test_bruker Skrevet 19. september 2007 Del Skrevet 19. september 2007 Feilsymptom - Interne nettet går opp og ned - Får masse broadcast trafikk som jeg ikke vet hvor den kommer fra. Har ikke noe avansert utstyr for å sjekke hvor all den braodcastinga kommer fra. - Bruker HP switcher av 1800 serien (web managment) - Brannmur og en del av Cisco switcher står utplassert hos xx leverandør (har ikke snakket med dem enda) Noen som vet hva dette kan skyldes og hvordan kan jeg gå frem til å finne ut av dette mer konkret/detaljert? Det eneste jeg har gjort for å elimenere feilen var å sette limit på hvor mye portene for bruk av multicasting trafikken. Jeg vet ikke om dette kan ha noe med duplex settingene i core nettet ... har ikke sett på konfigen ... Trenger råd om en generelt feilsøknings rutine rundt overnevnte. Takk for all hjelpen! TB Lenke til kommentar
Demantios Skrevet 19. september 2007 Del Skrevet 19. september 2007 Kanskje det er pakker som går i loop? Bruker du spanning tree? Du kan analysere trafikken med Etherreal og se om du finner feil Lenke til kommentar
test_bruker Skrevet 19. september 2007 Forfatter Del Skrevet 19. september 2007 Kanskje det er pakker som går i loop? Bruker du spanning tree? Du kan analysere trafikken med Etherreal og se om du finner feil 9527063[/snapback] Det var jo jammen kjapt reply - takk skal du ha for d! Er klar over at bruk av STP, løser loop problemet - er ikke sikker om vedkommende kjører STP i nettet sitt - skal ut til vedkommende på fredag. (tror at de gjør det) Ut ifra det jeg "hørte" forløpig, så prøvde vedkommende å kjøre wireshark og kunne se kun sitt eget trafikk ...? Hva tror du/dere hva dette/annet kan være for noe? TB Lenke til kommentar
Demantios Skrevet 19. september 2007 Del Skrevet 19. september 2007 Om jeg ikke tar helt feil kan stp klusse seg til hvis det er utstyr fra forskjellige leverandører, så er ikke sikkert vedkommende kjører det Angående wireshark (etherreal) så er det nok winpcap som er problemet. Enten at det ikke er riktig installert eller at nettverkskortet ikke støtter dette Lenke til kommentar
test_bruker Skrevet 19. september 2007 Forfatter Del Skrevet 19. september 2007 Om jeg ikke tar helt feil kan stp klusse seg til hvis det er utstyr fra forskjellige leverandører, så er ikke sikkert vedkommende kjører det Angående wireshark (etherreal) så er det nok winpcap som er problemet. Enten at det ikke er riktig installert eller at nettverkskortet ikke støtter dette 9527188[/snapback] Hvis vekommende bruker HP utsyr som videre rutes via Cisco plattform - sier du da at begge plattformer må kjøre STP ? Noe annet du/dere kommer på som kan være problem? Det ser ut som problemet løser seg ved resetting av switcher ... TB Lenke til kommentar
Demantios Skrevet 19. september 2007 Del Skrevet 19. september 2007 Hvis vekommende bruker HP utsyr som videre rutes via Cisco plattform - sier du da at begge plattformer må kjøre STP ? Er ikke helt sikker. Kan bare STP i teorien, har vært lite borti det i praksis Noe annet du/dere kommer på som kan være problem?Det ser ut som problemet løser seg ved resetting av switcher ... IP-baserte pakker som går i loop dør ut etterhvert som TTL'en går ut. Mac-baserte pakker derimot dør ikke før ikke har noe sted å gå(?) Så da hjelper det ved reset (restart du mener?) Mulig jeg er helt på jordet nå, har ikke noe konkret å komme med egentlig. Men at det hjelper å restarte switcher tyder på at det er noe som hoper seg opp Lenke til kommentar
test_bruker Skrevet 19. september 2007 Forfatter Del Skrevet 19. september 2007 (endret) STP skal kjøres på begge "punkter" for å kunne unngå loop problematikken. På hp sine websider viser det seg at de ikke støtter STP. "Q: Does the ProCurve Switch 1800 series support Spanning Tree Protocols? No, the ProCurve Switch 1800 Series does not support any of the Spanning Tree Protocols (802.1s, 802.1D, or 802.1w). In addition to not supporting Spanning Tree, the switch will not pass Spanning Tree BPDUs (destination MAC = 01:80:C2:00:00:00) from upstream devices. " Med resett så tenkte jeg å restarte, ja TB Endret 19. september 2007 av test_bruker Lenke til kommentar
headbullen Skrevet 19. september 2007 Del Skrevet 19. september 2007 Klientmaskinene kjører virussjekker etc? Virus/spamware kan kjøre ødleggende trafikk ut på nettet... At det hoper seg opp over alt... Bare nevner det jeg, så du evt. får krysset det av lista di Lenke til kommentar
test_bruker Skrevet 19. september 2007 Forfatter Del Skrevet 19. september 2007 Klientmaskinene kjører virussjekker etc? Virus/spamware kan kjøre ødleggende trafikk ut på nettet... At det hoper seg opp over alt... Bare nevner det jeg, så du evt. får krysset det av lista di 9527495[/snapback] Takk for inputen -> headbullen! Klientmaskiner kjører virussjekk og da har jeg utelukket det som evt feikilde. TB Lenke til kommentar
NikkaYoichi Skrevet 19. september 2007 Del Skrevet 19. september 2007 En metode er jo å dele nettet opp i flere deler, koble ut trunkportene mellom de forskjellige delene for å se om trafikken endrer seg. Ved å bevege deg ut fra hovedsvitsjen kan du da finne ut i hvilken del av nettet ditt "problembarnet" henger på. Dette er den enkleste metoden hvis du ikke har management på svitsjene. Tidkrevende, men effektivt. Lenke til kommentar
test_bruker Skrevet 19. september 2007 Forfatter Del Skrevet 19. september 2007 En metode er jo å dele nettet opp i flere deler, koble ut trunkportene mellom de forskjellige delene for å se om trafikken endrer seg. Ved å bevege deg ut fra hovedsvitsjen kan du da finne ut i hvilken del av nettet ditt "problembarnet" henger på. Dette er den enkleste metoden hvis du ikke har management på svitsjene. Tidkrevende, men effektivt. 9527572[/snapback] Det er forsåvidt et lurt metode, ja. Kunne du komme med litt mer detaljer rundt hele oppleget? Men vet du/dere hvordan jeg kan finne ut hvilket enhet /host som sender broadcast trafikken ? Kommer tilbake med litt mer info imorgen. TB Lenke til kommentar
NikkaYoichi Skrevet 19. september 2007 Del Skrevet 19. september 2007 En metode er jo å dele nettet opp i flere deler, koble ut trunkportene mellom de forskjellige delene for å se om trafikken endrer seg. Ved å bevege deg ut fra hovedsvitsjen kan du da finne ut i hvilken del av nettet ditt "problembarnet" henger på. Dette er den enkleste metoden hvis du ikke har management på svitsjene. Tidkrevende, men effektivt. 9527572[/snapback] Det er forsåvidt et lurt metode, ja. Kunne du komme med litt mer detaljer rundt hele oppleget? Men vet du/dere hvordan jeg kan finne ut hvilket enhet /host som sender broadcast trafikken ? Kommer tilbake med litt mer info imorgen. TB 9527682[/snapback] Nå vet ikke jeg hvordan nettverket der er oppbygd, men for å si litt mer om hvordan jeg ville gått frem for å løse dette i praksis hvis jeg ikke hadde hatt management og utstyr for å teste så kommer fremgangsmåten her. Først og fremst så bør du finne frem nettverkskartet. Hvis du starter på hovedsvitsjen(den som binder hele nettverket sammen) så bør du finne ut hvor mange trunkporter den har. Deretter kobler du deg med kabel, direkte i den svitsjen. Pass på hvilken trunkport DHCP-serveren står på slik at du kan sette fast IP hvis det er nødvendig. Deretter sjekker du trafikken og kobler fra den ene trunkporten hvis det er flere. Hvis trafikken ikke endrer seg så vet du at feilen ligger på en av de andre "trunkene". Så du kobler fra en og en trunk til trafikken faller ned på ett normalt nivå. Hvis du kobler fra trunk og trafikken faller så har du identifisert den delen av nettverket ditt som har problemer. Deretter beveger du deg til neste svitsj(altså utover i nettverket ditt på den trunken som skaper problemer) og utfører samme prosedyre der. Helt til du kommer til en svitsj hvor det ikke hjelper å fjerne eller at det ikke eksisterer flere trunks enn den du kommer ifra. (du følger altså kabelen fra den ene svitsjen til den andre). Når du så har identifisert svitsjen så kobler du av node etter node og sjekker trafikken kontinuerlig. Helt til du finner kabelen som hører til problemnoden. Dette er altså den mest tidkrevende metoden. Prøv og feil, prøv og feil, prøv og feil - helt til du finner synderen. En annen metode er jo selvsagt å sjekke logger på svitsjer og server. Ved å gjøre det kan du se hvilken maskin som pøser ut den uønskede trafikken. Du kan også låse maskinen ut slik at den ikke får IP f.eks. Personen som sitter på den maskinen blir sikkert frustrert over at han/hun ikke har nett på sin maskin og vil derfor komme løpende selv. Lenke til kommentar
lohelle Skrevet 19. september 2007 Del Skrevet 19. september 2007 (endret) Syns det høres ut som et virus eller lignende jeg.. Jeg har snmp logging på alle mine switcher, og da ser raskt om det er ekstra mange "pakker" med trafikk fra en spesifikk PC.. Det er nok antall pakker som tar ned "nettet". Er det ikke oversikt over antall pakker pr port på disse switchene da (web management)? Da vil jo uplink porter + "synderen" være de med flest pakker... Endret 19. september 2007 av lohelle Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå