Странное поведение сети с AT-9448T/SP, AT-x510L-52GT

Все что связано с маршрутизирующими коммутаторами и работе с ними

Модератор: Allied Telesis Russia

Странное поведение сети с AT-9448T/SP, AT-x510L-52GT

Сообщение NoIZz » 22 июл 2016, 11:45

Сетка плоская звезда
Схемы в графическом виде нет
Нарисую на пальцах

в центре стоит AT-9448T/SP (его как раз планируется заменить на 510й) 192.168.2.250
Дефолтный влан не используется
Порты 1-46 - Vlan 2 untagged (192.168.2.0) основная локалка
Порты 47 - Vlan 3 untagged (192.168.3.0) сегмент с ip-телефонами
Порты 48 - Vlan 4 untagged (192.168.4.0) сегмент с сетевыми хранилищами
Есть некоторое кол-во ститических маршрутов но это неважно

Дополнительно AT-GS950/48PS (192.168.2.251) разделенный с помощью port-based vlan на 2 сегмента (1-24 порт и 25-48 порт)
Порты с PoE 1-24 - 1-23 порт ip-телефоны, 24 порт аплинк в 47 порт AT-9448T/SP
Порты 25-48 используются для расширения локалки - 25-47 компьютеры, 48 порт аплинк в 46 порт AT-9448T/SP

Spanning-tree везде выключен (кроме 510го, не трогал пока)

Решил настроить и погонять AT-x510L-52GT (прежде чем менять AT-9448T/SP)
Произвел начальную конфигурацию через консоль (192.168.2.252)
Вланов и тп пока не создавал
Включаю 48м портом в 19й порт AT-9448T/SP, что бы дальнейшую конфигурацию (предварительную) сделать через ssh
Рабочий компьютер включен в AT-x510L-52GT
И...
AT-x510L-52GT в сети не видится
AT-9448T/SP из сети пропадает и мой компьютер полностью не видит сеть
С AT-x510L-52GT (он пока подключен консолью к компьютеру) сеть так же не видится
Выключаю 510й, включаю комп в 9448, подключаюсь телнетом, начинаю смотреть
Обнаруживаю следующее
MAC 510го висит на порту на 19м порту 9448 и! на 47 и 46 порту!

Вырубил spanning-tree на 510м
Перегрузил
Все заработало

При этом на 950м жутко тормозит веб-интерфейс (процессор перегружен)
на 9448 отключаю/включаю 47й и 46й порты, маки 510 на портах 9448 пропадают, 950й приходит в норму

Как такое возможно и почему?
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: Странное поведение сети с AT-9448T/SP, AT-x510L-52GT

Сообщение Ginodman Mikhail » 22 июл 2016, 18:20

версии прошивок на 9448, х510, GS950? STP либо везде выключите либо включите.
Ginodman Mikhail
Site Admin
 
Сообщения: 2535
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: Странное поведение сети с AT-9448T/SP, AT-x510L-52GT

Сообщение NoIZz » 23 июл 2016, 14:01

Версии прошивок
AT-x510L-52GT - 5.4.6-0.1
AT-GS950/48PS - AT-S111 V2.0.2 (1.00.016)
AT-9448T/SP - ATS63 v4.1.0 P_13

Spanning-tree конечно же вырубил (он в начале эксперимента только на 510м был включен - тк на нем все было по умлочанию)
При выключенном все работает

Судя по всему, 950й при включении Spanning-tree на 510м, начинает охреневать от рассылок bpdu 510м на предмет прощупывания топологии
и mac 510го проникает из одного vlan в другой.
Т.е независимо от того, что на 950м есть разделение на сегменты посредством vlan (пробовал и private и итп),
образуется некая ограниченная петля через 950й между портами 47 и 46 9448го.

Временно заменил 950й на взятый у соседей L3 коммутатор с POE и поддержкой port-based vlan.
(бренд называть не буду, но по характеристикам и тп почти полный аналог 950го).
Настроил vlan'ы так же как и на 950м
Врубил spanning-tree на 510м и все работает, никто не офигивает, все ок.
Вернул обратно 950й, включил везде! spanning-tree и сеть снова легла и снова маки 510го на 47 и 46 портах 9448го (как если бы 510й
был подключен и к 19му порту и к 47 и 46 9448).
Снова вонзил взятый у соседей, stp на нем включил, все ок

На всех этапах эксперимента
После коммутации полностью перезагружались все коммутаторы - ни какого влияние это не оказывало
Передергивались линки - то же самое

Тут на лицо неправльная работа 950го и дело на 100% в его прошивке.
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: Странное поведение сети с AT-9448T/SP, AT-x510L-52GT

Сообщение Ginodman Mikhail » 25 июл 2016, 10:58

схема, конфиги нужны чтобы разбираться точнее. сделайте чтобы GS950 не становился root bridge, на х510 добавьте
awplus(config)# spanning-tree priority 8192

на всех портах коммутаторов не подключенных к другим коммутаторам написать или включить через web-интерфейс
awplus(config)# interface port1.0.1-1.0.х
awplus(config-if)# spanning-tree portfast
Ginodman Mikhail
Site Admin
 
Сообщения: 2535
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: Странное поведение сети с AT-9448T/SP, AT-x510L-52GT

Сообщение NoIZz » 25 июл 2016, 12:57

Каким макаром 950й может стать рут-бридж если на нам изначально spanning-tree ОТКЛЮЧЕН!???
Как мак проникает из одного port-based vlan в другой?

Конфиг на 950м прост как 5 копеек!
Все по умолчанию
Создано 2 порт-бейсед влан (порты 1-24 и 25-48) - 24 порт воткнут в 47 порт 9448го (влан 3, портбейсед), 48 порт в 46 порт 9448го (влан 2, основная локалка)
На всех портах отключен jumbo, eap, alowcontrol, bpdu
Включен loopback detection на всех портах (отключали, влияния не оказывает)
Ingress filtering не может быть задействован и отключен тк нет tagged vlan
А больше там настроек как бы и нет

Конфиг 9448 то же прост
spanning-tree не включен
1-46 порты локалка vlan2, 47 vlan3, 48 vlan4 - все антаггед
настроены acl для защиты свитча
вланы роутит этот свитч
aclы в процессе ковыряния грохнули оставили только для mgmt, да и не нужны они сейчас, тк сетка будет полностью перестроена

Конфиг 9448го (вложением добавить не получается)
Скрытый текст:
Только для зарегистрированных пользователей.
Скрытый текст:
AT9448TSP# show con dyn
---Start of current configuration ------------------

#
# System Configuration
#
set system name="AT9448TSP"

#
# User Authentication Configuration
#
set user=manager password=

set user=operator password=

#
# Switch Console Configuration
#

#
# Port Configuration
#

#
# Power Over Ethernet Configuration
#

#
# Port Trunking Configuration
#

#
# LACP Configuration
#

#
# Mirror-to Port Configuration
#

#
# Mirror Port(s) Configuration
#

#
# VLAN Configuration
#
create vlan=local vid=2 untaggedports=1-46
create vlan=voip vid=3 untaggedports=47
create vlan=nas vid=4 untaggedports=48

#
# MAC Based VLAN Configuration
#

#
# Spanning Tree Configuration
#


#
# Classifier Configuration
#

#
# ACL Configuration
#

#
# QoS Configuration
#

#
# Denial of Service
#

#
# Management ACL Configuration
#
enable mgmtacl
create mgmtacl id=1 ipaddress=192.168.2.20 mask=255.255.255.255 application=all
create mgmtacl id=2 application=ping

#
# MAC Timer Configuration
#
set switch AgeingTimer=120

#
# MAC Configuration
#

#
# IGMP Snooping Configuration
#

#
# MLD Snooping Configuration
#

#
# EPSR Snooping Configuration
#

#
# ENCO Configuration
#

#
# PKI Configuration
#

#
# SSL Configuration
#

#
# Web Server Configuration
#
set http server port=80
enable http server

#
# Port Access Configuration
#

#
# Port Security
#

#
# Enhanced Stacking Configuration
#
set switch stackmode=unavailable

#
# SNMP Configuration
#

#
# SNTP Configuration
#
add sntp peer=192.168.2.6
set sntp dst=disabled pollinterval=1200 utcoffset=3
enable sntp

#
# SSH Configuration
#

#
# GARP Configuration
#

#
# Event Log Configuration
#
disable log

#
# Interface Manager Configuration
#
add ip interface=vlan1-0 ipaddress=192.168.254.254 mask=255.255.255.0
add ip interface=vlan2-0 ipaddress=192.168.2.1 mask=255.255.255.0
add ip interface=vlan3-0 ipaddress=192.168.3.1 mask=255.255.255.0
add ip interface=vlan4-0 ipaddress=192.168.4.1 mask=255.255.255.0
set ip local interface=vlan2-0

#
# ARP Cache Manager Configuration
#

#
# Route Table Manager Configuration
#
add ip route=0.0.0.0 nexthop=192.168.2.254
add ip route=192.168.100.0 mask=255.255.255.0 interface=vlan2-0 nexthop=192.168.2.253
add ip route=192.168.101.0 mask=255.255.255.0 interface=vlan2-0 nexthop=192.168.2.253
add ip route=192.168.102.0 mask=255.255.255.0 interface=vlan2-0 nexthop=192.168.2.253

#
# RIP Routing Configuration
#

#
# VRRP Configuration
#

#
# BOOTP Relay Configuration
#

#
# RRP Snooping Configuration
#

#
# Interface LinkUpDownTrapEnable Configuration
#

#
# GLC Configuration
#


#
# LFP Configuration
#

---End of current configuration -----------------------
AT9448TSP#


На 510м вообще все по умолчанию - те 1 влан и все, stp отключен глобально
настроены acl для защиты свитча (по монтивам букваря - тк только разбираемся с aw/aw+)
больше ничего не трогали
воткнут в 19й порт 9448го

Конфиг 510го
Скрытый текст:
Только для зарегистрированных пользователей.
Скрытый текст:
!
service password-encryption
!
hostname AT-x510L-52GT-1
!
no banner motd
!
username manager privilege 15 password 8
username admin privilege 15 password 8
!
no ssh server authentication publickey
ssh server allow-users admin
ssh server allow-users scp
ssh server allow-users sftp
service ssh ip
!
platform hwfilter-size ipv4-limited-ipv6
!
no service telnet
!
service http
!
clock timezone IST plus 3:00
!
snmp-server
snmp-server contact Administrator
snmp-server location OFFICE
!
aaa authentication enable default local
aaa authentication login default local
!
!
no stack 1 enable
!
ip name-server 192.168.2.6
ip name-server 192.168.2.5
ip name-server 192.168.2.4
ip domain-lookup
!
!
!
no service dhcp-server
!
!
!
no ip multicast-routing
!
spanning-tree mode rstp
!
loop-protection loop-detect
lacp global-passive-mode enable
no spanning-tree rstp enable
!
access-list hardware block-management
permit icmp any 192.168.2.229/32
deny ip any 192.168.2.229/32
access-list hardware protect-management
permit tcp 192.168.2.20/32 192.168.10.229/32 eq 22
permit tcp 192.168.2.20/32 192.168.10.229/32 eq 80
permit tcp 192.168.2.20/32 192.168.10.229/32 eq 443
permit udp 192.168.2.20/32 192.168.10.229/32 eq 161
permit icmp 192.168.2.0/24 192.168.10.229/32
deny ip any 192.168.2.229/32
!
switch 1 provision x510-52
!
vlan database
vlan 2 name local
!
interface port1.0.1-1.0.52
loop-protection action port-disable
switchport
switchport mode access
switchport access vlan 2
access-group protect-management
!
interface vlan2
ip address 192.168.2.229/24
!
ip route 0.0.0.0/0 192.168.2.230
!
ntp server 192.168.2.6
ntp server 192.168.2.5
ntp server 192.168.2.4
!
line con 0
exec-timeout 180 0
line vty 0 32
exec-timeout 120 0
!
end
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: Странное поведение сети с AT-9448T/SP, AT-x510L-52GT

Сообщение Ginodman Mikhail » 25 июл 2016, 18:25

у вас до этого было написано, что если везде выключен STP, то все работает?
Ginodman Mikhail
Site Admin
 
Сообщения: 2535
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: Странное поведение сети с AT-9448T/SP, AT-x510L-52GT

Сообщение NoIZz » 25 июл 2016, 21:15

До этого было написано, что STP вырублен везде и если включить его на 510м (а он по умолчанию включен) то ложится доступ к 510му, 950му и 9448му
И полностью ложится сеть в 510м
Если STP вырубить все работает, кроме тормозов на 950м пока не отрезетишь его аплинк-порты к 9448му
Если врубить stp на 950м и 9448м то же работаетб при условии что на 510м STP выключен
если врубить на 510м все ложится
понимаю что дело в конфиге и к конфигурации STP надо подходить ответственно
Он по умолчанию в 510м включен - включил в сеть и все легло
Отсюда и вопросы

Проводить дальнейшие эксперименты не хочу
Надо будет поподробнее изучить тему stp

Догадываюсь что надо было BPDU на 950м на портах disabled
И set switch multicastmode=a на 9448м
ЧТо бы bpdu пакеты блочились на всех портах, не отсылались и не ретранслировались
Я так понимаю что если bpdu на портах 950го включен, он не зависимо от типа влан и включен или выключен stp будет их ретранслировать на все порты всех влан
Во всяком случае мне показалось, что это так
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: Странное поведение сети с AT-9448T/SP, AT-x510L-52GT

Сообщение NoIZz » 26 июл 2016, 21:02

Вобщем в процессе изучения выявилось 2 проблемы

9448 наглухо виснет при попытке посмотреть состояние stp/rstp/mstp (show stp, show mstp итп)

950й начинает подвисать и дропать пакеты если на нем настроены port-based vlan, мало того, mac'и из одного влан проникают в другой
Spanning-tree отключен
Сейчас попробую сбросить конфиг 950го и заново его настроить

Сбросил
Настроил вланы (порты untagged) 1-24 pvid 3, 25-48 pvid 2
Ingress filter на портах оставил
BPDU на портах выключил
Остальное по умолчанию
Все вроде ОК
как только создам хоть 1 port-based vlan и передвину в него несколько портов начинается свистопляска с этим 950м
Понимаю что это в коммутаторы 2го уровня, но все же...
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34


Вернуться в Коммутаторы 3го уровня

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron