А вот это странно - наличие в кольце разных наборов VLANID на транковых портах. Если такое имеется, следует использовать не классический STP, который вообще-то не предназначен для мультивлановой сети, а что-то типа Per-VLAN Spanning Tree. У D-Link, которые у автора, вроде бы RSTP является Per-VLAN, но я сам этого не проверял...
Ну есть общие коммутаторы, там весь набор. А есть места где только видеокамеры, зачем там остальные вланы?
Ну и еще момент - у меня везде STP отключен вроде. Хотя на микротиках на транковом порту включен. И на центральном длинке глобально выключне, но по портам что-то есть. Видимо надо сетивика искать на аудит.
Akina, у меня просто на портах компы и сип телефоны. Вот и приходится один влан тегировать.
Но все-таки по тому что вы сказали - , BPDU получаешь на транк, на котором есть vlan, а включенным остается транк, на котором нужного vlan нет и всё, жди сходимость.
И обвели красным. Что будет если 10 untag воткнуть в порт где 1 untag? По идее просто не должно работать, нет? Почему вдруг к коммутатору сразу доступ теряется? И даже потом если убрать такое соединение и просто комп подключить. Мало того, и остальные коммутаторы в сети пропадать начинают.
mordo445, прошу прощения, я не сетевик, эникей простой. Можете объяснить простым языком что именно произошло и как от этого защититься? 1 untag настроен для компов. В 10 у меня камеры, как раз 1210-08p под них стоял и не скинули.
Ziptar, подправил картинку с вланами.
Сеть переделываю потихоньку, отдельный влан управления 40 сделал и все коммы туда перетаскиваю когда заняться не чем.
Akina, да на большом я знаю, там розетки подписаны. А вот то который втыкали - нет ничего уже, его отключали же, и потом подключались с ноута. Он только ноут и показывает.
Да вроде не используется маршрутизация на коммутаторах. Тем не менее, после включения длинк 1210-08p в сеть с дублированием адреса 192.168.40.254 сеть ложилась. Сначала росли задержки, потом пропадал доступ к 2.231, потом до других с трудом ходить трафик начинал. Даже после того как коммутатор выдернули, и воткнули в порт комп, сеть ложилась. Я прям провод держал в руках - выдергиваешь и все работает. Вставляешь устройство - сразу перестает ходить траффик в коммутаторе. Пробовал в этот порт комп, ip телефон. В итоге оставил выключенным.
Ну не может же порт глючить?
VoidVolker, вот и я думал обычный конфликт. Но по факту у меня сеть развалилась. Просто перестали ходить пакеты между коммутаторами. Пришлось по очереди вырубать порты на 192.168.2.248 пока не нашел, что при включении 192.168.2.231 сеть ложится через некоторое время. Отключил - включил, погасил порты кроме транка. Потом включая по одному обнаружил проблемный. На тот момент правда дублирующий комм уже отключили. Но сеть все равно ложилась. А почему - понять не могу.
AUser0, это не домены, это контроллеры домена.
Ну и я с линукса проверяю.
В общем я свою проблему решил - отключил на линуксом сервере dnssec и он стал форвардить виндовую зону.
Но странно что КД не отвечают dig с разных машин. А с некоторых отвечают.
alexalexes, Caution: Request is not finished yet!
Нажал еще раз обновить и появилось еще вот это:
Connection start:
Stalled 5.36ms
Initial connection 17.2 hours
Там нет сертификата, ошибка бы вылезла по https. А так просто очень долго крутится а потом перестает. Конкретно пример с апачем выдает Пользователю «unknown user@192.168.2.21» доступ запрещён.
И в логах апача запрос авторизации. Только хром этот запрос не показывает. А коммутаторы ничего не показывают. Крутят, крутят и перестают.
AUser0, да, вы правы, после увеличения лимитов ошибки пропали.
Вынесете ваш коммент с tcpdump в отдельный ответ чтобы я отметил? Или просто верхний ваш поставить решением?
AUser0, может до него не дошло. Вот в iptables обнаружил:
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
Кажется, низковаты лимиты. Не могло ли это повлиять?
С другой стороны, судя по датам изменения, устанавливались они 3 года назад. Работало же все до последнего времени.
И в логах апача ничего в это время нет. Ни ошибок, ни соединений. За 5 минут до этого времени есть, и через 2 минуты после. А в момент ошибки подключения - тишина.
Я не знаток tcpdump. К вашему фильтру я добавил and (src src_ip or dst src_ip)' чтобы отфильтровать только свои запросы. Еще перевел все в файл > tcp.dump
После чего нажал обновить страницу и дождался окошка с Хмм. Нам не удаётся найти этот сайт.
Ну есть общие коммутаторы, там весь набор. А есть места где только видеокамеры, зачем там остальные вланы?
Ну и еще момент - у меня везде STP отключен вроде. Хотя на микротиках на транковом порту включен. И на центральном длинке глобально выключне, но по портам что-то есть. Видимо надо сетивика искать на аудит.