Andy Vasilenko wrote:

Доброго дня всем! Есть ситуация: клиент подключен по волокну, обещана полоса... ну скажем 10М... Если он просто тянет фильм на 10М то все в порядке, маршрутизатор держит, но периодически от клинта льется поток мелких пакетов (до 40Kpps), и маршрутизатор "замерзает" в попытке все это обработать. При чем сам клиент не может сказать что это у него за трафик такой ходит.

Включено это счастье в каталист 3524XL... IOS (tm) C3500XL Software (C3500XL-C3H2S-M), Version 12.0(5)WC5a, RELEASE SOFTWARE (fc2) System image file is "flash:c3500xl-c3h2s-mz.120-5.WC5a.bin"

Пришла в голову светлая мысль настроить storm-control, для начала хотя бы в режиме нотификации (отсылки трапов), для чего сделали на порту: port storm-control unicast trap port storm-control unicast threshold rising 15 falling 10 (величины заведомо меньше чем обычный трафик на порту клиента).

Трапы по поводу storm-control не приходят :( Другие трапы приходят, то есть с конфигурацией snmp проблем скоре всего нет.

Вопросы: 1) правильно ли понимается действие команды "port storm-control unicast" -- при пересечении заданной границы pps для любого пакета произодет заданное событие 2) альтернативные способы лечения (новый маршрутизатор не предлагать :) ?

Включить monitor port на какой-то интерфейс, в который включен писюк, и таки посмотреть tcpdump-ом что же там ллется? -- Mykola Dzham, LEFT-(UANIC|RIPE) JID: levsha@jabber.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Hi! On Wed, Nov 08, 2006 at 16:18 +0200, Andy Vasilenko wrote:

Доброго дня всем! Есть ситуация: клиент подключен по волокну, обещана полоса... ну скажем 10М... Если он просто тянет фильм на 10М то все в порядке, маршрутизатор держит, но периодически от клинта льется поток мелких пакетов (до 40Kpps), и маршрутизатор "замерзает" в попытке все это обработать. При чем сам клиент не может сказать что это у него за трафик такой ходит.

Включено это счастье в каталист 3524XL... IOS (tm) C3500XL Software (C3500XL-C3H2S-M), Version 12.0(5)WC5a, RELEASE SOFTWARE (fc2) System image file is "flash:c3500xl-c3h2s-mz.120-5.WC5a.bin"

Пришла в голову светлая мысль настроить storm-control, для начала хотя бы в режиме нотификации (отсылки трапов), для чего сделали на порту: port storm-control unicast trap port storm-control unicast threshold rising 15 falling 10 (величины заведомо меньше чем обычный трафик на порту клиента).

Трапы по поводу storm-control не приходят :( Другие трапы приходят, то есть с конфигурацией snmp проблем скоре всего нет.

Первый вопрос, а что оно себе вообще думает? (show port storm-control [Interface] unicast) Попробуйте поставить более реальное значение, чтобы превышение было не всегда, а возникало/исчезало (а не просто возникало в момент изменения конфига).

Вопросы: 1) правильно ли понимается действие команды "port storm-control unicast" -- при пересечении заданной границы pps для любого пакета произодет заданное событие 2) альтернативные способы лечения (новый маршрутизатор не предлагать :) ?

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Andy Vasilenko wrote:

Доброго дня всем! Есть ситуация: клиент подключен по волокну, обещана полоса... ну скажем 10М... Если он просто тянет фильм на 10М то все в порядке, маршрутизатор держит, но периодически от клинта льется поток мелких пакетов (до 40Kpps), и маршрутизатор "замерзает" в попытке все это обработать. При чем сам клиент не может сказать что это у него за трафик такой ходит.

Включено это счастье в каталист 3524XL... IOS (tm) C3500XL Software (C3500XL-C3H2S-M), Version 12.0(5)WC5a, RELEASE SOFTWARE (fc2) System image file is "flash:c3500xl-c3h2s-mz.120-5.WC5a.bin"

Пришла в голову светлая мысль настроить storm-control, для начала хотя бы в режиме нотификации (отсылки трапов), для чего сделали на порту: port storm-control unicast trap port storm-control unicast threshold rising 15 falling 10 (величины заведомо меньше чем обычный трафик на порту клиента).

Трапы по поводу storm-control не приходят :( Другие трапы приходят, то есть с конфигурацией snmp проблем скоре всего нет.

Вопросы: 1) правильно ли понимается действие команды "port storm-control unicast" -- при пересечении заданной границы pps для любого пакета произодет заданное событие 2) альтернативные способы лечения (новый маршрутизатор не предлагать :) ?

жизнь наладилась -- трапы пошли, не понятно почему не шли раньше... командочку show port storm-control не заметили сразу, спасибо, пользительно. и абонент после внушения вдумчиво подошел к вопросу и нашел дыру через которую скорее всего это дело и лилось... вопрос уже из области теоретических исследований: есть 2 возможных действия по превышению порога -- filter Filter traffic during a storm shutdown Shutdown the port if a storm occurs shutdown как бы это жестоко, а вот как отрабатывает filter? при привышении границы блокирует, при опускании ниже нижней разблокирует? или режет по уровню верхней границы? На Cisco сожалению внятного ответа не нашел :( -- ------------------------------------------------------- Andy Vasilenko ISP "Intercom" ! AV18-UANIC AVA-RIPE http://www.intercom.net.ua ! (380)44 251-12-88 =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Hi! On Thu, Nov 09, 2006 at 15:13 +0200, Alexander Burnos wrote:

Hello!

On Thu, Nov 09, 2006 at 03:06:11PM +0200, Andy Vasilenko wrote:

...

вопрос уже из области теоретических исследований: есть 2 возможных действия по превышению порога -- filter Filter traffic during a storm shutdown Shutdown the port if a storm occurs

shutdown как бы это жестоко, а вот как отрабатывает filter? при привышении границы блокирует, при опускании ниже нижней разблокирует? или режет по уровню верхней границы? На Cisco сожалению внятного ответа не нашел :(

filter блокирует весь трафик на порту, пока он не упадет ниже нижней threshold

данного типа. То есть если, например, зафильтровались broadcast-ы, то unicast-ам это не мешает.

отметки, если я не ошибаюсь.

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Andrew Stesin wrote:

09.11.06, Andy Vasilenko написал(а):

...

и абонент после внушения вдумчиво подошел к вопросу и нашел дыру через которую скорее всего это дело и лилось...

С этого места нельзя ли поподробнее?

к сожалению нет :( после надцатого повторения этого эфекта с админом поговорили уже не в стиле "посмотрите пожалуйста", а в стиле "надо что-то делать". Он зафильтровал этот порт (500 udp) с логированием, выяснил что это (дальше с его слов) лилось с их вэб-сервера, на котором пограмеры оставили дырку, через которую скорее всего сервак проломили и лили эту бяку. Дырку _вроде_ закрыли. так как сервак нам не подконтролен и дырку искал не тот человек с которым мы контактируем другой информации нет. на данный момен блокировку он снял (по нашей просьбе), будем смотреть зарыли ли дырку и работает ли storm-control. -- ------------------------------------------------------- Andy Vasilenko ISP "Intercom" ! AV18-UANIC AVA-RIPE http://www.intercom.net.ua ! (380)44 251-12-88 =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message