Периодически появляется шторм в VLAN, где используется IP телефония?

Question

[torum]

Появляется шторм в VLAN сегменте.
1) Есть сервер asterisk с статическим ip адресом, который смотрит в VLAN
2) Все телефоны тоже в VLAN 4
3) Коммутаторы D-Link
4) В разное время появляется множество запросов ARP
5) Так же в разное время появляются UDP запросы на регистрацию со стороны телефонов в сторону сервера, которые не обрабатываются сервером asterik

При этом до перехода в VLAN все работало отлично.
Возможно что такие пакеты обрабатывал Firewall (отбрасывал пакеты).
Пытался отключать ARP запросы на стороне сервера. ifconfig eth0 -arp, после этого грузил с файла, где прописаны IP адреса телефонов и MAC адрес - как результат все телефоны "отключились" - вернул все обратно.
Прописывал в iptables limit 60/minutes количества запросов udp на порт 5060 - не помогло.
Вывел несколько телефонов из VLAN и подключил к asterisk - работают без проблем.
Так же работают без проблем софтофоны.
Некоторые телефоны стоят в разрыв с компьютерами - когда "падает" (storm) сеть в VLAN - "глючат" так же и компьютеры.

В чем может быть проблема.

Некоторые изменения:
1) Настроил 2-ой астериск и связал с 1-ым.
2) Во 2-ой астериск перекинул большую часть телефонов и убрал VLAN.
3) В 1-ом астериске осталось 5 телефонов - проблем нет.
4) Во 2-ом астериске 20 телефонов - продолжаются лаги.
5) Проверка на петли результатов не дала - все нормально.
6) Таблица MAC адресов на основном коммутаторе обновляется нормально - проблем тоже не видно. Все телефоны видны и IP адреса соответствую таблице MAC адресам и портам.
7) Проверка конфигурации телефонов тоже ничего не дала.

Итог:
Бэкап не дал решения проблемы.
Пока на ум приходит единственное что еще не проверялось:
- Убрать настройки автоконфигурации телефонов по tftp - не очевидное решение - но это единственное что поменялось как раз в тот момент когда начались проблемы.

Решение:
1) Был настроен DHCP сервер
2) На всякий случай DNS сервер
3) Отключен на IP телефонах Keep Alive
4) Сброшены были настройки Asterisk
В итоге:
Шторм прекратился.

Comments

[Viktor]

а такой налет загадочности что нельзя сказать модель телефона ? сразу и прошивку скажите чтоб 2 раза не вставать

[torum]

Модель fanvil c58P, последняя прошивка с офф. сайта - 2c12V2_3_769_392T20150407181629

Answer 1

[torum]

Решение:
1) Был настроен DHCP сервер
2) На всякий случай DNS сервер
3) Отключен на IP телефонах Keep Alive
4) Сброшены были настройки Asterisk
В итоге:
Шторм прекратился.

Answer 2

[throughtheether]

4) В разное время появляется множество запросов ARP

Запросы исходят от одного устройства или от разных? Какова примерная интенсивность? Пики такого трафика наблюдаются в произвольные или периодически повторяющиеся моменты времени?

При этом до перехода в VLAN все работало отлично.

До перехода в VLAN - это как? Как была организована сеть? Один L2-домен на все устройства? Какие изменения вносились при "переходе во VLAN"?

Пытался отключать ARP запросы на стороне сервера. ifconfig eth0 -arp, после этого грузил с файла, где прописаны IP адреса телефонов и MAC адрес - как результат все телефоны "отключились" - вернул все обратно.

Телефоны у вас имеют прописанные вручную IP-адреса или получают их автоматически?

Появляется шторм в VLAN сегменте.

Какова интенсивность трафика? Кроме ARP-запросов и UDP-пакетов имеются ли другие значительные компоненты трафика?

Другие рекомендации и замечания:
1) организуйте мониторинг оборудования, если, конечно, не хотите в будущем тратить по нескольку суток на траблшутинг подобных проблем
2) на коммутаторах ограничьте уровень широковещательного (broadcast) и многоадресного (multicast) трафика на пользовательских портах (к которым подключены ПК или телефоны). Функциональность называется "storm control".
3) возможно, в сети временно возникает L2-петля. Из подозреваемых: аппаратные VoIP-телефоны со встроенным коммутатором, клиентские ПК (в случае включения двумя кабелями), WiFi-точки доступа (одновременный бриджинг на точке доступа и на ПК, одновременный бриджинг на двух точках доступа при неправильной настройке)

UPD:
Возникли вопросы по предоставленным вами материалам.
По топологии (ссылка).
1) Горизонтальные линки между коммутаторами (обведены от руки красным цветом) - они действительно присутствуют или это небрежность при составлении топологии?
2) Красной прямоугольной рамкой обведены дублирующиеся адреса - это неточность? Проверьте, нет ли дублирующихся адресов из числа задаваемых вручную.
3) в топологии вы указали центральный коммутатор как DGS-3120. При этом предоставили скриншот настроек некоего DES-3200. Как они соотносятся? В целом, предоставленная вами топология порождает вопросов больше, чем ответов. Если есть возможность, просьба ее переделать в более приемлемом виде (вам самим она может в дальнейшем пригодиться).

По дампам:
4) если есть возможность, просьба в будущем предоставлять дампы в виде .pcap-файлов, их удобнее обрабатывать.
5) по поводу SIP ничего не могу сказать, не специалист
6) по поводу ARP. Интенсивность трафика оценивается около 2000 pps, для ARP, на мой взгляд, это ненормально. Просьба проверить хост с адресом 192.168.20.11. Как именно он подключен? Через телефон? Какова модель телефона? Настройки телефона? К какой порт коммутатора подключен телефон, каковы его настройки? Есть ли в логах телефона или коммутатора коррелирующие с проблемой записи?

UPD2:

Выходил на работу и нашел кое-что интересное:
1. При "шторме" - на сервера Asterisk - проверка командой
arp -a
- не может "связать" некоторые* IP телефоны и MAC-адреса
2. В это же время как раз udp запросы по порту 5060 идут из этих телефонов.
3. Т.е. в какой то момент времени сервер не может понять где находится телефон, телефон пытается отправить запрос на сервак - а сервак не может ответить ему, т.к. не знает где он находится. В итоге получается Шторм.

Логично, что ARP-ответы телефон генерирует в ответ на ARP-запрос, который шлет сервер из-за того, что, например, запись в arp-таблице устарела.
Пара новых идей:
7) вы можете увеличить время жизни arp-записи на сервере, это, предположительно, снизит частоту проявления проблемы. Но имейте в виду, что это значение должно быть меньше времени жизни записи в таблице MAC-адресов коммутатора.
8) кстати, вполне возможно, что на коммутаторе запись с MAC-адресом сервера устаревает, и поэтому фреймы, адресуемые ему, шлются во все порты коммутатора, в том числе в те, которые участвуют в флуктуирующей петле. Проверьте настройки и логи коммутатора, ближайшего к серверу
9) маловероятно, что это является причиной проблемы, но проверьте настройки каждого транка с обеих сторон. В редких случаях (бриджинг разных вланов + коллизии в D-link) это, думаю, может приводить к образованию петель.

Пока, не имея доступа к сети, какие-то дополнительные рекомендации (кроме общих - поискать петлю, проверить все устройства на пути от телефона до сервера) дать трудно.

Comments

[torum]

1) От разных коммутаторов. Телефоны подключены к разным маршрутизаторам в разных точках. В любое время запросы ARP. Бывает пройдут запросы и нормально, бывают начинаются и не заканчиваются до перезагрузки коммутатора.

2) До перехода в VLAN:
Два интерфейса - один в сторону роутера (напрамую к интернет соединению). Второй - в сеть - в разрыв был firewall - открыты были необходимые порты.
Имеются множество управляемых коммутаторов D-Link l2 и l3 уровня, объединенные по оптике.
Телефоны получают конфигурационные файлы по tftp.
IP по статике (пример):
IP addr: 192.168.8.150 - из той же сети что и компьютерное оборудование
Mask: 255.255.255.0
Gateway: 192.168.8.99 - общий шлюз!!!
DNS: 192.168.8.1 - общий DNS!!!

Стало (VLAN):
IP addr: 192.168.20.150
Mask: 255.255.255.0
Gateway: 192.168.20.1- IP адрес Asterisk
DNS: 192.168.20.1 - IP адрес Asterisk

3) IP адреса на данный момент прописаны вручную.

4) Проверка производилась Wireshark. Ходят только ARP и UDP пакеты.
При шторме - интенсивные запросы ARP и UDP по 5060

[torum]

Подробнее опишу как приду на работу. Спасибо.

[throughtheether]

torum: >Подробнее опишу как приду на работу.
Хорошо.
Задавая этот вопрос
>Запросы исходят от одного устройства или от разных?
я хотел узнать, какие устройства посылают ARP-запросы (L3-коммутаторы, маршрутизаторы, клиентские ПК, телефоны)? Проверить можно по MAC-адресам источника.

>От разных коммутаторов.
>Телефоны подключены к разным маршрутизаторам в разных точках.
Если возможно, топологию сети набросайте.

[Maksim]

torum: мне просто интересно почему у вас основной шлюз и ДНС указан Астериск?

[torum]

Скрины:
1. Asterisk
https://yadi.sk/d/gkOoDVnpmfX5q
2. D-Link
https://yadi.sk/i/oEvlbfdQmfXN6
3. Топология
https://yadi.sk/i/NfVJ_qqkmfYHF

1) ARP запрос посылают телефоны
2) UDP запросы тоже посылают телефону
3) С Asterisk все телефоны пингуются, как и обратно.
4) Шлюз и ДНС указаны в телефоны, потому что без них не сохраняет конфиг.
Шлюхы менял, ДНС тоже.. смысла нету
5) Ставил в разрыв между Asterisk и телефонами обычный роутер. Пытался не пропускать большое количество пакетов - не помогло.

[throughtheether]

torum: принял, ответить планирую в течение недели

[throughtheether]

torum: обновил ответ, просьба ответить по пунктам.

[torum]

1) Да Вы правильно сказали - это неточность рисунка. Моя ошибка.
2) Схема примерная, т.к. все данные у сис. админа, я же работаю по другим вопросам.
3) Выходил на работу и нашел кое-что интересное:
1. При "шторме" - на сервера Asterisk - проверка командой arp -a - не может "связать" некоторые* IP телефоны и MAC-адреса
2. В это же время как раз udp запросы по порту 5060 идут из этих телефонов.
3. Т.е. в какой то момент времени сервер не может понять где находится телефон, телефон пытается отправить запрос на сервак - а сервак не может ответить ему, т.к. не знает где он находится. В итоге получается Шторм.

Answer 3

[Ref]

3) Коммутаторы D-Link
Посмотрите сколько памяти на порт, вполне возможно просто не хватает.