 71
Зарегистрирован: 2008-12-16 17:28:01
Откуда: http://camenda.com
Контактная информация:

Re: Поиск колец

Непрочитанное сообщение sfox » 2011-02-25 14:41:36

в перемешку стоят 3028, а у тех только rstp :(
portfast на клиентских портах включен, и форвард bpdu разрешен только на магистралях, т.к. задолбали клиентские роутеры дерево перестраивать.
еще есть трабла с тем(как мне кажется, из-за разношерстности девайсов), что от малейшего чиха, дерево перестраивается, а длинки блокируют приходящую магистраль.
Запомни главное, добрый молодец, - сказала Баба Яга, - В секции инициализации, помимо заполнения рабочего вектора, следует также установить обработчик мультиплексного прерывания!
Prama Media. Лисярам - скидки

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Поиск колец

Непрочитанное сообщение hizel » 2011-02-25 15:06:10

кольца это не только резервирование, но и много-много сэкса и "удовольствия" :-)

кстати 3028 написано:
802.1s Multiple Spanning Tree
держит
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
sfox
мл. сержант
Сообщения: 71
Зарегистрирован: 2008-12-16 17:28:01
Откуда: http://camenda.com
Контактная информация:

Re: Поиск колец

Непрочитанное сообщение sfox » 2011-02-25 15:12:57

hizel писал(а):кольца это не только резервирование, но и много-много сэкса и "удовольствия" :-)
о, да)
hizel писал(а): кстати 3028 написано:
hizel писал(а):802.1s Multiple Spanning Tree
держит
безсовестно врут. даже с новой прошивкой только STP Compatible(не работает в купе с кошкой) и RSTP
Запомни главное, добрый молодец, - сказала Баба Яга, - В секции инициализации, помимо заполнения рабочего вектора, следует также установить обработчик мультиплексного прерывания!
Prama Media. Лисярам - скидки

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Поиск колец

Непрочитанное сообщение hizel » 2011-02-25 15:24:50

на форуме их спросить, у них есть практика выдачи свежих(часто с исправленными ошибками) прошивок по запросу
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
lolwut
мл. сержант
Сообщения: 123
Зарегистрирован: 2010-01-26 4:39:23

Re: Поиск колец

Непрочитанное сообщение lolwut » 2011-03-07 19:33:58

sfox писал(а):возникает кольцо
подразумевается наличие колец == надо юзать STP
как уже выше и было сказано
sfox писал(а):Есть ли более оптимальные способы диагностики и поиска?
оптимальнее нет, т.к. STP в свичах аппаратно реализован ;)
sfox писал(а):Как вы боретесь с подобным?
никак ;) настроил и забыл ...
на 3028 так:

Код: Выделить всё

config stp ports 1-24 edge true restricted_role true restricted_tcn true state enable
config stp version rstp
enable stp
попутно, до кучи

Код: Выделить всё

config loopdetect ports 1-24 state enable
enable loopdetect

berserkdeep
рядовой
Сообщения: 24
Зарегистрирован: 2008-03-21 13:08:01
Контактная информация:

Re: Поиск колец

Непрочитанное сообщение berserkdeep » 2011-03-10 6:52:37

STP надо отключать только на стыке с конечным клиентом и другими сетями, лупдетектед обязателен

Отключить stp на свитчах уровнем пониже Cisco т.к. Zyxel, D-link, Alied Telesyn можно.

Делается это просто, достаточно забанить мак для вещательной рассылки STP - 01:80:c2:00:00:00

но опять же лупдетектед нужен и стп на выше стоящем свиче обязателен.
мой игровой портал www.paynd.ru

Аватара пользователя
lolwut
мл. сержант
Сообщения: 123
Зарегистрирован: 2010-01-26 4:39:23

Re: Поиск колец

Непрочитанное сообщение lolwut » 2011-03-10 15:57:42

berserkdeep писал(а):STP надо отключать только на стыке с конечным клиентом и другими сетями
нет! как раз таки STP _надо_ включать для конечного клиента, т.к. оный клиент, подключенный, допустим, в порт 1, может купить мыльницу, в которую воткнуть как Ваш кабель, так и кабель своего соседа, который, по "счастливой" случайности, подключен к Вашему же свичу в порт, допустим, 2 и тоже воткнул Ваш кабель в мыльницу ... усе! привет петля ;)
просто STP надо по умному включать - так чтобы клиент никогда не смог стать root (пример см. выше)

P.S. именно включение STP для клиентов позволяет моей сети, в которой есть места где есть неконтролируемая, создаваемая пользователями локалка (они сами там ставят мыльницы и тянут между собой кабеля), жить спокойно

berserkdeep
рядовой
Сообщения: 24
Зарегистрирован: 2008-03-21 13:08:01
Контактная информация:

Re: Поиск колец

Непрочитанное сообщение berserkdeep » 2011-03-10 16:22:24

lolwut писал(а):
berserkdeep писал(а):STP надо отключать только на стыке с конечным клиентом и другими сетями
нет! как раз таки STP _надо_ включать для конечного клиента, т.к. оный клиент, подключенный, допустим, в порт 1, может купить мыльницу, в которую воткнуть как Ваш кабель, так и кабель своего соседа, который, по "счастливой" случайности, подключен к Вашему же свичу в порт, допустим, 2 и тоже воткнул Ваш кабель в мыльницу ... усе! привет петля ;)
просто STP надо по умному включать - так чтобы клиент никогда не смог стать root (пример см. выше)

P.S. именно включение STP для клиентов позволяет моей сети, в которой есть места где есть неконтролируемая, создаваемая пользователями локалка (они сами там ставят мыльницы и тянут между собой кабеля), жить спокойно
ну так для защиты от кольца, от мыльницы есть защита лупдетектед, а вот как ты защитишься если клиент воткнет каталист у которого стп по дефолту включено и приоритет рут свитча у него такой же... твоя сеть начнет постоянно перестраивать стп и в лог будет вываливаться всякая ересь... аномалии не объяснимые начинают появляться... защита от вражеского стп только фильтрация бпду... ну или просвяти как это у тебя работать нормально будет еслив физической сети у тебя появляются одинаковые корневые свитчи, думаешь между вами трафик будет ходить?
мой игровой портал www.paynd.ru

Аватара пользователя
lolwut
мл. сержант
Сообщения: 123
Зарегистрирован: 2010-01-26 4:39:23

Re: Поиск колец

Непрочитанное сообщение lolwut » 2011-03-10 17:00:23

berserkdeep писал(а):ну так для защиты от кольца, от мыльницы есть защита лупдетектед
нет!
лупдетект защищает от петли в рамках _одного_ порта - втыкаем мыльницу в свич, соединяем на ней любые 2 порта патчкордом - смотрим как работает лупдетект
STP защищает от петли в рамках разных портов - втыкаем мыльницу в 2 порта нашего свича, ну или одну мыльницу в свич в порт 1, другую в порт 2, соединяем мыльницы - смотрим как работает STP
berserkdeep писал(а):как ты защитишься если клиент воткнет каталист у которого стп по дефолту включено и приоритет рут свитча у него такой же
см выше
berserkdeep писал(а):твоя сеть начнет постоянно перестраивать стп и в лог будет вываливаться всякая ересь
у меня такого нет - ЧЯДНТ?
berserkdeep писал(а):аномалии не объяснимые начинают появляться
в этом топике - уже :)
berserkdeep писал(а):защита от вражеского стп только фильтрация бпду
да
berserkdeep писал(а):как это у тебя работать нормально будет еслив физической сети у тебя появляются одинаковые корневые свитчи, думаешь между вами трафик будет ходить?
в моей сети один корневой коммутатор - мой и никто другой не может стать корнем моего дерева!


P.S.
это

Код: Выделить всё

config stp ports 1-24 edge true restricted_role true restricted_tcn true state enable
подразумевает:
D-Link мануал писал(а): Edge
Выбор значения True в данном поле определяет порт как пограничный. Пограничный порт подключен к сегменту сети, на котором невозможно образование петли. Пограничный порт не должен принимать BPDU-пакеты. Если был принят BPDU-пакет, это приведёт к автоматической потере статуса пограничного порта. Выбор значения False означает, что порт не является пограничным портом.


Restricted Role
Этот параметр может принимать два значения: True и False. При выборе значения TRUE этот порт не будет корневым портом для CIST или других MSTI, даже если он будет обладать наименьшим приоритетом. Таким образом, порт становится альтернативным портом, который будет выбираться всегда после корневого порта. По умолчанию этот параметр установлен как FALSE. Выбор True может привести к потере связности покрывающего дерева. Это позволяет избежать влияния внешних мостов на активную топологию покрывающего дерева, поскольку данные мосты не находятся под управлением сетевого администратора.


Restricted Tcn
Возможно два значения этого поля: True и False. При выборе значения TRUE полученные с этого порта уведомления (topology change notifications и topology change) не будут распространяться на другие порты. Этот параметр установлен в значение FALSE, по умолчанию. При установленной опции False может временно теряться связность из-за некорректных пакетов изменения топологии (topology change), полученных с клиентских портов.

berserkdeep
рядовой
Сообщения: 24
Зарегистрирован: 2008-03-21 13:08:01
Контактная информация:

Re: Поиск колец

Непрочитанное сообщение berserkdeep » 2011-03-10 19:20:58

D-Link мануал писал(а): Edge
Выбор значения True в данном поле определяет порт как пограничный. Пограничный порт подключен к сегменту сети, на котором невозможно образование петли. Пограничный порт не должен принимать BPDU-пакеты. Если был принят BPDU-пакет, это приведёт к автоматической потере статуса пограничного порта. Выбор значения False означает, что порт не является пограничным портом
ну что и требовалось доказать... я тебе про фильтр бпду и грил и как его забанить без фитч комутаторов 3 уровня...

опять же ты мне говоришь всего лишь о своих длинках, а я речь веду о железяках в массе =)... и то что у длинк лупдетектед работает через жопу не значит что оно везде так
мой игровой портал www.paynd.ru