имеется организация, порядка 150 компьютеров, один сервер без ad, dc и прочего, крутится там 1с. В организацию заходит оптика, стоит какой-то модем от Ростелекома, после него стоит Archer ax53, после него маршрутизатор tp-link t1600-28ts, от него идут всякие хабы а-ля d-link 1016, а от них уже на компьютеры по разным корпусам. Все было хорошо, но недавно компьютеры перестали получать IP адреса, если вписать руками то все работает. DHCP изначально был на ax53, потом поднимался на сервере, но некоторые компы хаотично то там, то сям не получали IP...
А те кто получал, после ухода в сон, после пробуждения могли начать перебирать IP адреса(в журнале
Невозможно привязать сервер к транспорту \Device\NetBT_Tcpip_{7DAF160B-848D-410B-AAE4-224374A678AD}, так как другой компьютер в сети имеет совпадающее имя. Запуск сервера невозможен). В некоторых компа IP вписаны вручную, но из пула, который DHCP не раздаёт. Сейчас DHCP поднят на коммутаторе, был включён rstp , по одному порту показал петлю, скинул этот этаж, перепроверил все, откинул лишние линки, переобжал где были обрывы, порт не блочится, но проблему не решилась, проблемы бывают везде, но конкретно на этом этаже где была петля, наверно самый проблемный этаж. Пробовал переустановить пару компьютеров с этого этажа, после переустановки компьютеры сразу получают IP и не происходит перебор IP адреса после отключения/включения сетевухи. Подскажите в какую сторону копать? Уже всю голову сломал...
А ещё периодически в логах коммутатора проскакивают "deleted all dynamic mac address" по всем портам, нигде не нашел описания, может кто знает с чем это связано?
Кто-то врубил свой роутер в вашу сеть и он раздает IP по DHCP. Обычно это всякие технические шныри, типа поддержки, сервис-центра и т.д. и т.п., которые специалисты в своем оборудовании, но профаны в сетях. Сеть у вас, надеюсь, не 192.168.0.0/24?
agpecam, есть еще один роутер вот там сегмент 192.168.0.0
Основной 192.168.1.0.
Я думал про второй DHCP, выключен свой, смотрел, но похоже, что кто-то еще раздаёт
Режим зануды:
1. Нанять амина / стать им.
2. Научится различать проблемы и не валить все в одну кучу.
3. Читать документацию по используемым технологиям.
По сути:
1. В одном сегменте сети должен быть только один DHCP сервер. В ограниченный случаях допустимо иметь несколько, но тогда они должны иметь непересекающиеся пулы адресов. Выключите все dhcp сервера, которые не планируете использовать.
Windows показывает какой dhcp сервер выдал ip адрес (ipconfig /all ) . Проверьте, совпадает ли это с вашими планами.
2. Пул адресов должен быть больше, чем число компьютеров, которые получают адрес по dhcp.
3. Если используются статические адреса, они не должны включаться в dhcp pool.
Проблема петель решается аудитом сети.
t1600-28ts это коммутатор, а не маршрутизатор.
Dlink 1016 —это неуправляемый коммутатор, а не hub.
Если нужны комментарии по сообщению из лога, приводите его полностью, включая несколько предыдущих сообщений и указывая модель оборудования.
1) в одном сегмента один dhcp, тоже думал, что возможно есть два dhcp, но нет. А так сегментов два, по одному dhcp в каждом сегменте. Там где IP получает компьютер адрес выдает мой dhcp.
2)адресов хватает, исключены только 20 адресов.
3) так и есть.
По поводу лога понял, буду на месте сделаю скрин.
По поводу аудита сети... с эти тут все сложно, черт ногу сломает, как тут все реализовано, сложно отследить где начало, где конец...
Спасибо за комментарий.
SunTechnik, да, переименовывал.
Конкретно брал компьютер, который не получает IP, переименовал, перезагрузил, но проблема не ушла, тут явно дело не в имени компьютера, хотя может где-то в реестре что-то остается по ip или по имени компьютера, или еще какая-то информация, которая перекликается с другим компьютером.
По поводу логов
Руслан,
Не чинится сеть по отрывочным сообщениям не имея топологии.
Если у Вас только один управляемый коммутатор, то включение stp не имеет смысла.
При неактивности порта, коммутатор будет очищать таблицу адресов на этом порту. Будет ли это попадать в лог - зависит от модели коммутатора и настройки уровня логирования.
Никто за Вас изучать документацию по Вашему оборудованию не будет..
Руслан, а для чего rstp включен? Это же для резервирования, для колец. Например, когда коммутаторы включены в кольцо и происходит разрыв кольца, то rstp должен обеспечить работу полученных веток.
Но вообще вся эта история тянет не на один вопрос. Тут нужен эксперт, который проанализирует, спроектирует, пересоединит и настроит.
Кроме того, совершенно необходимы меры административные, а именно: приказ по организации о запрете вмешательства в работу сети, установки нештатного оборудования, нештатного переключения любых режимов существующего оборудования, пересоединения, отключения и т.п. В приказе указать, что затраты на устранение нарушений будут взысканы с нарушителя путем депремирования и штрафов.
И показательно выпороть парочку неадекватов.
Руслан, потому что надо говно всякое выкидывать и ставить управляемые минимум гигпбитные коммуты. Пришел я на один завод в 2010м году а там полность неуправляемая сеть из 500 компов. Наелся там проблем пока не сделал почти всю сеть управляемой. Но так каа крупнейший производитель бытовой химии не мог выделить деньги этот процесс занял 2 года. Dhcp сервера в сети появлялись очень часто любой юзер принесший на работу свой роутер тут же засирал сеть пока его не поймаешь и не надаешь подзатыльников.
akulakgts, Против левых DHCP в сети, следует включить DHCP snooping на всех портах коммутаторов кроме аплинков. А вообще надо начать с наведения порядка, как в оборудовании, так и персонале.
DMITRIJS DROBISEVSKIS, Вы видимо не полностью прочитали коммент. Повторюсь "а там полность неуправляемая сеть ". Где мне надо было DHCP Snooping включить ? у себя дома ?
akulakgts,
...Фсё дАлжно работать, но денеХ нет и не будет - практически везде/всегда :(. по поводу dhcp - у меня масса случаев когда горе Шпециалисты лепили сеть беспечно и беззаботно, особенно любят оставлять включённым dhcp на точках доступа, было что какой-то энтузиаст решил поиграть в вебмастера на работе, заодно dhcp/dns на машине приподнял, вот тож намучился, пока нашёл (работа на аутсорсе в нерабочие для заказчика часы - проблем нет, рабочий день - проблем есть :))
akulakgts, Отчего же? Оставляем только один trusted порт к которому подключен аплинк с DHCP, все остальные порты делаем untrusted. Это спасет от левых DHCP (рутеров) бесконтрольно подключаемых клиентами.
DMITRIJS DROBISEVSKIS, не уверен. представим ситуацию что у ТС управляемый коммут где-то в центре сети, к нему подключен неуправляемый коммут где-то в другом здании, к нему подключен какой-нить хаб где-то на этаже, к которому подключен ещё неуправляемый коммутатор и ещё хаб. Вот на том конце кто-то воткнул дхцп сервер. и клиенты на том конце хапнули чужие адреса и у них "общий диск не видно" и интернет не работает.
Поможет ?
akulakgts, Тогда это не сеть а помойка. Клиенты должны быть подключены напрямую к портам коммутатора доступа, ибо он как раз предназначен для защиты ядра сети от внешних воздействий с их стороны. В противном случае любой клиент с лёгкостью может положить всю сеть.
имеется организация, порядка 150 компьютеров, один сервер без ad, dc и прочего
Такой организации впору называться "Бардак Инкорпорейтед". Потому что там бардак у вас.
Я не будут расписывать что нужно сделать на текущей "топологии" - потому что ее нужно сносить нахрен и строить так, как это делается всегда - модем от РТК в режим моста, арчер меняется на приличный роутер, который используют юрики, заводится домен, все компы в домен, dhcp на dc и прочие вещи - это должен делать админ, которого озадачат это сделать (и дадут соответствующий бюджет).
Ну и разумеется меры административные, которые необходимы после такого периода "безвластия" и которые уже описал Алан Гибизов
Руслан, Mikrotik RB4011. Младшие модели (3011, 2011) можно, если не будет VPN или не более 5 коннектов одновременно (особенно 2011, который при пяти коннектах уже встает в позу пьющего оленя). Но микротик - это как хороший походный нож - он спасет жизнь, но только при правильном применении...
Руслан, тут надо с другого конца подходить:
1. составляем список требований к оборудованию (тут нужен эксперт по сетям);
2. выбираем из наличия на рынке подходящие по требованиям;
3. выясняем их цены и стоимость дальнейшей поддержки, лицензирования и пр.
4. уточняем минусы того, что нашлось, с учетом выделенного бюджета на приобретение и ОБЯЗАТЕЛЬНО с учетом операционного бюджета на поддержку и эксплуатацию;
5. делаем осознанный выбор.
Почему я про эксплуатацию? Потому что можно купить классную, лучшую на рынке супержелезку, и потом удивленно смотреть на зарплаты редких экспертов по этой железке…
Юрий MikroTik, У меня вовсю пашет (и вот прям сейчас тоже) rb450g, которому лет десять почти что. Однажды слетала прошивка - восстановили, однажды бахнул кондер - перепаяли... И rb2011 стоечной версии работает, вот прям сейчас - и ничего...
Конечно, если в бюджете есть денех на rb3011 - его стоит взять, но у нас попадаются странные руководители...
CityCat4, я предлагаю сразу тс напугать сказав что в идеале надо сразу 2 роутера лучше в горячем резерве или в балансинге, а как минимум в холодном резерве
Юрий MikroTik, Приветствую! Извиняюсь за возможный офф-топ, так как вопрос не связан с прямым вопросом топикстартера, тем не менее, речь про выбор правильного маршрутизатора. Но, если стоить задать вопрос отдельно, скажите, сделаю.
У меня стоит эта железка - RB3011UiAS-RM. На вход - 3 провайдера (режим резервирования), на выход - 2 сети, где сеть1 это 50ПК + 3 точки в CAPsMAN с около 30 устройств, сеть2 - видеонаблюдение из 60камер высокого разрешения которые создают постоянный общий поток ~200мб/с. Помимо этого - 3 gre тоннеля, плюс l2tp+ipsec для удаленщиков/коммандировочников (бывает 1-2сессии, бывает 5-6).
Вопрос такой - достаточно этого аппарата или стоит присмотрется к чему-то мощнее, бо бывает периодически встает в позу и помогает только передергивание питалого. При этом, проц, более 25-30% нагрузки не видел. Ну и про скорость подключения по l2tp+ipsec - это боль, особенно если 5-6 сессий.
YgrecK, У rb3011 нет аппаратного шифрования, поэтому все соединения с IPSec шифруются на проце. Если постоянные подключения по удаленке - нужно брать что-то с аппаратным шифрованием - rb4011 или ccr (у нас например стоит ccr1016 - на десяток удаленщиков он даже не чихает)
CityCat4, Спасибо за ответ. CCR1016 у меня на старой работе стоял. Помню эту машинку. Там хоть удаленщиков не было, но 1500-2000 устройств в сети запросто тащил. Сейчас вот смотрю в сторону CCR2116-12G-4S+. Хотелось бы мнения знатоков.
Тут действительно нужно все вырывать с корнями и переделывать.
0. Нанять нормального админа
1. Нормальный роутер, хотя бы Микротик
2. Управляемые коммутаторы
3. Сеть разделить по vlan, настроить всякие спуффинги
4. По возможности сделать домен
Отчасти могу понять автора, когда бюджета не то что нет совсем, а иногда и отрицательный очень сложно что-то сделать, особенно без опыта, но тут да, нужно "вычёсывать" всё мелкой гребенкой. Выбрать отдел который самый важный, именно один и начать с него, остальных на флоппинет, собрать роутер из старых компов, если уж купить невозможно, подружиться с linux like и по отделу всё подключать.
Средний
