LINUX.ORG.RU
ФорумAdmin

Перестают ходить исходящие пакеты от абонента

 , , ,


0

1

Сеть интернет провайдера небольшого города, активных абонентов около 15к. Схема сети стандартная: Абонентское устройство - коммутатор на доме - коммутатор агрегации на районе - коммутаторы в серверной - маршрутизатор - интернет. IP адреса для всех вланов раздаются микротиками в серверной, на них же шейпится скорость для абонентов. Микротиков много, запаса мощности с головой хватает, каждый загружен на 1-3%.

Совершенно в рандомное время возникает такая ситуация: в одном из вланов начинает ходить огромное количество пакетов, из за этого микротик с этим вланом грузится на 100% и считай что падает весь влан. Если сделать torch на влан где это всё происходит, картина выглядит вот так: https://hkar.ru/19gtP https://hkar.ru/19gtQ

Насколько я понимаю, у абонента почему то перестает передаватся исходящий трафик, а входящий сильно увеличивается из за дубликатов пакетов которые идут на него извне. Идей почему это может происходить и как это пофиксить раз и навсегда ровно 0.

Что стало понятно исходя из практики:

1.Проблема проявляется не во всех вланах. За год наблюдений есть вланы в которых проблема ни разу не встречалась.

  1. Домовые коммутаторы и коммутаторы агрегации на районе не виноваты т.к. во первых пробовали делать замену, во вторых проблема регулярно наблюдается на PON’e.

  2. Физические и программные неисправности микротиков тоже маловероятны. Пробовали перенести проблемные вланы на другие микроты, проблема проявлялась уже на других. В логах микротов полезной инфы нет, там всякие сообщения о том что юзеры не смогли авторизоватся, но это не причина а следствие. Все ошибки в логах лезут потому что микрот в момент этих глюков загружен на 100% и даже зайти на него это уже достижение.

  3. В момент проблемы чтобы это пофиксить достаточно просто на время отключить абонента которого показывает микрот в торче. После этого оно может проработать несколько месяцев без проблем, а может проявится и в этот же день снова.

Понимаю конечно что всех нюансов не объяснить в одном посте, но может кто то сталкивался хотя бы с чем то подобным или есть какие то мысли, с удовольствием почитаю любые мысли по этому поводу.

★★

Последнее исправление: Xegai (всего исправлений: 1)
Консольный почтовый клиент(получение по IMAP из скрипта).
синтаксис ip в iptables

у абонента почему то перестает передаватся исходящий трафик, а входящий сильно увеличивается из за дубликатов пакетов которые идут на него извне

Никакого «сильного увеличения» входящего трафика из-за неработающего исходящего быть не может. Небольшое время будут дубликаты, да, но не в виде флуда и вообще в целом это не заметно. Через небольшое же время это прекратится.

Скорее абонента кто-то атакует, у него из-за этого падает сеть и соответственно почти нет исходящих (или их там вообще нет?).

Картинки не грузятся.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Скорее абонента кто-то атакует, у него из-за этого падает сеть

Не самая плохая мысль. При хорошем ddos-е и магистральное оборудование кладут, а что уж говорить про домашнего пользака.
2ТС у пользака белый IP ?

anc ★★★★★
()
Ответ на: комментарий от Xegai

Нет, серый.

Я бы посмотрел что за трафик, для начала достаточно «кто» и «что» :) и только после этого сделал бы выводы.

ни разу не было такого глюка с абонами у которых белые IP

То что ваши сети не попадали под добротный ddos это «не ваша заслуга, а наша недоработка».

anc ★★★★★
()
Ответ на: комментарий от anc

Под DDOS попадали, но это всё проявлялось вообще не так как в этой теме. Там было четко понятно что происходит, а тут нет. Есть дамп трафика ваершарком с компа на котором наблюдались такие приколы

Xegai ★★
() автор топика
Ответ на: комментарий от Xegai

Есть дамп трафика ваершарком с компа на котором наблюдались такие приколы

И что в нем нарисовано?
ЗЫ Вообще ставить софт для анализа на рабочее оборудование, которое не исключено что уже содержит что-то недоброе, имхо так себе идея. По уму анализировать надо посередине. Вы провайдер или где?

anc ★★★★★
()

с удовольствием почитаю любые мысли по этому поводу

Читайте, пожалуйста.

Вы же коммерческий провайдер, да?

А значит, есть лицензия, да?

А значит, кто-то проектировал, строил, тестировал вашу сеть и сдавал в эксплуатацию, да?

Так обратитесь к ним, или в связьнадзор, или наймите инженера, который вам поможет.

anonymous
()
Ответ на: комментарий от anc

Вы написали очень много букав. И правильных букав. По отдельности… Но ТС спрашивает со своей, похоже возложенной на него, стороны.

Если ТС не в состоянии решить возложенную на него задачу, значит у него для этого недостаточно знаний и опыта. Знания при обретаются в процессе обучения, а опыт - на практике. Образование платное.

Если же он хочет, по-братски, решить проблему коммерческой организации путем эксплуатации коллективного разума, то хотя бы удосужился нарисовать схему сети, указать модели железа и т.п.

Ладно, подкину еще пару идей )))

Правило №1: в моей сети нет чужих МАС-адресов, даже если они есть

и да, VLAN-ов всего 2^12

anonymous
()
Ответ на: комментарий от anonymous

Если ТС не в состоянии решить возложенную на него задачу, значит у него для этого недостаточно знаний и опыта. Знания при обретаются в процессе обучения, а опыт - на практике.

Он и пришел сюда за советами. Понятно, что весь его выхлоп больше напоминает «Живу по соседству, переставлю оффтопик недорого». Но тем не менее мы все так или иначе когда-то начинали учится и продолжаем учится и по сей день.

anc ★★★★★
()
Ответ на: комментарий от anc

ну так firkax всё правильно и написал. больше всего похоже на DDOS или просто целенаправленную атаку трояном. или последствия ошибки в клиентском ПО. типа туннельного. ТС, там же всегда венда оконечивает?

mumpster ★★★★★
()
Консольный почтовый клиент(получение по IMAP из скрипта).
Admin
синтаксис ip в iptables