Problem okresowej utraty sieci (cisco+srx240)

Wiadomość

rodiavel · #1

Witam,

Mam junipera SRX'a 240 z kilkoma portami w różnych sieciach np. 192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24. Jeśli na switchach do których wpięte są stacje nie mam pokonfigurowanych żadnych vlanów to mimo wielu bramek w domyślnym VLANie 1 wszystko działa poprawnie.
Teraz część hostów na switchach wrzucam do osobnego VLANu i podpinam go do portu w SRX'ie np. sieci 192.168.1.0/24. (Mam zatem wydzieloną sieć na porcie w SRX'ie.)

Dalej uruchamiam serwer DHCP w sieci 192.168.0.0/24. NA SRXie konfiguruję w forwarding options dhcp relay do tego serwera dhcp.

Mam zatem stan taki: wiele komputerów w sieciach 192.168.0.0/24, 192.168.2.0/24, 192.168.3.0/24 z odpowiadającymi im bramkami na SRX'ie, ale wszyscy w jednym VLAN 1. Hosty tutaj nie korzystają z serwera DHCP w żaden sposób. Dodatkowo jak wyżej pisałem
poprzez osobny VLAN mam kilkanaście komputerów pobierających adresy z serwera DHCP.

W czym problem ?
Otóż komputery pobierają mi adresy z serwera dhcp i pracują jakiś bliżej nieokreślony czas. Co to znaczy ? W pewnym momencie np. po 1/2 h, po 1 h, po 6 h dzwoni użytkownik i mówi że "stracił sieć". Co ciekawe może on pingować swoją bramkę na juniperze (192.168.1.1) - jednak juniper nie chce puszczać ruchu dalej w sieć (nie ma pingów na adres 192.168.0.1). Mija bliżej nieoznaczony czas - 5 min, 10 min prób i eksperymentów i transmisja sieciowa wraca do normy.

Na SRX'ie nie ma odrzuceń pakietów DHCP, adresy nadają się poprawnie.
Serwerem DHCP jest Win2k3. Switchami są cisco 2960G, 6513, 3560G.

Po modyfikacjach ustawień na portach switchy oraz kart sieciowych hostów prędkość/duplex myślę, że problem będzie juniperze. Albo się nie wyrabia z ruchem ok. 600 hostów w sieci lokalnej + wiele hostów łączących się z sieci z serwerami. Nie potrafię zdiagnozować co się może nie wyrabiać - przepełniać na SRX'ie jeśli to on jest problemem.
Czy ktoś się spotkał z takim okresowym zanikiem sieci ?

pozdrawiam

konny · #2

Masz 5 roznych sieci w 1 VLANIE. Radzilbym zrobic VLAN dla kazdej sieci, bo inaczej cuda moga sie dziac.

rodiavel · #3

Wiem o tym, ale hostów jest bardzo dużo i nie ma możliwości wszystkiego na raz zrobić. Szukam teraz problemu w juniperze.

and · #4

Kiedyś w jednej z lokalizacji miaiłem podobny przypadek. Okazało się, że ktoś uruchomił serwer dhcp, który w swoim zakresie zawierał adres bramy. Z DHCP host otrzymywał adres bramy, ale niestety nie był routerem.

rodiavel · #5

No niestety, to nie ten przypadek

. Dzisiaj na razie jak na złość od rana hosty których nie wróciłem jeszcze na statyczna adresację jeszcze działają i nikt nie zgłasza problemu. W STRM'a loguje całość ruchu z tej sieci VLANowej w kierunku sieci z serwerami i czekam... czekam..

and · #6

W takim razie może warto się przyjrzeć tematowi związanemu z RPF check.

michaliwanczuk · #7

czy każda adresacja jest rozciągnięta na każdy switch ? Pokaż schemat logiczny sieci

Oraz czy każda adresacja jest przypadkiem w innej zonie ?

rodiavel · #8

Strefy:
USERS : 192.168.1.0/24, 192.168.3.0/24, 192.168.11.0/24, 192.168.13.0/24
SERWERY: 192.168.0.0/24

Celem jest likwidacja hostów w sieciach 11.0 oraz 13.x i przerzucenie ich do sieci 1.0. W sieci 0.0 uruchomiłem serwer DHCP i skonfigurowałem forwarding-option by nadawał w sieć 1.0 adresy. W dniu dzisiejszym logowałem całość ruchu ze strefy USERS do SERWERS i nie było żadnych DENY w STRM'ie. Około 20 hostów w VLANIE podłączonym wprost w port junipera. Każda adresacja strefy USERS to osobny port na juniperze dlatego mogłem wyizolować przy pomocy dodatkowego VLANu stacje w sieci 1.0.

Nie potrafię powiedzieć czy fakt funkcjonowania w różnych VLANach hostów strefy USERS (vlan 1 - adresacje 3.0, 11.0, 13.0, 0.0) może w czymś przeszkadzać poza nadmiernym ruchem w sieci.

Switchy jest około 15. Nowy VLAN jest między nimi trunkami przerzucany. Gdyby było mniej komputerów z serwerami i drukarkami to od razu wszystko by się wpinało po Bożemu, ale musiałem wcześniej adresację /22 rozbić na kilka /24.

JulietCharlie · #9

Kod: Zaznacz cały

Okazało się, że ktoś uruchomił serwer dhcp, który w swoim zakresie zawierał adres bramy. Z DHCP host otrzymywał adres bramy, ale niestety nie był routerem.

To raczej swiadczy o nieznajomosci albo lenistwie administratora. (ip dhcp snooping).

b4n3 · #10

Proponuje sprawdzić MTU na interfejsach w które siedzą w vlan 1
Zrób show interfaces i wklej wynik.

Jeśli możesz to wklej config z SRX.
Dodatkowo, jak masz zaadresowany interfejs vlan1?

Czy zrobiłeś interface-range, czy jakoś inaczej konfigurowałeś?

rodiavel · #11

1. VLANy nie są konfigurowane na SRX'ie
2. MTU na wszystkich uruchomionych interfejsach logicznych SRX'a ma wartość 1500 (poniżej zrzut) zarówno na portach, gdzie dochodzą sieci z różnych adresacji VLANem 1 jak i na porcie do którego przychodzi po VLAN'ie 10 (ta jedna sieć którą chcę na dhcp mieć 1.0)

Logical interface ge-0/0/0.0 (Index 69) (SNMP ifIndex 509)
Flags: SNMP-Traps 0x0 Encapsulation: ENET2
Input packets : 83506319
Output packets: 160621521
Security: Zone: USERS
Allowed host-inbound traffic : bootp dhcp ping ssh ntp
Protocol inet, MTU: 1500
Flags: Sendbcast-pkt-to-re, Is-Primary
Addresses, Flags: Is-Preferred Is-Primary

Logical interface ge-0/0/1.0 (Index 70) (SNMP ifIndex 518)
Flags: SNMP-Traps 0x0 Encapsulation: ENET2
Input packets : 2749604682
Output packets: 2062181704
Security: Zone: SERVERS
Allowed host-inbound traffic : ping ssh ntp
Protocol inet, MTU: 1500
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Is-Preferred Is-Primary

b4n3 · #12

Pierwsza rzecz jaką sugeruję to usunięcie wpisu mtu 1500 z logicznych interfaceów, pamiętam, że też miałem problemy z forwardowaniem pakietów i usunięcie wpisu mtu pomogło. ogólnie nie musisz wpisywać mtu nawet na fizycznych interfaceach ponieważ domyślna wartość to 1500 dla logicznych. w zasadzie interface fizyczny powinien mieć wartość mtu 1514 bo chyba właśnie tyle potrzeba na vlan tagging z tego co pamiętam.

u mnie wygląda to tak:

Kod: Zaznacz cały

Physical interface: ge-0/0/1, Enabled, Physical link is Up
  Interface index: 135, SNMP ifIndex: 509
  Link-level type: Ethernet, MTU: 1514, Link-mode: Full-duplex, Speed: 1000mbps, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled,
  Auto-negotiation: Enabled, Remote fault: Online
  Device flags   : Present Running
  Interface flags: SNMP-Traps Internal: 0x0
  Link flags     : None
  CoS queues     : 8 supported, 8 maximum usable queues
  Current address: 00:XX, Hardware address: 00:XX
  Last flapped   :XX
  Input rate     : XXbps (Xpps)
  Output rate    : XXbps (Xpps)
  Active alarms  : None
  Active defects : None
  Interface transmit statistics: Disabled

  Logical interface ge-0/0/1.0 (Index 72) (SNMP ifIndex 524)
    Description: TO-XXXX
    Flags: SNMP-Traps 0x0 Encapsulation: ENET2
    Input packets : XXX
    Output packets: XXX
    Security: Zone: Null
    Protocol eth-switch, MTU: 0
      Flags: Is-Primary, Trunk-Mode

rodiavel · #13

U mnie MTU na logicznych interfejsach nie jest ustawiane wprost - w NSM'ie mam wartość "none" więc domyślnie mi wrzuca 1500. Troszkę obawiam się wprost przypisać wartość "0".

b4n3 · #14

a pokaż jak wygląda output sh inter ge-0/0/0 or sh inter ge-0/0/1 żeby wyświetlił i fizyczny i logiczny.

no zera nie wpisuj, ja po prostu nie znam nsm'a, a z cli to się po prostu neguje komendę
czyli delete mtu 1500, wtedy z domyślnej wartości jedzie

rodiavel · #15

Physical interface: ge-0/0/0, Enabled, Physical link is Up
Interface index: 134, SNMP ifIndex: 507
Link-level type: Ethernet, MTU: 1514, Link-mode: Full-duplex, Speed: 1000mbps, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled,
Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x0
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 78:19:f7:a0:a5:00, Hardware address: 78:19:f7:a0:a5:00
Last flapped : 2012-12-12 07:10:37 CET (6w0d 00:26 ago)
Input rate : 7768 bps (13 pps)
Output rate : 21928 bps (10 pps)
Active alarms : None
Active defects : None
Interface transmit statistics: Disabled

Logical interface ge-0/0/0.0 (Index 69) (SNMP ifIndex 509)
Flags: SNMP-Traps 0x0 Encapsulation: ENET2
Input packets : 84137626
Output packets: 161776079
Security: Zone: USERS
Allowed host-inbound traffic : bootp dhcp ping ssh ntp
Protocol inet, MTU: 1500
Flags: Sendbcast-pkt-to-re, Is-Primary
Addresses, Flags: Is-Preferred Is-Primary

Physical interface: ge-0/0/1, Enabled, Physical link is Up
Interface index: 135, SNMP ifIndex: 508
Link-level type: Ethernet, MTU: 1514, Link-mode: Full-duplex, Speed: 1000mbps, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled,
Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x0
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 78:19:f7:a0:a5:01, Hardware address: 78:19:f7:a0:a5:01
Last flapped : 2012-12-12 07:10:41 CET (6w0d 00:27 ago)
Input rate : 4346008 bps (1465 pps)
Output rate : 1724368 bps (1302 pps)
Active alarms : None
Active defects : None
Interface transmit statistics: Disabled

Logical interface ge-0/0/1.0 (Index 70) (SNMP ifIndex 518)
Flags: SNMP-Traps 0x0 Encapsulation: ENET2
Input packets : 2791214564
Output packets: 2092806888
Security: Zone: SERVERS
Allowed host-inbound traffic : ping ssh ntp
Protocol inet, MTU: 1500
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Is-Preferred Is-Primary