Soru Ağ çıkışı sorunu (ARP ile ilgili)


Çalıştığım küçük üniversite çok garip ağ sorunları yaşıyor. Burada herhangi bir tavsiye veya fikir arıyorum. Yaz boyunca iyiydik, ancak sorun sonbahar dönemlerinde öğrenciler kampüse geri döndükten birkaç gün sonra başladı.

belirtiler

Ana belirti, internet erişiminin işe yarayacağı, ancak çok yavaş ... çoğu zaman zaman aşımına uğradığıdır. Örnek olarak, Speedtest.net'in tipik bir sonucu .4Mbps dosyasını indirir, ancak 3 ila 8 Mbps yükleme hızına izin verir. Daha az semptomlar, dosya sunucumuza ve hatta bizim sunucu sunucumuza ciddi şekilde sınırlı performans aktarma verileri içerebilir veya hatta bazı durumlarda bilgisayara giriş yapılamaması (etki alanı denetleyicisine ulaşamaz). Sorun birden fazla vlansı geçiyor ve çalıştığımız neredeyse her vlanın cihazlarını etkiliyor.

Sorun, ağdaki tüm makineleri etkilemiyor. Etkilenmeyen bir makine genellikle görecek en azından Speedtest.net sitesinden 11Mbps ve o sırada büyük kampüs trafiği modellerine bağlı olarak belki de çok daha fazlası.

Daha büyük bir konuda bir varyasyon var. Kullanıcıların neredeyse tüm makinelerde oturum açamadıkları bir vlanımız var. BT personeli bir yerel yönetici hesabı (veya bazı durumlarda önbelleğe alınmış kimlik bilgileri) kullanarak oturum açabilir ve oradan ağ geçidinin serbest bırakılması / yenilenmesi veya pinglenmesi makinenin bir süre çalışmasına izin verir. Bu sorunu çözmek, bu vlanın, yeniden başlatmanın ardından sabit diskleri tamamen sıfırlamak için Deep Freeze adlı yazılımı kullanan bilgisayar laboratuvarlarımızı kapsamasıdır. Aynı sorun, haftalarca düşük seviyeli bilgileri kalıcı olarak değiştirmemiş makinelerdeki eski veriler nedeniyle farklı şekilde tezahür edebilir. Bununla birlikte, bunu yeni bir vlan oluşturarak ve laboratuarları yeni vlan toptancılığına taşıyarak çözebildik.

kışkırtmalar

Sonuç olarak, etkilenen makinelerin hepsinin son dhcp kiralamalarına sahip olduğunu fark ettik. Bir makinenin yenileme için bir dhcp kontratı geldiğinde ne zaman izleyeceğini "yavaşlatabilir" diye tahmin edebiliriz. Bir test vlanı için kiralama süresinin çok kısalmasıyla oynadık, ancak tüm bunlar makinenin ne zaman yavaşlayacağını tahmin etme yeteneğimizi ortadan kaldırmaktı. Statik IP'lere sahip makineler hemen hemen her zaman normal çalışmaktadır. Bir adresi manuel olarak serbest bırakmak / yenilemek asla Bir makinenin yavaşlamasına sebep olur. Aslında, bazı durumlarda bu süreç sabit bu durumda bir makine. Yine de çoğu zaman yardımcı olmaz. Ayrıca, dizüstü bilgisayarlar gibi mobil makinelerin yeni vlanslara geçtiğinde yavaşlayabileceğini de fark ettik. Kampüste kablosuz, her bölgenin küçük bir bina kümesine eşlendiği "bölgelere" bölünür. Yeni bir binaya geçmek sizi bir bölgeye yerleştirebilir, böylece yeni bir adrese sahip olursunuz. Uyku modundan devam eden bir makinenin de yavaş olması oldukça olasıdır.

azaltıcı etkenler

Bazen, ancak her zaman değil, arp önbelleğini etkilenen bir makinede temizlemek normal çalışmasına izin verir. Daha önce bahsedildiği gibi, yerel bir makinenin IP adresini serbest bırakmak / yenilemek bu makineyi düzeltebilir, ancak garanti edilmez. Varsayılan ağ geçidinin pinglenmesi bazen yavaş bir makineye yardımcı olabilir.

Sorunun en aza indirilmesine yardımcı olan, çekirdek katman-3 anahtarımızdaki arp önbelleğini temizlemektir. Bu anahtar, dhcp sistemimiz için tüm vlans üzerinde varsayılan ağ geçidi olarak kullanılır ve o bölgeler arası yönlendirmeyi işler. Model 3Com 4900SX'dir. Sorunu hafifletmeye çalışmak için, anahtarda ayarlanan önbellek zaman aşımını mümkün olan en düşük süreye tamamladık, ancak yardımcı olmadı. Ayrıca, geçişe otomatik olarak bağlanmak ve önbelleği sıfırlamak için her birkaç dakikada bir çalışan bir komut dosyası hazırladım. Ne yazık ki, bu her zaman işe yaramaz ve hatta bazı makinelerin kısa bir süre için yavaş bir şekilde sonuçlanmasına bile neden olabilir (bunlar birkaç dakika sonra kendilerini düzeltiyor gibi görünmektedir). Şu anda, ARP önbelleğini temizlemek için çekirdek anahtarını zorlamak için her 10 dakikada bir programlanmış bir işimiz var, ancak bu mükemmel veya istenen bir şey değil.

üreme

Artık istediğimiz zamanda yavaş duruma zorlayabileceğimiz bir test makinesine sahibiz. Vlanslarımızın her biri için kurulmuş portları olan bir anahtara bağlı. Makineyi farklı vlanslara bağlanarak yavaşlatırız ve yeni bir bağlantıdan sonra veya iki tanesi yavaş olur.

Bu bölümde, bunun daha önce önceki dönemlerin başında gerçekleştiğine dikkat etmek gerekir, ancak geçmişte sorun birkaç gün sonra kendi başına gitti. Çok fazla teşhis çalışması yapma şansımız olmadan önce kendini çözdü ... bu yüzden bu sürenin sonuna kadar sürmesini sağladık. beklenti, bu kısa ömürlü bir durum olurdu.

Diğer Faktörler

Geçtiğimiz sene yarım düzine kadar anahtarlama yaptığımızdan bahsetmeye değer. Bunlar genellikle yaklaşık aynı zamanda yerleştirilen 2003/2004 dönemi 3Coms (çoğunlukla 4200). Hâlâ garanti kapsamında olmalılar, satın al HP hizmet almayı biraz zorlaştırdı. Çoğunlukla güç kaynaklarında başarısız oldu, ancak birkaç durumda, arızalı bir ana güç kaynağına sahip bir anahtardan güç kaynağını kullandık ve arızalı bir güç kaynağına sahip bir düğmeyi tekrar hayata geçirdik. Şu anda dört anahtardan üçü de UPS cihazlarımız var, ancak iki buçuk yıl önce başladığımda böyle değildi. Şiddetli bütçe kısıtlamaları (Ed'in mali sıkıntılarla dolu kurumlarının bir kaç yıl öncesine baktık), değiştirilmeleri için Netgear ve TrendNet'in beğenilerine bakmak zorunda kalmamı sağladı, ancak şu ana kadar bu düşük maliyetli modeller kendi başlarına kalıyor gibi görünüyor. .

Ayrıca bu yaz ağımızdaki büyük değişikliğin, kampüs içindeki tek bir kablosuz SSID'den daha önce bahsedilen zonlu yaklaşıma geçtiğini de belirtmek gerekir. Bu sorunun kaynağı olduğunu sanmıyorum, dediğim gibi: Bunu daha önce de görmüştük. Ancak, bunun konuyu daha da kötüleştirmesi ve yalıtılması çok zor olmasının nedeni olabilir.

Teşhis

İlk başta, sorunun zamanlama ve kalıcı niteliği göz önünde bulundurulduğunda, sorunun kaynağı, ARP önbellek zehirlenmesi yapan bir virüslü (ya da kötü niyetli) öğrenci makinesi olduğu açıktı. Ancak, kaynağın izole edilmesine yönelik tekrarlı girişimler başarısız oldu. Bu girişimler arasında çok sayıda wireshark paket izleri ve hatta tüm binaları kısa süreler boyunca çevrimdışı tutuyorlar. Sigara tüfeği kötü ARP girişi bile bulamadık. Şu anki en iyi tahminim aşırı yüklü veya arızalı bir ana şalterdir, ancak bunun nasıl test edileceğine emin değilim ve onu değiştirmenin maliyeti diktir.

Yine, herhangi bir fikir takdir etti.

Güncelleştirme:
Çekirdek anahtar değiştirildi. 4 gün sonra her şey yolunda gidiyor ... ama sorunu çözmeden önce iki hafta boyunca bekleyeceğim.


9
2017-09-25 17:33


Menşei


Etkilenen makinelerde paket kaybı görüyor musunuz? Öyleyse, paket kaybı nerede gerçekleşir? mtr burada yardımcı olabilir. - EEAA
Bu, anahtarlarınızdan birinin arızalı olduğu, arp-tablolarını bozduğu ve bozuk girişleri diğer anahtarlara iletiyor gibi görünüyor. Bundan dolayı, tablolar L3 çekirdeğinde temizlendiğinde kısmi rahatlama. Daha fazla sorun giderme girişiminde bulunmadan önce TÜM anahtarlarınızı sıfırlamanızı kesinlikle öneririz. Biraz şans ile bu sorunu tamamen temizler. Bir anahtar gerçekten arızalıysa, yeniden başlatma sonrasında açılış teşhisi başarısız olur. Not; Güç şebekesinde hafif dalgalanmalar bu etkiye sahip olabilir. Anahtarlarınız kök neden olabilecek UPS'de değilse. - Tonny
@ErikA bazı paket kaybımız var. Daha iyi bir iz elde edip edemeyeceğimi göreceğim ... ama paket kaybı, kampüs üzerindeki her yerden geliyor, yani tek ortak bağlantı noktası, ana anahtar ve sunucularımıza bağlı anahtar. - Joel Coel
@Tonny Tüm (iyi, hemen hemen tüm) anahtarları en az iki kez sorun giderme işleminin bir parçası olarak sıfırladık. Bu yaklaşık bir gün / gün bir buçuk için şikayetleri azaltmak (ortadan kaldırmak) görünmüyordu. Üç veya dörde kadar olan tüm cihazlar için yaklaşık 40 adet anahtarlama birimine sahibiz. Buradaki en önemli şey, tüm anahtarlarımızın yaklaşık aynı zamanda kurulduğudur ve geçen sene 6 kez hatalı sonuç elde ettik, bunun için çok fazla güvenilirlik var. - Joel Coel
3com deneyimim yok, ancak belirli bir porttan öğrenilen mac adreslerinin sayısını sınırlamanın bir yolu olabilir. Birisi mac olup, anahtarlarınızı hub'lara çevirdiğinizde, öğrenci makineleri için tüm erişim portlarında bunu yapabilirsiniz. - Bad Dos


Cevaplar:


Joel

Trunks kurulumunuz olduğundan ve sorunu istediğiniz gibi çoğaltabildiğinizden. Wireshark'ı bir dizüstü bilgisayara takın ve bir uplink bağlantı noktasını yansıtın / yansıtın. 10,000'den fazla paket oranını veya yakınlardaki liman kullanımını görürseniz maksimum hız probleminiz var.

Kötü bir donanım / genişleyen ağaç sorununuz olabilir. Normalde Daha fazla bilgi almak için, kullanıcıların makinelerinde nics'i tıkladıklarını gördüm üretilen iş".

Normalde ağaçlık sorunları için Döngü algılamasını veya yayınını açabilirsiniz satıcınızdan limana göre sınırlandırma. Bu bulunan bir döngü ile herhangi bir portu öldürecek. Ayrıca, bpdu bağlantı noktasını devre dışı bırakmak anlamına gelen "bpdu koruması" özelliğini de açabilirsiniz. alındı ​​ve syslog / snmp trap alıcılarına bir hata attı.

Joe


2
2017-12-31 20:07





Buna benzer sorunları daha önce görmüştüm ve LAN'da, tüm alt ağın kargaşasına ve doygunluğuna neden olan bir ilmik oldu (muhtemelen, ek bir bağlantı noktasında kendi MAC'sini gören anahtardan dolayı yayın trafiğinden).

DÜZENLEME: Ayrıca, bu küçük yavrular yama kabloları / soketleri ile karışıklık gibi eğitim kurumlarında (önceki sysadmin işleri iki) yaygındır ...


1
2018-01-29 23:47



Tam olarak bunu kontrol etmek için çok zaman harcadık ama sonunda karar verdik. - Joel Coel


Yayın fırtınalarına neden olan kötü bir donanımın olduğu için bana geliyor. Yayınları izlemek ve size sorun veren bir ev sahibi bulmak için Wireshark'ı kullanın ...


0
2018-01-06 22:19



Eğer bazı makineler iyi çalışıyorsa ve diğerleri bunu yapmıyorsa, bu olması pek olası değildir. Bir yayın fırtınası, tüm VLAN'ı hiçbir zaman dizlerine getirecektir. - Paul Gear


Joe'nun fikri iyi bir fikirdir, ancak sorununuzu yaratan bir yayın fırtınası olmamanın muhtemel olmadığı göz önüne alındığında (ARP önbellek zehirlenmesi veya benzer bir sorunla doğru yolda olduğunuzu düşünüyorum; hatta bir IP adresi çakışması bile olabilir), Muhtemelen problemi çözmeyecek.

Anahtarlarınız destekliyorsa, dinamik ARP ve DHCP denetimini kullanmak için ilgili bir teknik. Bunu açarsanız, anahtarlar DHCP işlemlerini izler ve yalnızca DHCP veritabanındaki bilinen girdilerle eşleşen ARP girişlerine veya el ile belirttiğiniz girişlere izin verir.

Anahtarlarınız bu özelliğe sahip değilse, bunu izlemek için başka bir seçenek de Linux yardımcı programıdır - tüm ARP isteklerini takip eder ve bir IP-MAC haritalama değişikliğini fark ettiğinde size söyler.


0
2018-01-24 04:59