Ответы пользователя по тегу Сетевое администрирование
  • Как включать питание (или выводить из спящего режима) на ПК путём WakeOnLAN или другим через интернет?

    @throughtheether
    human after all
    На этом устройстве, насколько я понял, можно запустить openWRT, а на openWRT можно писать разные скрипты, вроде такого. Вам остается поменять парсинг лога на какое-то взаимодействие с удаленным сервером (при помощи wget или curl).
    Ответ написан
  • Периодически появляется шторм в VLAN, где используется IP телефония?

    @throughtheether
    human after all
    4) В разное время появляется множество запросов ARP
    Запросы исходят от одного устройства или от разных? Какова примерная интенсивность? Пики такого трафика наблюдаются в произвольные или периодически повторяющиеся моменты времени?

    При этом до перехода в VLAN все работало отлично.
    До перехода в VLAN - это как? Как была организована сеть? Один L2-домен на все устройства? Какие изменения вносились при "переходе во VLAN"?

    Пытался отключать ARP запросы на стороне сервера. ifconfig eth0 -arp, после этого грузил с файла, где прописаны IP адреса телефонов и MAC адрес - как результат все телефоны "отключились" - вернул все обратно.
    Телефоны у вас имеют прописанные вручную IP-адреса или получают их автоматически?

    Появляется шторм в VLAN сегменте.
    Какова интенсивность трафика? Кроме ARP-запросов и UDP-пакетов имеются ли другие значительные компоненты трафика?

    Другие рекомендации и замечания:
    1) организуйте мониторинг оборудования, если, конечно, не хотите в будущем тратить по нескольку суток на траблшутинг подобных проблем
    2) на коммутаторах ограничьте уровень широковещательного (broadcast) и многоадресного (multicast) трафика на пользовательских портах (к которым подключены ПК или телефоны). Функциональность называется "storm control".
    3) возможно, в сети временно возникает L2-петля. Из подозреваемых: аппаратные VoIP-телефоны со встроенным коммутатором, клиентские ПК (в случае включения двумя кабелями), WiFi-точки доступа (одновременный бриджинг на точке доступа и на ПК, одновременный бриджинг на двух точках доступа при неправильной настройке)

    UPD:
    Возникли вопросы по предоставленным вами материалам.
    По топологии (ссылка).
    1) Горизонтальные линки между коммутаторами (обведены от руки красным цветом) - они действительно присутствуют или это небрежность при составлении топологии?
    2) Красной прямоугольной рамкой обведены дублирующиеся адреса - это неточность? Проверьте, нет ли дублирующихся адресов из числа задаваемых вручную.
    3) в топологии вы указали центральный коммутатор как DGS-3120. При этом предоставили скриншот настроек некоего DES-3200. Как они соотносятся? В целом, предоставленная вами топология порождает вопросов больше, чем ответов. Если есть возможность, просьба ее переделать в более приемлемом виде (вам самим она может в дальнейшем пригодиться).

    По дампам:
    4) если есть возможность, просьба в будущем предоставлять дампы в виде .pcap-файлов, их удобнее обрабатывать.
    5) по поводу SIP ничего не могу сказать, не специалист
    6) по поводу ARP. Интенсивность трафика оценивается около 2000 pps, для ARP, на мой взгляд, это ненормально. Просьба проверить хост с адресом 192.168.20.11. Как именно он подключен? Через телефон? Какова модель телефона? Настройки телефона? К какой порт коммутатора подключен телефон, каковы его настройки? Есть ли в логах телефона или коммутатора коррелирующие с проблемой записи?

    UPD2:
    Выходил на работу и нашел кое-что интересное:
    1. При "шторме" - на сервера Asterisk - проверка командой
    arp -a
    - не может "связать" некоторые* IP телефоны и MAC-адреса
    2. В это же время как раз udp запросы по порту 5060 идут из этих телефонов.
    3. Т.е. в какой то момент времени сервер не может понять где находится телефон, телефон пытается отправить запрос на сервак - а сервак не может ответить ему, т.к. не знает где он находится. В итоге получается Шторм.
    Логично, что ARP-ответы телефон генерирует в ответ на ARP-запрос, который шлет сервер из-за того, что, например, запись в arp-таблице устарела.
    Пара новых идей:
    7) вы можете увеличить время жизни arp-записи на сервере, это, предположительно, снизит частоту проявления проблемы. Но имейте в виду, что это значение должно быть меньше времени жизни записи в таблице MAC-адресов коммутатора.
    8) кстати, вполне возможно, что на коммутаторе запись с MAC-адресом сервера устаревает, и поэтому фреймы, адресуемые ему, шлются во все порты коммутатора, в том числе в те, которые участвуют в флуктуирующей петле. Проверьте настройки и логи коммутатора, ближайшего к серверу
    9) маловероятно, что это является причиной проблемы, но проверьте настройки каждого транка с обеих сторон. В редких случаях (бриджинг разных вланов + коллизии в D-link) это, думаю, может приводить к образованию петель.

    Пока, не имея доступа к сети, какие-то дополнительные рекомендации (кроме общих - поискать петлю, проверить все устройства на пути от телефона до сервера) дать трудно.
    Ответ написан
  • Выбор оборудования для локальной сети?

    @throughtheether
    human after all
    Я бы так решал вашу задачу.

    1. Порядка 20-30 IP камер + 2 регистратора.
    Все камеры вывести на отдельный коммутатор, туда же подключить NVR, от него L3-линк до офиса, чтобы удаленно на картинки смотреть. Все адреса прописать статически, без DHCP.

    2. Рабочая сеть (20-30 компьютеров + принтеры+ 1С и т.д)
    По коммутатору на этаж/отдел. DHCP только для пользовательских компьютеров. Использовать вланы.

    3. Рабочая сеть wifi
    4. Гостевая сеть wifi
    По wi-fi не специалист, мой комментарий вряд ли будет полезен. Единственное, под wi-fi выделил бы отдельные префиксы ("подсети"), т.е. не использовал бы бриджинг, если в этом нет необходимости.

    Стоит ли разворачивать dhcp на "железе" или воспользоваться win2012 для развертки dhcp?
    Думаю, вполне логично использовать DHCP на устройстве, играющем роль маршрутизатора по умолчанию для клиента. Естественно, необходимо корректно назначить IP-префиксы ("подсети"). Целесообразность наличия отдельного DHCP-сервера под вопросом.

    Также хотелось бы отметить пару моментов:
    1) сетевое оборудование питать через ИБП.
    2) отдельный сервер (возможно, виртуальный) под мониторинг всего (ИБП, сетевые устройства, состояние линков)
    3) Рано или поздно один из пользовательских ПК создаст L2-петлю (через wi-fi и ethernet в случае бриджевого режима работы wifi; неправильное включение IP-телефона со встроенным коммутатором и т.д.). Необходимо это предусмотреть.

    По поводу оборудования: непонятно, для чего нужны гигабитные линки в офисе. Возможно, потребуются гигабитные линки до серверов и NVR. Вместо новых D-link, если бюджет ограничен, я бы использовал б/у коммутаторы линеек catalyst 3560, 2960.
    Ответ написан
  • Как создать wi-fi mesh сеть операторского уровня?

    @throughtheether
    human after all
    Спасибо, что "призвали" в топик, выражу свое мнение.

    Вы привели ссылку
    Вот еще одна карта habrahabr.ru/company/cjdns/blog/198428/.

    Если честно, мне представляется, что эта ссылка не относится к вашей проблеме. Статья, доступная по ссылке, насколько понял, описывает некую одноранговую сеть на 3 выше уровнях модели OSI, грубо говоря, свой отдельный интернет, с отсутствием цензуры и криптоанархизмом. Вам, теоретически, могла бы пригодиться одноранговая сеть на уровнях 1-2 модели OSI, то есть сеть из Wi-Fi-трансиверов, предоставляющая обычную IP-связность и доступ в интернет.

    Однако, в вашем случае, при наличии соответствующей возможности, я бы выбрал кабельные решения (волокно до дома) и лишь в каких-то особых случаях использовал Wi-Fi. Беспроводные решения привносят довольно много потенциальных проблем, а в случае одноранговой (mesh) сети полезная пропускная способность будет делиться между абонентами, в результате итоговое преимущество такого подхода неясно.
    Ответ написан
  • Как работает данная конструкция локальной сети?

    @throughtheether
    human after all
    Для более полного понимания картины происходящего, укажите на схеме IP-адреса (уточните, где они заданы статически, где получаются при помощи DHCP) и vlan (если используются), возможно, будет понятнее. Правильно ли я понимаю, что на каждом из маршрутизаторов A, B, C, D настроен NAT между WAN и LAN-интерфейсами?

    Как работает данная конструкция локальной сети?
    Пока предполагаю, что примерно как в студенческом общежитии наутро после гулянки - кто раньше встал (ответил DHCP-сообщением), того и тапки (тот и NATирует пользовательский трафик).

    Однако с роутера В и С лан так же уходит в этот свитч, при этом если подключиться к ним напрямую, в их лан порты, то ip адрес я получаю от роутера А(он же и шлюз) и внешний айпишник его!
    Скорее всего, вы получаете IP-адрес и маршрут по умолчанию от маршрутизатора A.

    Но, самое интересное, если я отключаю роутер В, то на роутере D и оборудовании за ним, пропадает интернет, а сам роутер D имеет другой внешний ip адрес.
    Маршрутизатор D, скорее всего, получил IP-адрес для WAN-интерфейса и маршрут по умолчанию от маршрутизатора B. При его выключении он получает IP-адрес и маршрут от другого (A,C) маршрутизатора.
    пропадает интернет,
    Временно или совсем?

    Непонятно, какую задачу решал человек, создавший это. Если к маршрутизаторам A,B,C больше нет подключений, их функциональность можно совместить в одном устройстве.
    Ответ написан
  • Топология "Кольцо" или "TokenRing". Как настроить?

    @throughtheether
    human after all
    Судя по всему, подходит топология "Кольцо"
    В таком случае вам придется настраивать бриджинг между 10-гигабитными интерфейсами на каждой машине, и как-то кольцо разрывать (RSTP, например).

    или "TokenRing",
    Token ring - это отдельная технология ЛВС, с имеющимися у вас Ethernet-интерфейсами вы Token ring не построите. К тому же не помню, чтобы производительность Token ring была выше нескольких сотен мегабит/с.

    Поддерживаю предложение с IP-маршрутизацией между машинами, в этом случае вам придется на каждом ПК прописать по два маршрута (прямой и через другой ПК) до каждого из оставшихся. Кроме того, следует учесть, что результирующая производительность может зависеть от используемых сетевых интерфейсов и производительности каждой машины.

    UPD: вы можете уточнить пару моментов? Какова планируется загрузка 10-гигабитных интерфейсов (количество пакетов в секунду и средний размер пакета, если можно, или просто опишите трафик). Может ли внутренняя сеть быть полностью изолированной от внешней или необходим какой-то доступ снаружи? Планируете ли обрабатывать ситуацию, когда ПК работает, а интерфейс на нем неактивен по какой-либо причине (обрыв кабеля и т.д.)? Какая ОС используется на ПК, можно ли ее изменить на другую?
    Ответ написан
  • Ip-mac-port binding?

    @throughtheether
    human after all
    он работает только с кадрами и не оперирует ip пакетами?
    Любая модель в определенных условиях неверна, любая абстракция имеет "дыры", сквозь которые проглядывает реальность, данная в ощущениях. Это утверждение - пример такой модели.

    По вашему вопросу, никто не в состоянии запретить коммутатору анализировать полезную нагрузку (payload) фрейма, которой зачастую и является IP-пакет.
    Ответ написан
  • Какой модуль подходит для передачи данных на уровне Ethernet?

    @throughtheether
    human after all
    Можете scapy попробовать, но магии ожидать не стоит. И уточните решаемую задачу.
    Ответ написан
  • Почему теряются пакеты?

    @throughtheether
    human after all
    который жалуется на потерю пакетов
    Что это значит? Какие именно пакеты теряются, в чем это проявляется?

    Как я понял, адрес 81.22.218.1 использует маршрутизатор. Не надо ожидать от маршрутизатора ответа на 100% "пингов" (icmp- или udp- пакетов). У маршрутизатора может быть активна специальная фильтрация (control plane protection policy в cisco-мире), в некоторых случаях неотключаемая.
    Ответ написан
  • Как разделить витую пару на двухпортовую розетку?

    @throughtheether
    human after all
    Строители завели в кабинет один кабель. А нужно работать на двух ПК.
    Поставьте коммутатор.

    То, чем вы занимаетесь - интересно, остроумно, нестандартно, неподдерживаемо и обязательно в будущем аукнется вам или вашему "наследнику".
    Ответ написан
  • Каким образом отслеживать загрузку VLAN по SNMP на оборудовании CISCO?

    @throughtheether
    human after all
    Но у меня не получилось получить нужный OIDы для VLAN в Cisco 3750-2

    Попробуйте воспользоваться утилитой snmpwalk с OID 1.3.6.1.2.1.2.2.1.2. Если правильно помню, вы должны получить список имен интерфейсов, поищите там свои VLAN.

    Если говорить в общем, то решение вашей задачи очень сильно зависит от аппаратной специфики. Есть подозрение, что в соответствующих счетчиках 3750 учитывается только трафик на L3-интерфейс, относящийся к VLAN, а коммутируемый при помощи ASIC трафик не учитывается.
    Ответ написан
  • Почему нельзя расширить количество сетевых портов?

    @throughtheether
    human after all
    Высоконагруженные системы упираются в ограничение количества портов.
    Это вы про TCP порты? Не могли бы вы развить эту мысль? Я вас не вполне понимаю.

    IPv6 призван решить эту проблему поддерживая назначение серверу множества ip-адресов.
    А в случае IPv4, по-вашему, так сделать нельзя, то есть назначить серверу множество адресов?

    На мой взгляд, основную проблему в стеке TCP/IP представляет отсутствие внятного сеансового уровня (session layer в терминах ISO OSI). Поэтому каждый сервис/уровень по-своему категоризирует трафик по сессиям, например TCP по кортежу адресов и портов источника и назначения, HTTP по cookie и так далее. В IPv6 действительно есть релевантное этой проблеме нововведение в виде поля flow label, интересно, какие появятся варианты его практического применения.

    Ну и нельзя забывать о том, что сеть - это инфраструктура, а менять инфраструктуру, особенно развитую, долго и трудно.
    Ответ написан
  • Маршрут по умолчанию Cisco на два интерфейса?

    @throughtheether
    human after all
    Чем чревато добавлять маршруты по умолчанию на разные провайдеры с разной метрикой?
    Тем, что активен будет только один.

    Не пойму в чем может быть косяк?
    Уточните вопрос. Что пробовали, что наблюдается и что необходимо получить?

    Ну если один провайдер упал чтобы интернет работал.

    допустим так
    ip route 0.0.0.0 0.0.0.0 10.0.0.1
    ip route 0.0.0.0 0.0.0.0 10.0.0.2 50
    В данном случае, если правильно понимаю, устройства с адресами 10.0.0.1 и 10.0.0.2 доступны через один и тот же интерфейс. Скорее всего, топология такова: ваше устройство устройство подключено к коммутатору, к нему же подключены маршрутизаторы провайдеров .Это значит, если 10.0.0.1 перестанет работать (выключится), интерфейс не изменит своего состояния (останется в состоянии up/up), в отличие от схемы с выделенным интерфейсом на маршрутизатор. Скорее всего, маршрут до 10.0.0.1 останется в таблице маршрутизации и "переключения" маршрутов и трафика не произойдет. Чтобы скорректировать поведение, используйте ip sla tracking.
    Ответ написан
  • Будет ли работать такая сеть?

    @throughtheether
    human after all
    Одного 100мбит кабеля на всех мало, гигабит стоит в 10 раз дороже (без преувеличений, тут монополия у провайдера) и получается так, что оба нужно задействовать.
    Не понял, почему нельзя иметь подключение гигабитным портом с ограничением полосы до 200 мбит/с, например. Или они только за порт без полосы в 10 раз больше требуют?

    Схема с NAT (практический всегда - двойным) внутри локальной сети представляется яркой, неординарной, трудноподдерживаемой, излишне усложненной.

    и на каждом дочернем маршрутизаторе выключить NAT
    Да, если маршрутизаторы уровня офисных-домашних (TP-LINK и прочая), то настроить статическую маршрутизацию.

    UPD:
    1. За сам по себе гигабит в месяц просят в 10 раз больше. Компания столько тратить не хочет.
    Я опять не понял, извините. Только за гигабитный порт (с той же полосой 100 мбит/c) просят в десять раз больше? Уточните на всякий случай у провайдера, может, вам дадут 150-200 мбит/c через гигабитный порт за вменяемые деньги.

    2. На счет схемы с НАТом - я с вами согласен и с удовольствием выслушаю предложения.
    Поддерживаю предложения, высказанные MrJeos . Разве что я бы DHCP оставил только в офисах, а сами офисные маршрутизаторы адресовал статически. По поводу mikrotik тоже поддерживаю, у них появилась весьма доступная модель (hAP lite). Еще посоветовал бы перед подключением второго канала проанализировать текущее потребление. Возможно, достаточно будет просто перераспределить полосу, применив shaping/policing.

    3. Да - что? Будет работать такая сеть при учете цитаты про выключенный нат?
    Да, будет, после внятной настройки адресации, статической или динамической маршрутизации. Но будьте готовы к тому, что задействовать одновременно два канала доступа в интернет - задача довольно трудная в плане балансировки. У вас вполне может получиться так, что сейчас все работает, а через час потребитель утилизировал львиную долю канала, повлияв на "качество интернета" своих соседей по каналу, и в то же время соседний канал практически не загружен. Это необходимо учитывать.
    Ответ написан
  • Возможен ли шлюз с одной сетевой картой?

    @throughtheether
    human after all
    Вы можете это реализовать при помощи маршрутизации (у всех ПК шлюзом по умолчанию установлен ваш "шлюз", на "шлюзе" - раздающий сервер)

    Или можно реализовать схему "router on a stick". Потребуется поддержка port-based VLAN и тэгирования 802.1q на "шлюзе" и коммутаторе. В данном случае у ПК в локальной сети не будет доступа к серверу напрямую.

    Также возможны "нестандартные решения" с подменой ARP, но это на любителя.
    Ответ написан
  • Как сбросить настройки TP-Link TL-WR741ND на OpenWRT?

    @throughtheether
    human after all
    Спасибо, что призвали в обсуждение, прошу прощения за задержку с ответом.
    На вашем месте я бы:
    1) подсоединился в LAN- и WAN- порты по очереди, посмотрел бы (wireshark), какой трафик отсылается устройством. Возможно, выяснятся активные IPv4 Или IPV6-адреса, попробуйте их использовать.
    2) попробовал подсоединиться по Wifi (если помните SSID и пароль)
    3) подпаялся к контактам последовательного порта на плате и соединился бы по консоли
    Ответ написан
  • Как увеличить пропускную способность локального соединения?

    @throughtheether
    human after all
    Может есть какие приспособления для агрегации каналов (2 гбит/с должно хватить с головой)? Или стоит подумать о 10 гбитном линке, но что тогда использовать?
    Если есть возможность один гигабитный линк заменить на десятигигабитный линк, то я за этот вариант (см. карточки Intel X540, может кто-то что получше посоветует). Собирая линк из двух (etherchannel, nic teaming, а по сути equal cost multipath), вы, как правило, не ускорите производительность (throughput) одной tcp-сессии (или udp flow).
    Ответ написан
  • Прочему у меня пинг до адресов в одной посети на часть адресов идет на часть не идет?

    @throughtheether
    human after all
    Но пинг на адрес 127.252 который находится в одной подсети с 127.2/24 не идет.
    Почему вы полагаете, что этот хост должен отвечать на пинги?
    Кому принадлежит этот адрес (сервер, маршрутизатор)? В любом случае, проверьте на пути следования трафика аксесс-листы (firewall filter), проверьте фильтрацию на фаерволлах, проверьте доступность проблемного хоста по другим протоколам (присылает ли он TCP RST, например, в ответ на TCP SYN), проверьте также его доступность с ближайшего к нему устройства.
    Ответ написан
  • Проблема Ethernet кабелем, почему нет доступа к сети?

    @throughtheether
    human after all
    Я так и не понял в чем проблема. Если есть какие то советы подскажите

    Проверьте режим работы интерфейса, в частности, дуплекс.
    Ответ написан
  • Как настроить коммутатор CISCO SG300 для Ростелекома?

    @throughtheether
    human after all
    Что я делаю я неправильно?
    Вам подают фреймы из двух вланов, наверняка тэгированные, а вы пытаетесь их принимать портом в режиме доступа.

    Попробуйте так (синтаксис, вероятно, надо будет немного изменить):
    Int gi4
    switchport mode trunk
    switchport trunk allowed vlan add 2045, 2075
    Ответ написан