Проблема с домашней сетью

периодически сеть не работает: ни одного компа нет, войти ни в одну из рабочих групп не возможно, ни один комп не пингуется (что инетересно у всех сразу а не в отдельном сегменте.. в сети около 70-ти компов.) кое-как работает только чат по мэйл-слотам. в сети никаких серваков пока нет. раньше была такая ситуация - нашли конкретный свитч и перегрузили его и все моментально заработало. сейчас же перегруз этого свитча не помогает. перегружали вроде все свитчи (но этого не точно - я не админ там ). че делать? может кто сталкивался с подобным?

SergeP

Можно предположить что кто-то в сети гадит, переполняет mac-таблицы в коммутаторах или посылает от себя пакеты с броадкастовым адресом в качестве адреса источника (т.е. все пакеты установления связи будут валиться в этот порт), но тогда это должно лечиться перезагрузкой.

я тоже об этом подумал, а как определить кто в сети "гадит" ?

если хоть изредка проскакивают - значит вполне возможно пакеты где то теряются, причин сему может быть море, в том числе и поломка коммутатора.

вроде после перегруза одного свитча видел парочку компов, но не долго (опять свитч завис)

Vitamin80:

SergeP

Можно предположить что кто-то в сети гадит, переполняет mac-таблицы в коммутаторах или посылает от себя пакеты с броадкастовым адресом в качестве адреса источника (т.е. все пакеты установления связи будут валиться в этот порт), но тогда это должно лечиться перезагрузкой.

я тоже об этом подумал, а как определить кто в сети "гадит" ?

брать анализатор и смотреть что за пакеты в сети бегают

Vitamin80:

если хоть изредка проскакивают - значит вполне возможно пакеты где то теряются, причин сему может быть море, в том числе и поломка коммутатора.

вроде после перегруза одного свитча видел парочку компов, но не долго (опять свитч завис)

странно, что они как я понял несколько сразу зависают

от сбоев в сети и сбоев внутри коммутаторов такое маловероятно

толи какие то нехорошие пакеты сами откуда то берутся (и коммутаторы от них зависают - очень вероятно), толи им кто-то помогает появиться (менее вероятно, это ж каким надо быть идиотом что-б у себя же гадить)

но это всё в случае если - все коммутаторы одновременно (практически одновременно) зависают и помогает только перезагрузка

мессаги в чате видны, но список пользователей то показывает некоторых на пару секунд, после чего видны только мессаги. По IP не работает ничего.

Есть подозрение, что где-то ответные пакеты просто рубятся. Т.е. траффик анализировать то можно, видели, но как узнать, чего там не хватает? )) Это не "лишние" отбросить/отрубить/отфильтровать (не могу слово подходящее подобрать)

если по майл-слотам бегают пакеты, то имхо, что файрвол виноват! проверь его! может случайно ип в игноре стоят! да и вообще выкини файрволы и подобные фильтры! тольк трафик уменьшают!

makarych, фаерволл отпадает - это мы проходили, это мы знаем

SergeP, коммутаторы (switch) использованы как ни удивительно но все те же suricom 8-портовые также есть парочка d-link. в одном доме (считай рабочей группе) приблизительно 46 пользователей (в т.ч. и я ) а во втором где-то 23 (в т.ч. Валерка). маршрутизаторов и серверов нет. в первом доме свитчи подключены последовательно + через 1-2 ещё один кабель кинут друг на друга (насколько я помню/знаю - т.к. не мы тянули с валеркой сетку), во втором доме просто последовательно. сетка лежит полностью, перегруз свитчей не помогает. ситуация повторяется в последнее время постоянно.

ЗЫ: чат работает по мэйлслотам, но со скрипом.

Vitamin80:

SergeP, коммутаторы (switch) использованы как ни удивительно но все те же suricom 8-портовые также есть парочка d-link.

для начала я бы просто для интереса отключил какой-нить коммутатор от всей сети и посмотрел бы - работают ли на нем компьютеры, которые подключены только к нему

Vitamin80:

в одном доме (считай рабочей группе) приблизительно 46 пользователей (в т.ч. и я ) а во втором где-то 23 (в т.ч. Валерка). маршрутизаторов и серверов нет. в первом доме свитчи подключены последовательно + через 1-2 ещё один кабель кинут друг на друга (насколько я помню/знаю - т.к. не мы тянули с валеркой сетку)

что значит друг на друга ? вы случайно кольцо нигде не устроили ?) серьезно, проверьте, может где-нить закольцевали ? или кто-нить резерв из двух линий устроил ?

т.к. коммутаторы тупые, самое простое - отключать по одному от сети и смотреть работают ли на нем машины, если даже на отключенном коммутаторе не работают - понятно, полетели коммутаторы, если работают а после включения в сеть опять начинается беда - идете с другой стороны, отключаете коммутаторы, но вместе с пользователями, т.к. гадить в сети может и коммутатор и пользователь

захватить трафик лучше где-нить в середине сети между коммутаторами, но для этого нужен концентратор, что-бы посмотреть весь трафик или машина с ХР с двумя картами в режиме коммутатора

посмотрите во первых загрузку сети, посмотреть есть ли в сети ошибки не сможете, да и вряд ли вам это понадобится, мало вероятно, что какие-либо ошибки смогли бы полностью положить сеть

на что именно в трафике обращать внимание даже пока и предположить не могу, но т.к. маршрутизаторов и других вещей типа файрволов нет - ip пакеты ничем не отличаются от всех остальных, т.е. должно не работать всё, и конкретно ip пакеты не могут нигде рубиться. И по идее между коммутаторами не должно быть вообще никаких пакетов если всё зарубилось.

ну тогда вычисляйте сбойный коммутатор, по другому разбираться конечно более правильно, но думаю более долго, легче найти сбойный и заменить его

уже была подобная ветка, что коммутатор кладет всю сеть, я правда никогда такого не видел (с дешевым оборудованием практически не общаюсь) и что происходит в сети, исходя из теорию предположить не могу

исходя из теоретических пониманий коммутатор при сбое не может влиять на другие сегменты сети, и даже если он генерит сбойные пакеты, они должны умирать на ближайшем коммутаторе, и даже если они не умирают, а пробрасываются дальше - это не должно влиять на сеть, тем более полностью ее вырубать, по крайней мере на хорошем оборудовании это так

хотя вполне возможно что всё же идет некая атака

атаки на коммутаторы могут быть следующие - переполнение mac-таблиц, т.е. атакующий генерирует большое количество пакетов с различными maс адресами источника, и посылка пакетов с броадкастовым адресом в качестве источника, тогда броадкаст пропишется на этом порту и все пакеты установления связи будут лететь в этот порт

захватить трафик можно любым анализатором

есть бесплатный http://www.ethereal.com/

рекомендую Observer http://www.netinst.com - лучший

здесь

http://forum.onliner.by/viewtopic.php?p=1490225#1490225

давал ссылки на подобные ветки

если захватите пакеты - киньте для интереса посмотреть, что там происходит во время сбоя

сохраните в любом анализаторе в сниферовском формате

Vitamin80:

SergeP, дома имеется у меня некая прога (NX как-то там не помню как, скачаная со взора) которая может захватывать траффик, правда в этом я не спец но разобрался что идут пакеты с бродкастовым адресом. сення все еще раз посмотрю и завтра расскажу (инет как сам понимаешь тоже дома не фунциклирует, а момед свой я уже сплавил)

посмотри

броадкастовые пакеты могут и должны быть, но броадкаст должен быть в адресе назначение, адрес источника должен быть чьим то личным, в сети не должно быть только 70 личных mac адресов, т.е. не сотни и не тысячи (т.е. атака)

вначале может показаться что системных пакетов, в том числе броадкастов много, на самом деле нужно смотреть на их количество только во время хорошей загрузки сети, их количество будет на уровне процентов