Аномалии в сети
 

Добрый день. Прошу помощи сообщества, потому что сам уже опускаю руки. Битва с сетью идет уже более полугода, и просветов не видно.
Сеть большая и плохо благоустроенная, расположена в медицинском учреждении, несколько копусов, корпуса связаны где-то оптикой, где-то витой парой. Один корпус вообще в другом краю города тоже оптикой связан. Свитчи разные D-Linki управляемые, старые и новые. Шлюз Микротик.

Во-первых, меня интересует такой вопрос, в силу отсутствия опыта и профильного образования сетевика, я не знаю одну важную вещь: допустимо ли в одной физической сети, как описано выше, эксплуатировать оборудования с разными логическими настройками? Т.е. поясню: у нас часть оборудования работает с настройками вида 192.168.0.1-192.168.1.254 (маска /23 или 255.255.254.0), часть оборудования работает с настройками 192.168.2.1-192.168.2.254 (маска /24 или 255.255.255.0). Оборудование из 2 подсети это обычно всякие не особо нужные управляющие интерфейсы серверов, видеонаблюдение, медицинские аппараты и т.д. Из 0-1 подсети - компьютеры и принтеры. В пределах подсетей всё более-менее работает. Но правльно ли это?

Сама сеть работает неадекватно в целом. У нас есть сервер с адресом 1.100, на нем расположена общая папка для всего персонала. И этот сервер постоянно периодически без всякой системы отваливается из сети. Пинги либо не ходят совсем, либо ходят рвано с потерями от 1 до 99%, либо работает идеально. Сам сервер как железо уже неоднократно менялся, было и файлохранилище Синолоджи, и обычный DEPO сервак на Windows Server, и сервак ASUS на Windows Server, ничего не меняется. Меняли и порты, и свитч, куда это всё воткнуто, поставили новый. Дошло уже до того, что на данный момент на сервере Depo установлен гипервизор ESXi, на него две виртуальные машины, одна 1.213, вторая 1.100 голая! без общей папки! установлена сегодня час назад!!. Первая работает и пингуется идеально, вторая стоит раком, не пингуется сама, и шлюз пингует рвано. Как это происходит, я уже не понимаю ничего. Одно железо, одна система, ОС голые без ничего, одинаковое всё, пинги разные. Как так-то...
Поменял виртуальным машинам IP адреса, 213я стала 100, 100я стала 213й, теперь 100я работает хорошо, а 213 с провалами, т.е. ошибка закрепилась за машиной, а не ее адресом.

Да.

Где-то у вас, возможно, какое-то устройство использует адрес 1.100.
Возможно, это какой-то коммутатор, возможно, кто-то притащил своё устройство.

Сканируйте сеть с отключенным сервером и составляйте карту сети с адресами, лебедями и чучелами (если это входит в ваши обязанности).
Работа адовая, но она должна быть сделана.

Не сходится, я поменял машинам адреса, теперь машина 1.213 лежит. Похоже в разное время разные причины действуют, именно сегодня - глючит гипервизор или виртуальная машина.

dislike, покажите трейс лучше.

Вот. Правда не совсем понимаю, что это даёт. Это трассировка из соседнего корпуса, между пунктами назначения два свитча

dislike,

Может кто-то "добрый" Вам устроил замыкание на сетевом оборудовании (т.е. выходящий из свича патчкорд вставил в этот же свич, но в другое гнездо)?

тогда бы вся сеть сбоила и то не факт, некоторые коммутаторы не дают закольцовываться

Судя по трейсу, либо icmp зафаерволен на большинстве узлов, либо всё плохо.

а если проверить нагрузку на сеть во время этих провалов?
возможно что-то "атакует"?

Бродкасты, к гадалке не ходи. Ну и мультикасты возможно. Впрочем, без внятной схемы сети ничего не сказать, только гадания. Но мне так кажется, что там чёрти что творится и никто не знает, что.

Такое уже было. К нам приходили какие-то типы со своими флешками и заразили несколько компьютеров. Компьютеры в итоге начали атаковать всё вокруг, включая правительственные ресурсы, откуда нам потом по шапке прилетало. Собственно от них мы и узнали, что у нас проблемы. И почему-то из всех наших серверов только 1.100 отваливался при этих атаках. Компы эти нашли и продезинфицировали. 1.100 отваливаться перестал на несколько месяцев. Недавно начал опять пропадать стабильно по утрам на несколько десятков минут и самопроизвольно возвращаться. Однако теперь я подозреваю замучанный гипервизор на старом сервере Depo, где сейчас крутятся 1.100 и 1.213. Он был выведен из эксплуатации и стоял как полигон для экспериментов, а потом в момент атак на правительство, туда перенесли 1.100 (он был на NASе Синолоджи), а потом и 213. В итоге 213 работает хорошо с любым IP, а 100 работает плохо (тоже с любым IP). Сетевые карты на сервере 2 штуки, обе работают одинаково, дело не в них. Сейчас занимаюсь очередным переносом 100 на более новый сервер ASUS.

Как внятно и наглядно измерять нагрузку на сеть?

Допустим. А делать-то что?

Схема у нас есть. Ну как схема, структурная иллюстрация как чего с чем соединяется в плане корпус/свитч, там ничего особенно интересного. Логическая топология действительно чуть сложнее и там действительно мало что понятно. В организацию заходит провайдер с интернетом, его оптика заведена в один корпус. (А). Туда же приходит некая правительственная защищенная сеть ТМС. В каждом корпусе стоят управляемые свитчи с VLANами. Интернет и ТМС через VLAN подаются в соседний корпус (Б) на шлюз Микротик, который там стоит просто потому что старому ИТ отделу так захотелось. И уже оттуда всё это раздается по всем корпусам, т. е. обратно в корпус А, оттуда звездой по всем соседним корпусам. Отдельно стоит корпус В, в котором серверная, там 4 свитча, стойка серверов и некоторые мелкие корпуса подключены напрямую туда, минуя А.

Покажите ipconfig /all и route print с 100 и 213, только не в картинках, a текстом.

Убедитесь, что сетевые маски на двух вирт.машин одинаковые, а вирт.сетевые интерфейсы подключены к одной и той же физ.сетевой карте

Разделять и властвовать бродкаст-домены, то бишь, подсети. Но то всё вангование, вторая страница пошла, но схемы сети нет. Одни общие слова и гадания. Я понял, что её тупо нет, но наверное надо поднапрячься и составить.