Как можно отследить проблему?
Пробовал подключать его к своему роутеру и через lan, и через wlan, но через какое-то время замечал, что на всех компьютерах в сети начинал падать инет. Отключаю сервак от сети - инет сразу везде работает.Уточните, что означает "падает"/"работает" интернет? Открываются/не открываются страницы в браузере? Проходят/пропадают icmp-пакеты ("пинги")? Сравните настройки (адрес, маска сети на интерфейсе, маршрутизатор по умолчанию, DNS-сервера, arp-таблица, таблица маршрутизации) на подверженном проблеме компьютере в условиях "рабочего" и "нерабочего" интернета.
Увеличивается нагрузка на CPU вплоть до 80%Какой процесс потребляет больше всего ресурсов? Поможет команда:
show process cpu sorted
Самое странное во всём этом что началось это после того как компания закупила моноблоки HP ProOne 600.
Проблема в том, что я не могу выявить виноватого в этой ситуации, не знаю куда еще копать.Вот такой интересный тред на реддит (извините). Чтобы убедиться, что это ваш случай, подсоединитесь ноутбуком в порт в том же L2-домене (влане), что и моноблок и запустите на нем wireshark. Искать следует многоадресную рассылку IPv6 пакетов от моноблока (см. MAC-адрес источника). В качестве решение попробуйте обновить сетевой драйвер моноблока. Если не получится, задумайтесь о фильтрации IPv6-трафика, если этот протокол не используется. Или можете ограничить уровень многоадресного трафика:
storm-control multicast level 0.5
Version 12.1(26)E6Я конечно понимаю, работает - не трогай, но можно подумать и об обновлении ПО.
Как определить с помощью утилиты pathping в какой точке сети проблема?Если вы не понимаете, что именно вы ищете при помощи pathping, то никак.
но не смог понять где именно проблемаРасскажите для начала, какую именно проблему вы наблюдаете? Медленно качаются файлы? Высокий пинг до какого-то хоста?
везде бездумно копируют и вставляют один и тот же пример,Потому что они не знают страшной тайны - вывод pathping, mtr и прочих утилит имеет отношение к диагностируемой проблеме лишь в некоторых, далеко не во всех, случаях.
1. Почему в таблице 2 столбца "Утер./Отпр.", а выводов 3;Третий вывод (справа от него стоит символ |) показывает на предполагаемый процент "потерь" на линке/хопе между соответствующими хостами (37% между 9 и 10 хопами в вашем случае).
1. Ищу конкретно к кому обращаться на тему дурно работающего оборудования, так как порядком надоели проблемы с интернетом."Дурно работающее оборудование", "проблемы с интернетом" - это какие-то расплывчатые формулировки. Есть интернет. Есть в нем некие сервисы. Вы, используя различные (это важно) протоколы передачи данных, получаете к этим сервисам доступ. Есть различные количественные и качественные характеристики качества предоставления доступа/сервиса. Например, вчера сайт загружался за 1 секунду, а сегодня - за 3. Или вчера файл качался со скоростью 2 МБ/с, сегодня - 0.5. Или телефония вчера работала приемлемо, а сегодня голос стал металлическим и звонки стали сбрасываться.
2. Проблема - потеря данных. А это нестабильность связи, проблемы с ошибками при просмотре онлайн видео и прочие мморпг например.В случае использования протокола TCP (например, просмотр видео на Youtube) потери пакетов могут приводить к уменьшению эффективной скорости передачи данных. Различные ошибки ("невозможно открыть файл, повторите еще раз"), на мой взгляд, чаще связаны с различными проблемами CDN (сети распределения контента, грубо говоря, сети кэширующих серверов).
3й пункт не совсем я понял. Для диагностирования проблемы на конкретном участке утилита вполне пригодна и справляется лучше чем traceroute, я не ошибаюсь?Не думаю, что уместно сравнивать pathping и traceroute. На моей машине, например (windows 7), pathping 8.8.8.8 не отображает хопы, входящие в AS Google, a tracert отображает. Больше всего для диагностики проблем с доступом к некому сервису, на мой взгляд, полезно посылать сообщения того же протокола (http head, tcp syn в случае с web, tcp syn в случае tcp, udp-сообщения в случае udp) и анализировать количественные (задержка, отношение количества ответов к количеству запросов) и качественные (наличие ответов как таковых) характеристики взаимодействия. Например, в случае доступа к web-странице вывод ping может быть малорелевантен.
4. Тогда я не понимаю, почему и между линком и на исходном узле присутствуют потери. Означает ли это, что проблемы на исходном узле на самом деле вызваны проблемой коммутации меж узлов?
Если я правильно понял, в колонке "исходный узел" (не самый лучший перевод оригинального названия "source to here") приведены показатели потерь при отправлении icmp-запросов непосредственно на данный хост. В этом случае трафик, как правило, обрабатывается отдельным процессором (входящим в control plane). С целью защиты control plane от DoS-атак трафик до него ограничивается (control plane protection policy в оборудовании Cisco, встроенный полисер в оборудовании Juniper). В колонке "маршрутный узел" приведены (оценочные) показатели потерь, вносимых непосредственно линком между текущим хопом и следующим. Подробнее здесь.
я не знаю что такое конкретно исходный узел, что такое конкретно маршрутный узел
Мое мнение таково - "потери" до узла kzn02.transtelecom.net обусловлены именно защитой control plane соответсвующего устройства (Juniper MX-серии, как предположение).
Кроме того, на добавленном новом скриншоте видно, что:
До узла kzn наблюдается потеря, а затем потери наблюдаются преимущественно в колонках "Исходный узел", что как я понимаю, относится к проблеме конкретно этих узлов, что в случае яндекса я верить отказываюсь, а значит ставлю под сомнение достоверность моего понимания этих данных.
Подскажите пожалуйста, как это можно реализовать,На мой взгляд, проще всего это реализовать при помощи expect/pexpect. Следует (программно) залогиниться на каждое устройство, получить hostname (из приветствия или конфигурации), сформировать новую команду (snmp-server name ) и выполнить ее. Есть подозрение, что при помощи SNMP реализовать это будет затруднительно.
И по каким протоколам они работают?Для обмена маршрутами, как правило, используется BGPv4.
Кто в России владеет каналами интернета которые соединяют нас с Другими странами.
Один ли это провайдер?Нет, не один, даже не два. Вопрос довольно обширный, есть магистральная кабельная инфраструктура (российская, нероссийская, трансграничная), есть точки обмена трафиком, есть организации, обменивающиеся трафиком с учетом разнообразных политик. Все это находится во взаимодействии.
Каким образом можно создать аналогичный ресурс?Если надо только показывать видео (без загрузки его на сервер, учета статистики, рекомендаций и прочего), то можно все сделать на коленке:
Падение линка не падение интерфейса. Подскажите как можно выкрутиться не прибегая к протоколам BGP.Или самому организовывать добавление/удаление маршрутов в зависимости от "доступности" (ping и прочая) противоположного конца тоннеля, или использовать динамическую маршрутизацию через туннельные интерфейсы (реализации RIPv2, если не ошибаюсь, есть почти под каждую из популярных ОС).
Очень краткая схема в первом комментарии выше.Если я правильно понял, то можно (нужно?) изменять маршрут по умолчанию (т.е. маршрутизировать трафик на OPENVPNSERVER1 или OPENVPNSERVER2) на 3750 в зависимости от работоспособности тоннеля?
Когда трава была зеленее я видел использованиe route map в зависимости от пинга, но не запомнил и информации сейчас нет.На мой взгляд, вам подойдет решение в виде статической маршрутизации вкупе с ip sla tracking. См. раздел Резервирование.
К сожалению со второй стороны также нужно отправлять пакеты, в свою очередь выбирая интерфейс. А там у нас чисто линуксовое решение.Я полагал, что хотя бы с одной стороны маршруты исчезают при нарушении работоспособности туннеля. Если нет, то остается RIPv2 (на 3 серверах с openvpn и на устройстве cisco).
При попытке добавить в транк 1 вланЧто именно делаете? Добавляете его тегированным/нетегированным (native)?
VLAN 1Вообще говоря, vlan 1 может использоваться для служебных целей и иметь в связи с этим некоторые нюансы. На вашем месте, я бы, при возможности, использовал вместо него другой влан.
switchport default-vlan tagged
Проблема заключается в том, что компьютеры, подключенные кабелем напрямую к главному хабу - видят друг друга и объединены в сеть. А компьютеры, подключенные ко второму маршрутизатору, изолированы от главной сети и видят только друг друга, но не видят остальных.DIR-300, скорее всего, получает IP-адрес для интерфейса, которым он подключен к коммутатору (который вы почему-то называете "хабом") и затем использует его как внешний адрес для NAT. Если вы хотите, чтобы все компьютеры в сети "видели друг друга", то наиболее простым решением, на мой взгляд, будет настройка DIR-300 в качестве бриджа (моста). Должен быть настроен бриджинг между интерфейсом, которым он подключен к коммутатору (предположительно, WAN-порт) и остальными (LAN- и WLAN-/WiFi) интерфейсами. В некоторых "домашних" маршрутизаторах подобный режим называется "режимом точки доступа". Если будете использовать подобное решение, на всякий случай не подключайте один хост (компьютер, моноблок) разными интерфейсами (Wi-Fi/LAN) одновременно.
1) Можно ли на одном VPS расположить и сайт, и игровой сервер? Если да, тот каким образом?Да, можно (хотя непонятно, зачем). Веб-сервер будет прослушивать tcp-порты, например, 80 и 443, а игровой сервер - свои (часто 2106, 7777 и т.д.). Также игровой сервер может использовать UDP-сокеты.
2) Что нужно, чтобы обеспечить защиту от атак на VPS?Нужно знать, как работает ваш сервер, где его слабые места. Например, если при открытии главной страницы сайта вы делаете множество сложных запросов к базе данных, одни лишь усилия хостера вряд ли помогут обеспечить вам высокодоступность сайта.
И обеспечивает ли этой защитой хостер?От высокоинтенсивных DDoS-атак (SYN-flood, UDP flood) хостер может защитить при наличии соответствующего оборудования. От L7-атак, эксплуатирующих нюансы игрового протокола, вряд ли.
3) Что нужно устанавливать на VPS, для нормальной работы сайта?Как минимум, необходим веб-сервер (nginx, например). Остальное зависит от сайта.
Хотелось бы услышать мнения экспертов,Экспертом себя не считаю, но мнение выскажу.
в чем собственно разница и какой вариант правильней?Оба варианта "правильные", но я лично выбираю первый. В таком случае у вас один линк выделен исключительно для L3-связности, отказ схемы возможен только по причине отказа линка (ну или control-/data- plane на устройствах).
и как поборотьЗачем? Из приведенного вами листинга наблюдается трафик в виде одного arp-запроса в секунду. Если это представляет значительную нагрузку для вашей сети, то вы, на мой взгляд, что-то делаете неправильно.
что этоЯ небольшой знаток сетевой подсистемы Linux, но есть следующие мысли. Во-первых, стоит убедиться, что запросы отправляет именно шлюз (снять дамп трафика со шлюза, отфильтровав на время ARP-запросы извне). Во-вторых, стоит проверить, корректно ли создается соответствующая запись в arp-таблице шлюза при получении ответа. В-третьих, стоит поискать отличия между этим хостом и любым другим, для которого такого поведения не наблюдается. Есть предположение, что таким образом dhcp-сервер (если он активен на шлюзе) проверяет активность хоста и, следовательно, востребованность выданного хосту адреса.
Запросы в гугл по HTTP в среднем занимают около минуты.На мой взгляд, такое бывает, когда некоторые трояны пытаются перехватывать обработку записи в сокет / чтения из сокета с тем, чтобы подменять отсылаемые/получаемые данные. На вашем месте я бы попробовал выполнить команды
netsh int ip reset %temp%\tmpreset.log
netsh winsock reset
Подробнее. скорость соединения в микротике определяется, как 100 full duplex.Уточните, пожалуйста, скорость и дуплекс именно определяются автоматически или жестко заданы? На порту, подключенном к провайдеру, CRC-ошибок (иногда используется термин FCS) на входящих фреймах не наблюдается? Интерфейс ноутбука при подключении в каком режиме работает (100 мбит/c или 1 Гбит/c)? Если есть CRC-ошибки на порту Mikrotik и порт ноутбука работает на 1 гбит/c, то попробуйте на порту Mikrotik задать режим 1Гбит/с.
Или он записан как 6 отдельных однобайтовых чисел?
a) Each address field shall be 48 bits in length.
...
d) Each octet of each address field shall be transmitted least significant bit first.