Ложится сеть
 

Здравствуйте.


Есть сеть. Уже второй раз она просто перестаёт функционировать: не пингуются клиенты сети, между ними не передаются данные. Т.к. в основной коммутатор (DES1050G) подключена бОльшая часть клиентов (порядка 30) и он не управляемый диагностирую проблему путём последовательного отключения клиентов. Вчера таким образом я нашёл один компьютер. Точную конфигурацию назвать смогу позже, сетевая карта встроенная Atheros AR8161/8165 (NDIS 6.20). Сеть поднялась без него. Пока он отключен. Так же ведёт себя сеть, если в этом коммутаторе сделать кольцо.

В тот момент когда не работала сеть пробовал запустить tcpdump на шлюзовом компьютере. Была какая-то сетевая активность. Дамп снимать не стал. (Потом уже подумал, что зря... :(). Скажите пожалуйста при образовании кольца можно ли получить какую-либо полезную информацию сняв сетевой дамп с интерфейса, не являющимся частью кольца?

Вот думаю то ли железо компьютера косячное (поставил недавно), то ли что-то с ПО? Что проверить посоветуете?

Вопрос, как говорится, один: как избежать последующих падений?

P.S. Прекрасно понимаю, что нужно ставить нормальный коммутатор, блокирующий порты при обнаружении колец, нужно реорганизовать сеть и vlan-ами отделить IP-телефоны от всего остального, разделить группы пользователей и устройств. Но к сожалению ни средств ни времени компания не выделят пока.

Буду рад предложениям адекватной замены основного коммутатора с хорошим соотношением цена/качество.

IP телефоны отделять, имхо, не обязательно. У меня работают вместе, не жалуются. Для них специально софт выпускают для совместной работы с комп-ами.
А коммутаторы DES - плоховатенькие.

Коммутатор был куплен пару лет назад взамен 24-х портового. Руководство сказало: будет не более 30 компьютеров...

На данный момент ARP-таблица шлюза состоит из 60 записей, из них пока 12 IP телефонов, планируется более 40 рабочих мест (компьютер+IP телефон).

Готов заменить этот коммутатор двумя или тремя 24-х портовыми.

Tonny_Bennet, посмотрите HP V1910-48G. Цена от 19000 до 23000. Не 3com, конечно, но все же.

А что из 3-com посоветуете?

Tonny_Bennet, 3com 4500 неплохая серия, надежная, несмотря на возраст.

Вчера в обед подключил в сеть компьютер, из-за которого, как мне казалось, ложилась сеть. Всё работает нормально. Что делать и куда копать? я в замешательстве... :(

Tonny_Bennet, а сколько всего ПК у Вас в сети? У нас были проблемы похожего характера, но тогда постепенно умирал свитч (кстати тоже d-link).

на 64-битной ОС случаются накладки даже в простой домашней сети.

Tonny_Bennet, была похожая проблема, один гадкий ПК зафлуживал ARP-пакетами неуправляемые свитчи — генерил порядка 6k широковещательных пакетов в секунду, отловлен был при помощи wireshark. Подробностей (железо, софт, причина) не помню, в прошлом году было. Вроде его хозяин ОС (Ubuntu) переустановил и проблема испарилась.

Цитата:

Цитата vadblm Вроде его хозяин ОС (Ubuntu) переустановил и проблема испарилась. »

путь виндовс исповедует он.
недавно купили DGS-1210-24
сейчас смотрю, а он устаревший ( и цена сменщика DGS-1210-28 оказалась небольшая (
но нам на один отдел как раз хватает. А вообще есть сейчас хороших много коммутаторов.

На данный момент порядка 40 ПК, 12 IP телефонов, 15-20 WI-FI устройств, 5 серверов, 5 едениц сетевого оборудования.

Я недавно подряд закупил несколько материнских плат Gigabyte. Мне в первый раз показалось, что из-за такого компа произошёл коллапс, во второй раз точно из-за такого. То ли драйвер у них у всех косячный, то ли какая-то ещё несостыковка.

Не понял о чём именно вы хотели мне сказать. Два компьютера, которые положили мне сеть стоят с 32-х разрядной системой Windows 7 Prof.

Меня терзают смутные сомненья: ведь свитч (даже самый простой) тем и отличается от хаба, что внутри себя ведёт ARP таблицу. И при передаче пакета он его бросает на нужный порт, а не на все сразу. Если к слову одна взбесившаяся машина начнёт слать не широковещательные ARP запросы, то свитч может отвалится. А вот как выяснить кто эти пакеты шлёт? Подключившись к другому порту я попросту не увижу этого трафика.

Кстати вы не знаете есть ли какой-то функционал от подобных "атак" на управляемых коммутаторах?

Себе в новый кабинет на отдел взял именно DGS-1210-28. Но т.к. он включен аплинком в 100Мбитный порт DES1050G - радости не много.

Думаю, стоит ли в серверной всё реорганизовать: в серверную стойку поставить два коммутатора в стек, все серверы подключить сразу в оба свитчв (+ к отказоустойчивости, + к производительности). А эти два ствитча подключить к одному большому (или нескольким поменьше) свитчам агрегируемыми каналами, в которые будут подключены пользовательские компьютеры и IP телефоны... ?

Это если свитч умный. У вас (да и у меня) — тупой. Я ж говорю, что отловил wireshark'ом, тупо воткнув лаптоп с ним запущенным в первый попавшийся свободный порт центрального свитча — мигом увидел флуд. Wireshark (да и все снифферы, tcpdump тоже) переводит интерфейс в промискуитетный режим, в котором отлавливаются все пакеты, а не только предназначенные конкретному маку.

правилу следуй ты: работает - сделай ещё лучше :)

Попробую конечно снять полный дамп, а потом разобрать его, но как мне кажется не выйдет.

Однажды я решил послушать трафик в самом простом и дешёвом пятипортовом свитче d-link. В него были включены три клиента: я и два моих друга. Вот трафик от меня и ко мне я отлавливал. А трафик между ними я не видел.

Типа: "Лучшее враг хорошего" ? ;)

не не не. без переносного смысла.
Сам однажды делал реорганизацию: в кабинете админов стояла стойка. Переместил её в серверную, а потом сам админсткий отдел переехал в другой кабинет.
А так бы стойка мешала новым сотрудникам.
Так что если бюджет и время позволяют - я только за модернизацию.

Сложно сказать позволяет или нет... если я обосную все траты - то бюджет позволит :)

Тут вопрос уже переключится в раздел оплаты труда, т.к. руководство не спонсирует внеурочную работу, а подобные переделки нужно в нерабочее время проводить.

Ну ещё есть такая вещь, как стоимость downtime. Я как раз не могу решить многие свои проблемы просто потому, что цена downtime прода слишком высока. А его минимизация тоже в копеечку влетает.

Ну оставьте начальство на часик без сети. Наше сразу среагировало - что надо купить/заменить :)
Такова судьба сисадмина. Было время - я так делал: приходил на час позднее НА работу и уходил позднее С работы. Как вариант работа в субботу/воскресенье ЗА ОТГУЛ.

Wireshark как раз хорош тем, что у него есть и режим отображения в реальном времени. Разбирать дампы не нужно, всё видно на лету, причём в удобном виде.

Примерно об этом речь и идёт. Руководство однажды поплатилось экономией на RAID массив и лег диск с БД. В итоге во всех дочерних организациях всё отлично в плане организации бекапов и хранения важной информации. А здесь сеть отвалилась, я был в офисе, побежал в серверную, отключил кабели, подключил кабели... 5 минут - всё заработало, но вопрос, что таки случилось они задали. Думаю ещё раз случится и нужно будет говорить, что близок конец.

Я частенько работал в таком режиме: работал в выходные, в будние приходил позднее. Как наверное в каждой компании есть несколько руководителей: один увидел тебя в субботу на работу, отнёсся с пониманием и уважением, а второй заметил, что ты в понедельник опаздал на пару часов. Вроде и договорились, а ты всё равно виноват. И рано или поздно, когда всё стабилизируется руководство перестаёт видеть работу админа, и в его понимании платить за то, что и так работает, не нужно. Понятие профилактических работ - нет не слышал.

Я поставлю его. Просто у меня шлюз под убунтой, а на нём уже есть tcpdump. Когда всё отвалилось я его запускал, но фильтры настраивать было некогда (всё лежало), а просто всё в файл сохранить и тем же Wireshark потом его раскрыть у меня в тот момент фантазии не хватило.

Есть и консольная версия wireshark — tshark, кстати использует фильтры в стиле tcpdump, за что разработчикам спасибо, но мне нравится он в GUI варианте, из-за наглядности.

Это справедливо, в случае админов, если отдел велик, расписаны графики дежурств и сверхурочной работы, есть планы обслуживания. Но на практике это далеко не так. Ну а поскольку работа админов часто бывает связана с даунтаймом, чтобы не мешать рабочему процессу, в любом случае приходится её делать в нерабочее время. Потому я брал отгул вчера, а работаю сегодня, в гордом одиночестве :)

Про форс мажоры тоже не забываем. Если внезапно сдох диск в сервере и надо срочно его менять — это не показатель плохой работы админов.

vadblm, +1 вот пример простейший ~ убрать старый свитч и поставить новый. в рабочее время оставить бухгалтерию без 1с весьма проблематично

Думаю не стоит разводить обсуждение рабочего времени админов. Модераторы будут не сильно рады :).

Выводы напрашиваются сами собой: нужно менять оборудование на управляемое. Я тут всё серьёзнее задумываюсь о рероганизации всего серврерного пространства. Прошу мне сказать о плюсах и минусах того, что я хотел бы получить в итоге.

Собираюсь взять два свитча DGS-3120-24TC в серверную стойку. Взять один DGS-3120-48PC (или два DGS-3120-24TC) для коммутации пользователей 2-го этажа. Все эти железки объединить в стек. Сервер 1С и шлюз (он же почтовик, DNS, и файлохранилище) подключить агрегированными каналами в разные свитчи серверной стойки (обеспечив отказоустойчивость и двойной прирост производительности), остальные серверы подключить одним кабелем. Свитч DSG1210-28, подключить агрегированным каналом (или у D-Link есть понятие виртуального стекирования через Ethernet) по 2-м линкам. На первом этаже также будет перестройка и будет установлен DGS-3120-24TC. Также подключу агрегированным каналом к серверным свитчам.

Почитав о стекируемости железа пришёл к оному выводу: две железки объединяются толстым каналом связи и работают как одна физическая железка. В случае тех устройств, которые я хотел бы купить, они объединяются при помощи специального кабеля DEM-CB300CX. Объединить все три (или четыре) устройства в пределах небольшой серверной комнаты не составит труда. Стоит ли объединять остальные коммутаторы (1-го и 3-го этажа) в стек?

Снова отвалилась сеть. Снова из-за одного компа. Снял дамп при помощи tcpdump. Открыл его в wireshark. При фильтрации по MAC-адресу дефектного компа никаких пакетов не находит. В Expert Infos ошибок нет.

Подскажите на что нужно обратить внимание при анализе дампа?