Почему происходят фризы локальной сети?

Question

[Валерий]

Всем привет! Вводные данные:

1. Здание - 4 этажа, 24 ПК, 8 Касс (ККТ Атол 30ф + Verifone VX520)
   
2. Есть роутер Mikrotik RB4011iGS + 5HacQ2HnD, на нем поднята VPN L2TP
   
3. Есть два D-Link DGS-1210-52 - коммутируют связь по всему зданию
   
4. Три подсети 192.168.0.0/24 - телефония, 192.168.1.0/24 - ПК, 192.168.2.0/24 - Видеонаблюдение
   
5. 8 "серверов" из них: только 2 на серверном железе, 2 ESXi с виртулками, 2 сервера терминалов (Win Server 2008 R2)
   
6. АТС на виртуалке FreePBX 15
   
7. 2 GSM шлюза: GoIP8 и 4
   

Теперь сам вопрос знатокам:
Периодически ни с того ни с сего начинает жутко лагать сеть:

1. Лагать начинает эквайринг (ошибка Z3),
   
2. Два сервера терминалов, потом начинают лагать ККТ
   
3. Падает скорость в самой сети.
   

Через 2-3 дня проблема пропадает, и чаще всего пропадает до следующего месяца или на 2-3 недели.
Количество работающих ПК и сотрудников - неизменна. Нагрузка одинаковая +/- 10%.
По мониторингу портов - особой жести не обнаружено.

На данный момент еще не сделаны VLAN ибо надо до разделить подсети физически на этажах (на этажах стоят неуправляемые коммутаторы).

Comments

[АртемЪ]

Возможно где-то банальная петля?
В D-Link этой модели вроде должна быть защита от петель? Она включена?
Может где зеркалирование портов включено.
В общем я бы внимательно просмотрел настройки коммутаторов для начала.

[Валерий]

В D-Link этой модели вроде должна быть защита от петель? Она включена?

Включена, проверяли отсутствует. Есть идея что предыдущие сисы на этажах, где неуправляемые свичи, сделали петлю. НО тогда почему то все ок, то все падает и буквально несколько дней.

В общем я бы внимательно просмотрел настройки коммутаторов для начала.

Они в дефолте, за исключением SNMP

[Дмитрий]

Проблема самоустраняется или только после каких-то действий? Что-то в логах сетевого оборудования есть? Loopback detection и storm/broadcast control включите на длинках (лучше только на клиентских портах). Также можно на всякий случай попробовать включить RSTP на свичах, а также на бриджах микротиков, порты которых включены в локальную сеть. Правда, насколько я помню, на некоторых моделях D-Link STP и loopback detection не работают одновременно.
Ну и попробуйте поднять какой-то сервис, который мониторит свичи по SNMP. Если будут графики с трафиком/пакетами/ошибками по всем портам, то даже без явных алертов в логах оборудования будет проще понять, что происходит.

Answer 1

[kolossradosskiy]

Без анализа трафика wireshark'ом только гадать. Ставлю на красное у длинка какой-то порт начинает спонтанно флудить и кладет сеть.

Comments

[Талян]

Кстати да! У меня на прошлой работе куча D-Link'ов валялось. Я им всем на морде написал маркером "STORM GENERATOR". Маки, трафик ходит. Прям жизнь бьет ключом) Правда ни одного патчика в коммутатор не воткнуто))

Answer 2

[Dimonchik]

Здание - 4 этажа, 24 ПК, 8 Касс (ККТ Атол 30ф + Verifone VX520)
Есть роутер Mikrotik RB4011iGS + 5HacQ2HnD, на нем поднята VPN L2TP
Есть два D-Link DGS-1210-52 - коммутируют связь по всему зданию
Три подсети 192.168.0.0/24 - телефония, 192.168.1.0/24 - ПК, 192.168.2.0/24 - Видеонаблюдение
8 "серверов" из них: только 2 на серверном железе, 2 ESXi с виртулками, 2 сервера терминалов (Win Server 2008 R2)
АТС на виртуалке FreePBX 15
2 GSM шлюза: GoIP8 и 4

это все неинтересно

По мониторингу портов - особой жести не обнаружено.

и это тоже, ну разве что спасибо что указал квалификацию

начинаешь отсюда:
https://www.dlink.ru/ru/faq/59/257.html
https://wiki.merionet.ru/seti/4/vysokaya-zagruzka-...

в коммутаторах есть процессор

очень хорошо это видно на коммутаторе с охлаждающим вентилятором и qBittorent клиенте на хосте (он не упирается в дисковые типа ограничения) - при 100 +- активных торрентах вентилятор орет как резанный

мониторишь, находишь пики, отслеживаешь (отключаешь порты) источник, разбираешься с источником

Answer 3

[Талян]

На данный момент еще не сделаны VLAN

Сделайте в первую очередь.

Я бы сделал так:
Пустил на свой порт все вланы (ну раз у вас их нет, то зачем тогда вообще управляемый коммутатор вам нужен?)
У себя на компе tcpdump'ом или wireshark'ом смотрел на подозрительный траффик. Обычно кто-то бушует в одном влане, но раз у вас нет разделения - страдают все.

Я больше всего грешу на видеонаблюдение.

Comments

[Валерий]

До VLAN просто пока не добрался))) Не так давно работаю в организации =) Просто думаю надо сначала на этажах развести сети, а потом VLAN делать, а на живом предприятии без остановки процессов эт сделать немного сложно

Answer 4

[AntHTML]

Я бы в первую очередь, до VLANов, по возможности, разнес кассы и видеонаблюдение на разные физические сети (свичи), чтобы они объединялись только аплинками уже на микротике. Т.к. это критичные к реалтайму системы и чем проще организованы тем гораздо лучше. ну либо в отдельные access vlanы на одном свиче.
Потом бы уже смотрел где в комповских сетях лаги

Answer 5

[Алексей Черемисин]

1) Чем быстрее разобьете на VLAN, тем будет проще.
2) Сразу сделайте dhcp-snooping, чтобы избавиться от левых ip-адресов, левых DHCP-серверов и прочих проблем с левой адресацией.
3) блокируйте multicast или хотя-бы его ограничте.
4) установите нормальный DCHP-сервер
5) Используйте arpwatch, arpalert или arpon для анализа подмен ip-адресов
6) радикально - настройте авторизацию по 802.1x

Answer 6

[Олег Волков]

Перегревается какой-то свитч.

Answer 7

[Алексей]

На практике встречалась проблема "нет интернета". Это как видят пользователи. Позвали разобраться, но до этого люди купили Mikrotik hEXs + CRS326 (до того у них стояла гирлянда неуправляемых свитчей). Так вот, после настройки всего этого хозяйства, первым делом разбили сеть на 3 vlan, разделив отделы и ограничив скорости при помощи Queues. Достаточно быстро выявился виновник - забытый в закрытой комнате D-Link DSL-500T на котором был DHCP сервер смотрящий в один из vlan.
Часто помогает в поиске (если это возможно в ваших условиях) - отключение разных сегментов сети, чтобы понимать откуда источник проблемы. Но обычно это очень легко, когда все коммутаторы управляемы, когда нет - физическое отключение аплинка на некую подсеть.
А вообще же, коллеги всё уже расписали выше.