Войти

Показать полную графическую версию : Аномалии в сети


dislike
18-03-2021, 10:02
Добрый день. Прошу помощи сообщества, потому что сам уже опускаю руки. Битва с сетью идет уже более полугода, и просветов не видно.
Сеть большая и плохо благоустроенная, расположена в медицинском учреждении, несколько копусов, корпуса связаны где-то оптикой, где-то витой парой. Один корпус вообще в другом краю города тоже оптикой связан. Свитчи разные D-Linki управляемые, старые и новые. Шлюз Микротик.

Во-первых, меня интересует такой вопрос, в силу отсутствия опыта и профильного образования сетевика, я не знаю одну важную вещь: допустимо ли в одной физической сети, как описано выше, эксплуатировать оборудования с разными логическими настройками? Т.е. поясню: у нас часть оборудования работает с настройками вида 192.168.0.1-192.168.1.254 (маска /23 или 255.255.254.0), часть оборудования работает с настройками 192.168.2.1-192.168.2.254 (маска /24 или 255.255.255.0). Оборудование из 2 подсети это обычно всякие не особо нужные управляющие интерфейсы серверов, видеонаблюдение, медицинские аппараты и т.д. Из 0-1 подсети - компьютеры и принтеры. В пределах подсетей всё более-менее работает. Но правльно ли это?

Сама сеть работает неадекватно в целом. У нас есть сервер с адресом 1.100, на нем расположена общая папка для всего персонала. И этот сервер постоянно периодически без всякой системы отваливается из сети. Пинги либо не ходят совсем, либо ходят рвано с потерями от 1 до 99%, либо работает идеально. Сам сервер как железо уже неоднократно менялся, было и файлохранилище Синолоджи, и обычный DEPO сервак на Windows Server, и сервак ASUS на Windows Server, ничего не меняется. Меняли и порты, и свитч, куда это всё воткнуто, поставили новый. Дошло уже до того, что на данный момент на сервере Depo установлен гипервизор ESXi, на него две виртуальные машины, одна 1.213, вторая 1.100 голая! без общей папки! установлена сегодня час назад!!. Первая работает и пингуется идеально, вторая стоит раком, не пингуется сама, и шлюз пингует рвано. Как это происходит, я уже не понимаю ничего. Одно железо, одна система, ОС голые без ничего, одинаковое всё, пинги разные. Как так-то...
Поменял виртуальным машинам IP адреса, 213я стала 100, 100я стала 213й, теперь 100я работает хорошо, а 213 с провалами, т.е. ошибка закрепилась за машиной, а не ее адресом.

Angry Demon
18-03-2021, 10:53
допустимо ли в одной физической сети, как описано выше, эксплуатировать оборудования с разными логическими настройками?
Да.

Где-то у вас, возможно, какое-то устройство использует адрес 1.100.
Возможно, это какой-то коммутатор, возможно, кто-то притащил своё устройство.

Сканируйте сеть с отключенным сервером и составляйте карту сети с адресами, лебедями и чучелами (если это входит в ваши обязанности).
Работа адовая, но она должна быть сделана.

dislike
18-03-2021, 11:21
Где-то у вас, возможно, какое-то устройство использует адрес 1.100. »
Не сходится, я поменял машинам адреса, теперь машина 1.213 лежит. Похоже в разное время разные причины действуют, именно сегодня - глючит гипервизор или виртуальная машина.

Jula0071
18-03-2021, 15:51
dislike, покажите трейс лучше.

dislike
18-03-2021, 19:13
Вот. Правда не совсем понимаю, что это даёт. Это трассировка из соседнего корпуса, между пунктами назначения два свитча

Anton04
18-03-2021, 20:34
dislike,

Может кто-то "добрый" Вам устроил замыкание на сетевом оборудовании (т.е. выходящий из свича патчкорд вставил в этот же свич, но в другое гнездо)?

freese
19-03-2021, 14:18
ожет кто-то "добрый" Вам устроил замыкание на сетевом оборудовании (т.е. выходящий из свича патчкорд вставил в этот же свич, но в другое гнездо)? »
тогда бы вся сеть сбоила и то не факт, некоторые коммутаторы не дают закольцовываться

Jula0071
19-03-2021, 15:31
Судя по трейсу, либо icmp зафаерволен на большинстве узлов, либо всё плохо.

freese
19-03-2021, 16:20
а если проверить нагрузку на сеть во время этих провалов?
возможно что-то "атакует"?

Jula0071
19-03-2021, 16:52
возможно что-то "атакует"? »
Бродкасты, к гадалке не ходи. Ну и мультикасты возможно. Впрочем, без внятной схемы сети ничего не сказать, только гадания. Но мне так кажется, что там чёрти что творится и никто не знает, что.

dislike
20-03-2021, 05:37
а если проверить нагрузку на сеть во время этих провалов?
возможно что-то "атакует"? »

Такое уже было. К нам приходили какие-то типы со своими флешками и заразили несколько компьютеров. Компьютеры в итоге начали атаковать всё вокруг, включая правительственные ресурсы, откуда нам потом по шапке прилетало. Собственно от них мы и узнали, что у нас проблемы. И почему-то из всех наших серверов только 1.100 отваливался при этих атаках. Компы эти нашли и продезинфицировали. 1.100 отваливаться перестал на несколько месяцев. Недавно начал опять пропадать стабильно по утрам на несколько десятков минут и самопроизвольно возвращаться. Однако теперь я подозреваю замучанный гипервизор на старом сервере Depo, где сейчас крутятся 1.100 и 1.213. Он был выведен из эксплуатации и стоял как полигон для экспериментов, а потом в момент атак на правительство, туда перенесли 1.100 (он был на NASе Синолоджи), а потом и 213. В итоге 213 работает хорошо с любым IP, а 100 работает плохо (тоже с любым IP). Сетевые карты на сервере 2 штуки, обе работают одинаково, дело не в них. Сейчас занимаюсь очередным переносом 100 на более новый сервер ASUS.

Как внятно и наглядно измерять нагрузку на сеть?

Бродкасты, к гадалке не ходи. Ну и мультикасты возможно. »
Допустим. А делать-то что?

Впрочем, без внятной схемы сети ничего не сказать, только гадания. »
Схема у нас есть. Ну как схема, структурная иллюстрация как чего с чем соединяется в плане корпус/свитч, там ничего особенно интересного. Логическая топология действительно чуть сложнее и там действительно мало что понятно. В организацию заходит провайдер с интернетом, его оптика заведена в один корпус. (А). Туда же приходит некая правительственная защищенная сеть ТМС. В каждом корпусе стоят управляемые свитчи с VLANами. Интернет и ТМС через VLAN подаются в соседний корпус (Б) на шлюз Микротик, который там стоит просто потому что старому ИТ отделу так захотелось. И уже оттуда всё это раздается по всем корпусам, т. е. обратно в корпус А, оттуда звездой по всем соседним корпусам. Отдельно стоит корпус В, в котором серверная, там 4 свитча, стойка серверов и некоторые мелкие корпуса подключены напрямую туда, минуя А.

exo
20-03-2021, 10:14
Покажите ipconfig /all и route print с 100 и 213, только не в картинках, a текстом.

Убедитесь, что сетевые маски на двух вирт.машин одинаковые, а вирт.сетевые интерфейсы подключены к одной и той же физ.сетевой карте

Jula0071
21-03-2021, 14:09
Допустим. А делать-то что? »
Разделять и властвовать бродкаст-домены, то бишь, подсети. Но то всё вангование, вторая страница пошла, но схемы сети нет. Одни общие слова и гадания. Я понял, что её тупо нет, но наверное надо поднапрячься и составить.




© OSzone.net 2001-2012