*Воздух покинул это помещение*

N.A.

Читать полностью…

NTP для больших сетей MikroTik: несколько серверов и failover

В корпоративной или разветвленной сети важно не просто синхронизировать время на одном роутере, а обеспечить резервирование и согласованность времени на всех устройствах.

⏺Несколько NTP-серверов

Лучше указывать сразу несколько серверов, чтобы при недоступности одного синхронизация продолжалась с другим:

/system ntp client set enabled=yes primary-ntp=192.168.1.10 secondary-ntp=192.168.1.11 server-dns-names=0.pool.ntp.org,1.pool.ntp.org

Первичные и вторичные серверы внутри сети гарантируют, что локальные устройства будут иметь корректное время даже при обрыве интернета.

⏺Проверка и диагностика

Состояние клиента можно проверить так:

/system ntp client print
/system ntp servers print

В выводе видны активные серверы и задержка до них. Высокая задержка или отсутствие ответа сигнализируют о проблемах с сетью или firewall.

⏺Failover и последовательность
1️⃣Внутренние серверы берут приоритет, если они доступны.
2️⃣ Внешние NTP сервера — резерв.
3️⃣ Если все недоступны — роутер использует локальные часы, но периодически пробует повторно синхронизироваться.

N.A.

Читать полностью…

Что будет, если героические способности уместить в компактную оболочку?

❓новый герой Marvel
❓настольный сервер для задач локального ИИ
❓маленькая рабочая станция HP Z2 Mini G1a

Рассуждения в сторону, т.к. это тот самый случай, когда все варианты ответов верны!

А чтобы сомнения в могуществе этой машинки отпали раз и навсегда, подготовили небольшой видеообзор HP Z2 Mini G1a. Подсветили главные достоинства, конфигурации, области применения и даже провели наглядный тест — "как 128 ГБ памяти превращаются в локальный ИИ на 120 млрд параметров"

💬Смотреть в MAX
📺Смотреть на сайте

А совсем скоро ожидаем рабочую станцию Minisforum. Подписывайтесь, чтобы не пропустить обзор!

Сервер, сторадж & два свича

Реклама. ООО "ИТЕЛОН". ИНН 7701527528. erid: 2W5zFJmdLdo

Читать полностью…

Почему после включения Port-Security порт уходит в err-disable

Port-Security защищает сеть от нежелательных MAC-адресов, но при строгой настройке порта любое несоответствие правил вызывает блокировку.

Порт переходит в err-disable, если на нём появляется больше MAC, чем разрешено, если новый MAC не в списке allowed, или если нарушается режим violation (shutdown).

⏺На практике это проявляется так: на порту стоят IP-телефон и ПК, виртуальная машина на сервере, или случайно подключили другой коммутатор без согласования. Порт тут же падает, трафик прекращается, и STP перестраивает дерево.

🔎Как проверить?

show port-security interface Gi0/1
show port-security address
show interfaces status err-disabled
show mac address-table interface Gi0/1

👨‍🎨Как исправить
1️⃣Временно восстановить порт:

interface Gi0/1
 shutdown
 no shutdown

2️⃣Настроить лимит MAC или режим реакции:

interface Gi0/1
 switchport port-security maximum 3
 switchport port-security violation restrict

3️⃣Проверить актуальные MAC на порту и при необходимости добавить в allowed list:

switchport port-security mac-address sticky

N.A.

Читать полностью…

Как сделать резервный интернет-канал с автоматическим переключением

Чтобы при падении основного провайдера трафик автоматически уходил на backup, используется IP SLA + track + floating static route.

1️⃣Настроить IP SLA для проверки доступности внешнего узла:

ip sla 1
 icmp-echo 8.8.8.8 source-interface Gi0/0
 frequency 5
ip sla schedule 1 life forever start-time now

2️⃣Создать track-объект:

track 1 ip sla 1 reachability

3️⃣Основной маршрут через primary ISP:

ip route 0.0.0.0 0.0.0.0 1.1.1.1 track 1

4️⃣Backup-маршрут с большей administrative distance:

ip route 0.0.0.0 0.0.0.0 2.2.2.2 200

5️⃣Проверка работы переключения:

show track 1
show ip sla statistics
show ip route 0.0.0.0

При падении primary SLA перестаёт получать ответы, track переходит в down, основной маршрут удаляется из RIB и трафик автоматически идёт через backup.

N.A.

Читать полностью…

Почему OSPF соседство не поднимается

Интерфейсы в состоянии up/up, IP-адреса корректные, но соседи в OSPF не переходят в Full.

Чаще всего причина в несовпадении параметров: area ID, network type, hello/dead timers, MTU или authentication. 

Иногда интерфейс попадает под passive-interface, либо multicast 224.0.0.5 блокируется ACL’ом.

Также соседство не установится, если Router ID дублируется в домене или если одна сторона работает в stub/NSSA, а другая - нет.

🤖Что проверить на Cisco

show ip ospf neighbor
show ip ospf interface Gi0/1
show ip ospf interface Gi0/1 | include MTU
show ip protocols
show running-config | section router ospf
show ip ospf database
show access-lists

N.A.

Читать полностью…

Поздравляем, скоро у вас будет еще один мини-Mikrotik

N.A.

Читать полностью…

Как понять, что firewall блокирует трафик «мимо правил»

Иногда кажется, что все правила настроены правильно, но трафик не проходит. Проблема часто кроется в особенностях stateful firewall. 

Он отслеживает сессии, и если обратный путь идёт другим маршрутом (asymmetric routing) или таблица состояний переполнена, новые пакеты могут просто сбрасываться, даже если правила разрешают соединение.

⏺Симптомы: соединение устанавливается частично, ping проходит, а приложения не работают; одни сессии живут, другие рвутся без видимых причин.

Как проверить

show conn

Просмотр активных сессий на firewall.

show session all

Полная таблица сессий с их состояниями.

show logging | include DROP

Логи о сброшенных пакетах.

traceroute <destination>

Проверка маршрута в обход firewall и выявление асимметрии.

show ip route

Смотрим маршруты, чтобы убедиться, что обратный путь совпадает.

N.A.

Читать полностью…

Почему SSL/TLS соединения падают при смене времени

Даже когда сертификаты вроде валидны и сервер доступен, HTTPS-сессии могут обрываться или выдавать ошибки handshake.

Основная причина в том, что TLS строго проверяет время: если системные часы сервера или клиента сильно отстают или опережают реальное время, сертификаты могут считаться просроченными или ещё не действительными.

⏺Ещё одна частая причина - неправильно настроенный NTP. Без синхронизации часы расходятся, и handshake с клиентом завершается с ошибкой.

Иногда сбои связаны с expired сертификатами, которые дополнительно усугубляют проблему, особенно на новых соединениях.

Как проверить

show ntp status

Проверка синхронизации времени на сетевых устройствах.

date

Смотрим системное время на сервере.

openssl s_client -connect <host>:443

Анализ TLS handshake и проверки сертификатов.

timedatectl

Проверка часового пояса и синхронизации на Linux.

show logging | include NTP

N.A.

Читать полностью…

Почему трафик концентрируется на одном линке в агрегированных каналах

Даже когда в сети настроено несколько линков через LACP / Port-Channel или ECMP, трафик иногда упорно идёт по одному физическому каналу. Интерфейсы подняты, агрегирование активно, но один линк перегружен, а остальные почти пустые.

Такое поведение часто вводит в заблуждение - кажется, что резервные линки «не работают», хотя на самом деле алгоритм распределения трафика делает именно так.

↗️Как работает распределение трафика

Балансировка в LACP и ECMP обычно основана на hash-функции, которая использует параметры пакета для выбора линка:
• Source / Destination MAC
• Source / Destination IP
• Source / Destination TCP/UDP порты

Коммутатор или маршрутизатор вычисляет «хэш» и назначает конкретный линк для этой сессии.

Если большинство сессий используют одинаковые параметры (например, много трафика к одному серверу или одному сервису), хэш-функция распределяет их на один линк. 

Остальные остаются почти пустыми - это и называется hash polarization.

На практике это проявляется так:
⏺Один линк работает на 90–100% пропускной способности, другие - почти пустые.
⏺Сессии к одному серверу всегда идут через один и тот же линк.
⏺Мониторинг агрегированного канала показывает нормальную пропускную способность, но дисбаланс по отдельным линкам очевиден.

Как проверить на Cisco

show etherchannel summary

Статус всех Port-Channel, активные интерфейсы и режим LACP.

show interfaces port-channel 1

Ошибки, drops, скорость и загрузка агрегированного интерфейса.

show interfaces Gi0/1 etherchannel

Как конкретный физический интерфейс участвует в Port-Channel.

show etherchannel load-balance

Схема распределения трафика: по MAC, IP или портам.

show platform hardware port-channel statistics

Аппаратные счётчики по линкам, чтобы увидеть дисбаланс на уровне ASIC.

N.A.

Читать полностью…

5 команд для проверки ARP-таблицы

ARP - ключевой механизм для L2 ↔ L3 связи. Неправильные или устаревшие записи приводят к недоступности хостов, конфликтам IP и «рандомным» потерям пакетов.

show arp

Полный список IP ↔ MAC записей, их age и тип (dynamic/static).

show ip arp | include <IP_ADDRESS>

Фильтрация по конкретному IP для быстрого поиска конфликтов или недоступных хостов.

show ip arp | include <MAC_ADDRESS>

Позволяет найти, где в сети используется конкретный MAC.

clear arp-cache

Очистка ARP на интерфейсе или устройстве, чтобы динамические записи обновились.

ping <IP_ADDRESS> repeat 5

Принудительно создаёт ARP-запросы, помогает проверить, корректно ли обновляется ARP-таблица.

N.A.

Читать полностью…

MSS clamping в туннелях и WAN-линках

MSS clamping используется, чтобы TCP-сессии корректно работали поверх туннелей и каналов с уменьшенным MTU.

Без него соединение может устанавливаться нормально, но передача данных становится медленной, нестабильной или прерывается.

Такая ситуация часто встречается при использовании VPN, GRE, IPsec или PPPoE, где инкапсуляция уменьшает доступный размер полезной нагрузки.

TCP пытается отправлять сегменты больше допустимого MTU, и пакеты либо фрагментируются, либо silently дропаются, особенно при установленном DF-bit.

Как работает MSS clamping

Во время TCP-handshake устройство изменяет значение MSS в SYN-пакетах, чтобы хосты изначально использовали безопасный размер сегмента. Это предотвращает фрагментацию и снижает количество retransmissions.

Пример настройки на Cisco

Clamping MSS на входе интерфейса с туннелем:

interface Tunnel0
 ip tcp adjust-mss 1360

Для PPPoE-интерфейса:

interface Dialer1
 ip tcp adjust-mss 1452

Через policy-map (гибче и масштабируемее):

policy-map MSS-CLAMP
 class class-default
  set tcp-mss 1360

interface Tunnel0
 service-policy input MSS-CLAMP

N.A.

Читать полностью…

Диагностика VLAN leakage

VLAN leakage - ситуация, когда трафик из одного VLAN неожиданно появляется в другом. Обычно это не «баг», а следствие ошибок в trunk-настройках, native VLAN или некорректного tagging’а.

⏺Основные источники VLAN leakage

Чаще всего проблема возникает из-за несовпадения native VLAN на транке, когда untagged трафик интерпретируется по-разному на соседних устройствах.

Второй частый сценарий - trunk mismatch: VLAN разрешён с одной стороны, но не с другой. Третья причина - устройства или гипервизоры, которые отправляют трафик без тегов там, где ожидается tagged frame.

⏺Проверка trunk-интерфейсов

show interfaces trunk

Можно увидеть:
• какие интерфейсы реально работают в trunk
• native VLAN
• список allowed VLAN

show running-config interface Gi0/24

Проверка, явно ли задан switchport trunk native vlan и allowed vlan.

⏺Проверка native VLAN consistency

show interfaces Gi0/24 switchport

Отображает operational native VLAN. Именно она важна, а не только конфигурация.

show spanning-tree vlan <VLAN_ID>

Иногда leakage проявляется через неожиданные STP-события в «чужом» VLAN.

⏺Поиск VLAN mismatch и неожиданных MAC

show mac address-table vlan <VLAN_ID>

Если в VLAN появляются MAC-адреса, которые физически должны быть в другом сегменте — это прямой индикатор leakage.

show mac address-table interface Gi0/24

Помогает понять, какие VLAN реально приходят по конкретному транку.

⏺Проверка tagging ошибок и untagged трафика

show interfaces Gi0/24 counters errors

Ошибки encapsulation и drops иногда указывают на некорректный tagging.

show vlan brief

Позволяет проверить, не используется ли native VLAN как рабочий пользовательский VLAN, что сильно повышает риск leakage.

N.A.

Читать полностью…

Мифические продукты: мультивендорные NMS, автоматическое обнаружение устройств, построение топологии сети

26 февраля в 17:00 команда «Инфосистемы Джет» проведет открытый стрим, на котором разберет тему отсутствия по-настоящему мультивендорных решений и объяснит, почему универсальные системы управления сетью NMS до сих пор остаются скорее мечтой, чем реальностью. Эксперты расскажут, с какими архитектурными и технологическими ограничениями сталкиваются разработчики таких систем и к каким компромиссам приходят на практике. Отдельной темой станет ПО для автоматического обнаружения устройств и отрисовки сетевой топологии.

В программе стрима:

▪Ключевые функции (FCAPS) и компоненты систем управления сетью;
▪Разбор того, что получилось у создателей NMS Juniper Apstra: поддерживаемые архитектуры, производители, версии софта;
▪Проблематика создания NMS: подходы, транспорт, интерфейсы, формат данных, модели YANG, поддержка;
▪Системы отрисовки топологии: с доступом на оборудование и без доступа на оборудование;
▪Ответы спикеров на вопросы участников.

Стрим будет особенно полезен для специалистов, которые управляют сетевым оборудованием разных производителей, сталкиваются с ограничениями NMS и хотят разобраться в реальных возможностях и границах существующих технологий.

Чтобы попасть на стрим, не забудьте заранее зарегистрироваться на сайте.

Читать полностью…

Понимание и использование протокола DNSSEC

DNS — основа Интернета, но он подвержен атакам, таким как Man-in-the-Middle и Cache Poisoning, где злоумышленники могут подменить DNS-ответы.

DNSSEC (Domain Name System Security Extensions) решает эту проблему, обеспечивая защиту целостности и подлинности DNS-запросов с помощью криптографических методов.

Как работает DNSSEC?
⏺Цифровая подпись: Ответы DNS подписываются приватным ключом, а получатель может проверить их подлинность с помощью публичного ключа.
⏺Цепочка доверия: Публичные ключи проверяются через цепочку доверия, начиная с корневого DNS-сервера.

Почему это важно:

DNSSEC предотвращает:
• Man-in-the-Middle атаки — защита от подделки DNS-ответов.
• Cache Poisoning — защита от подмены данных в кэше DNS-сервера.
• Подделку ответов — гарантия, что данные не были изменены.

Как настроить DNSSEC?
1️⃣Генерация ключей: Создайте пару ключей (приватный и публичный) для домена.
2️⃣Подпись записей: Подпишите DNS-записи приватным ключом.
3️⃣Добавление записей на сервер: Обновите DNS-записи, добавив RRSIG и DNSKEY.
4️⃣Проверка: Убедитесь, что все записи правильно подписаны и работают.

N.A.

Читать полностью…

Почему после добавления второго uplink трафик идёт неравномерно

Добавили второй uplink для увеличения пропускной способности, а трафик почему-то идёт почти только через один линк.

Причина чаще всего не в физике, а в логике маршрутизации: ECMP использует хеширование по 5-tuple (src/dst IP, src/dst port, protocol). Если сессий немного или все они имеют одинаковые адреса/порты, hash «схлопывается» на один путь.

Также влияет L3 load-balancing: маршрутизатор распределяет пакеты по линкам на основе hash, а не равномерно по объёму. Поэтому маленькие потоки будут «привязаны» к одному интерфейсу.

Ещё возможна асимметричная маршрутизация: ответ идёт через другой линк, firewall/stateful inspection блокирует часть трафика, или маршруты не совпадают в разных VRF/таблицах.

Что проверить

show ip route <prefix> detail
show ip cef <prefix> detail
show ip cef summary
show controllers ethernet-controller <interface> internal
show platform hardware qfp active feature cef drop

⏺show ip route <prefix> detail - какие next-hop реально используются.
⏺show ip cef <prefix> detail - hash и adjacency для конкретного префикса.
⏺show ip cef summary - распределение трафика по интерфейсам.
⏺show controllers ethernet-controller <interface> internal - реальные счётчики, какой линк принимает пакеты.
⏺show platform hardware qfp active feature cef drop - проверка, не сбрасывает ли ASIC пакеты из-за некорректного хеша.

N.A.

Читать полностью…

Пинг проходит, а приложение не работает

ICMP отвечает, маршрут есть, latency нормальная - но сайт не открывается, API не отвечает, RDP/SSH зависает на этапе подключения. Это типичный случай, когда L3 жив, а проблема выше.

Чаще всего причина в несоответствии MSS/MTU: small ICMP-пакеты проходят, а крупные TCP-сегменты фрагментируются или silently дропаются. Особенно актуально для VPN, GRE, PPPoE и overlay-сетей.

⏺Вторая распространённая причина - stateful firewall. Пакеты могут доходить до сервера, но обратный трафик блокируется из-за отсутствия сессии в таблице состояний или из-за asymmetric routing. В логах - тишина, потому что дроп происходит «легально» по логике state engine.

⏺Третий сценарий - асимметрия маршрутизации. Запрос идёт через один firewall или edge, а ответ возвращается через другой. Для ICMP это не критично, для TCP — критично. В результате handshake не завершается или соединение обрывается.

Также возможны проблемы на уровне L4–L7: неверный listener на сервере, сервис слушает не тот IP, TLS mismatch, истёкший сертификат, DNS возвращает неправильный адрес.

Пинг до IP проходит, но приложение недоступно по FQDN.

N.A.

Читать полностью…

Скотча не было, а вот энтузиазм присутствовал 😎

N.A.

Читать полностью…

5 команд для анализа L3 ECMP и распределения трафика

Даже когда ECMP настроен, трафик может концентрироваться на одном линке из-за hash-функций.

Эти команды помогут понять, как маршрутизатор реально распределяет потоки и почему часть линков простаивает.

show ip route <prefix> detail

Показывает, какие next-hop задействованы и порядок выбора.

show ip cef <prefix> detail

CEF detail: next-hop, adjacency и hash, какие линк-пути используются.

show ip cef summary

Обзор распределения трафика по интерфейсам и подсетям.

show controllers ethernet-controller <interface> internal

Аппаратные счётчики, показывают, какой линк реально получает пакеты.

show platform hardware qfp active feature cef drop

Смотрим, не «сбрасывает» ли ASIC пакеты из-за некорректного хеша или hardware limitation.

N.A.

Читать полностью…

Почему после добавления нового VLAN пропадает связь

VLAN создан, access-порт назначен, но хосты не видят шлюз или друг друга.

Чаще всего проблема не в самом VLAN, а в транках и L3-части: VLAN не добавлен в allowed list на trunk, native VLAN не совпадает на сторонах линка, SVI не создан или в состоянии down/down.

Иногда VLAN не активируется, если нет ни одного up-порта в этом сегменте.

Команды для быстрой проверки:

show vlan brief
show interfaces trunk
show running-config interface Gi0/1
show spanning-tree vlan <id>
show ip interface brief | include Vlan
show ip route connected

Если VLAN не проходит по транку - добавить его в allowed list:

interface Gi0/1
 switchport trunk allowed vlan add <id>

Если нужен L3-шлюз - создать и включить SVI:

interface Vlan<id>
 ip address 10.10.<id>.1 255.255.255.0
 no shutdown

После этого проверить ARP и доступность шлюза:

show ip arp vlan <id>
ping 10.10.<id>.1

N.A.

Читать полностью…

🎥 Вебинар по Linux: С Windows на Linux: первый шаг системного администратора

На вебинаре вы узнаете:
- В чем принципиальные отличия Linux и Windows
- Какие базовые команды нужны для работы в консоли Linux
- Как устроена файловая система Linux и где искать нужные файлы


В результате вебинара вы:
- Научитесь выполнять базовые команды в терминале Linux
- Поймете структуру файловой системы и принципы работы с файлами
- Сможете устанавливать программы и управлять пакетами
- Разберетесь, как адаптироваться к Linux после Windows


👉 Для участия зарегистрируйтесь: https://otus.pw/oMpD/


🎁 Все участники вебинара получат специальные условия на полное обучение курса "Administrator Linux. Basic"

Курс создан для тех, кто хочет перейти от случайного опыта к уверенной работе с сервером. Вы освоите основы операционной системы, научитесь работать в Bash, поймёте, как устроены сети, научитесь запускать веб-сервисы, работать с MySQL, Docker, Git, Prometheus и Grafana. Это фундамент, без которого невозможен дальнейший рост.


👉 Повысить свои навыки: https://otus.pw/oMpD/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Читать полностью…

IP-форвардинг в L2 и L3 сегментах

IP-пакеты «почему-то» не доходят, хотя линк поднят, VLAN настроен и маршруты вроде есть. В 90% случаев проблема в том, что вы путаете, что именно происходит на L2 и что на L3, и где сеть реально принимает решение «форвардить или нет».

📅 На открытом уроке 24 февраля в 20:00:

— Разберём, как передаются IP-пакеты внутри L2-сегмента и как меняется логика в L3-сегменте.
— Соберём L2 и L3 сегменты на практике и посмотрим, где именно возникают типовые ошибки в коммутации и маршрутизации.

Урок не для тех, кто ждёт «волшебные команды», не хочет разбираться в логике прохождения трафика и считает, что сети — это только «настроить VLAN и забыть».

👉 Записаться: https://otus.pw/4xlsj/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

Читать полностью…

🔥 likeabus channel 🔥

Канал сетевого архитектора с многолетним опытом в сетях, возглавляющего одно из сетевых направлений в крупнейшем облачном провайдере.

Сергей пишет про технологии внутри ЦОД, делится архитектурами, обзором различных новостей мира телеком, проводит митапы.

Ну и мемы тоже бывают, куда без мемов то! 🧐

Стоит подписаться! 🤝

🔥 likeabus channel 🔥

Читать полностью…

Почему серверы теряют доступ к gateway

Даже когда линк активен, а сервер «пингуется» в своей подсети, иногда невозможно выйти за пределы VLAN.

Основные причины кроются в логике L2/L3: ARP, маршруты, конфликты IP и асимметричные пути.

Основные причины 👇

1️⃣ARP-проблемы
Если на сервере или коммутаторе устарели ARP-записи, gateway может «исчезнуть» из таблицы. Сервер отправляет пакеты, а коммутатор не знает, куда их направить.

2️⃣Default route отсутствует или неверная
Без корректного default route сервер не знает, куда уходить за пределы своей подсети. Иногда статическая маршрутизация задаётся неправильно или конфликтует с динамическими маршрутами.

3️⃣Duplicate IP
Если кто-то в сети использует тот же IP, ARP-кэш может переписываться, и трафик на gateway идёт на чужое устройство. Сессии становятся нестабильными: часть пакетов проходит, часть теряется.

4️⃣Asymmetric routing
Когда трафик «туда» идёт по одному пути, а «обратно» - по другому, stateful firewall или NAT могут рвать соединения. Сервер вроде отправляет пакеты, а ответы не доходят.

Как проверить

show ip arp

Смотрим MAC-адрес gateway и его актуальность.

ping <gateway>

Проверяем, доступен ли gateway в реальном времени.

show ip route

Проверяем наличие default route и маршрутов к другим подсетям.

show ip interface brief

Статус интерфейсов сервера и коммутатора.

show logging | include ARP

Логи могут показать конфликты и дублирование IP.

N.A.

Читать полностью…

Что происходит при конфликте IP-адресов

IP-конфликт - это ситуация, когда два устройства в одной подсети считают один и тот же адрес «своим».

На бумаге всё выглядит корректно: маска правильная, gateway задан, линк зелёный. Но на уровне ARP начинается борьба за право отвечать на запросы.

Когда кто-то в сети спрашивает: «Кто владелец IP 192.168.1.10?», отвечают оба устройства. В ARP-кэше сохраняется MAC того, кто ответил последним. Через некоторое время ответит второй, и запись перепишется. Трафик начнёт уходить уже к нему.

⏺Именно поэтому поведение нестабильное:
пинг проходит через раз, веб-интерфейс то открывается, то нет, SSH обрывается, пользователи говорят «само чинится и снова ломается».

Что в этот момент происходит в сети

ARP-таблицы на разных устройствах начинают «мигать»: один и тот же IP связан с разными MAC-адресами.

На коммутаторе можно увидеть, что трафик для этого IP приходит то с одного порта, то с другого.

Если конфликт затрагивает gateway или сервер - последствия становятся заметными сразу: сессии рвутся, NAT ломается, сервисы становятся непредсказуемыми.

Почему это выглядит случайно

Потому что всё зависит от того, чья ARP-ответная гонка победила в конкретный момент. Пока в кэше «правильный» MAC - всё работает. Как только запись обновилась, трафик уходит к другому устройству.

N.A.

Читать полностью…

MAC learning suppression

MAC learning suppression - состояние, при котором коммутатор перестаёт обучаться MAC-адресам.

Линк остаётся up, VLAN корректный, но трафик начинает фладиться, доступ к узлам становится нестабильным, а поведение сети выглядит «рандомным».

Чаще всего причина в port-security, лимитах MAC-адресов или security-фичах, которые блокируют обучение при превышении порогов или несоответствии политик.

Основные источники проблемы

Port-security с жёсткими лимитами, глобальные ограничения MAC-таблицы, storm-control, а также связка DHCP snooping и Dynamic ARP Inspection.

Команды для анализа на Cisco

Просмотр MAC-таблицы и её состояния:

show mac address-table
show mac address-table dynamic
show mac address-table count

Проверка конкретного интерфейса:

show mac address-table interface Gi0/10
show port-security interface Gi0/10

Если используется port-security, важно смотреть violation и текущие лимиты.

show running-config interface Gi0/10

Проверка глобальных лимитов MAC:

show mac address-table limit
show platform hardware capacity mac

Анализ логов на предмет блокировок:

show logging | include MAC
show logging | include SECURITY

Проверка storm-control и related features:

show storm-control interface Gi0/10
show ip dhcp snooping
show ip arp inspection

N.A.

Читать полностью…

🌐 Сети для всех — сообщество для тех, кто хочет разобраться в компьютерных сетях и системном администрировании.

👉 Наш Telegram-канал:
/channel/Networks_anyone
Внутри сообщества вас ждет:
- практические задания и разборы
- понятная теория без воды
- видеолекции и примеры конфигураций
- обсуждение реальных и нестандартных сетевых задач
- помощь и живое общение с единомышленниками

🎓 Курсы команды «Сети для всех»:
1️⃣ Компьютерные сети (Cisco — введение)
https://stepik.org/a/227855

2️⃣ Компьютерные сети (Cisco — продвинутый уровень)
https://stepik.org/a/230932

3️⃣ Компьютерные сети (MikroTik — практическое администрирование)
https://stepik.org/a/260615

👥 Более 300 студентов уже с нами — присоединяйтесь к сообществу и прокачивайте сети вместе с нами.

Сети для всех — понятно, практично, по делу.
#СетиДляВсех #NetworksForAll

Читать полностью…

Проверка интерфейсов на ошибки и flapping. Часть 2

Когда базовые счётчики «чистые», а проблемы всё равно всплывают, имеет смысл копать глубже - в тайминги, hardware-события и влияние интерфейса на control/data plane.

Команды расширенной диагностики на Cisco

show interfaces Gi0/1 | include rate

Текущая входящая и исходящая скорость. Помогает заметить микроспады и нетипичную загрузку.

show interfaces Gi0/1 | include drops

Output drops и queue drops, которые не всегда бросаются в глаза в counters errors.

show controllers ethernet-controller Gi0/1

Детальная информация от PHY: ошибки на уровне чипа, проблемы с автосогласованием, кабелем или оптикой.

show logging onboard ethernet Gi0/1

Low-level hardware логи интерфейса. Часто именно здесь видно причину sporadic flapping.

show interfaces Gi0/1 switching

Как интерфейс участвует в switching/forwarding, наличие punt’ов в CPU.

show platform hardware interface Gi0/1 statistics

Аппаратные счётчики, которые не попадают в стандартный show interfaces.

show event manager history events | include Gi0/1

Если используется EEM — можно увидеть автоматические реакции на события интерфейса.

show spanning-tree interface Gi0/1 detail

Проверка, не вызывает ли интерфейс topology change и STP-события.

N.A.

Читать полностью…

Проверка интерфейсов на ошибки и flapping

Даже когда интерфейс «зелёный», стоит регулярно проверять логи и статистику, чтобы убедиться в стабильности линка и отсутствии скрытых проблем.

Команды для диагностики на Cisco

show logging

Просмотр системных логов, включая события интерфейсов.

show interfaces Gi0/1

Статус, скорость, дуплекс, ошибки и flapping.

show interfaces Gi0/1 counters errors

CRC, collisions, input/output errors.

show interfaces status | include Gi0/1

Быстрый обзор состояния конкретного порта.

show log | include Gi0/1

Фильтрация логов по порту для поиска ошибок и flapping.

N.A.

Читать полностью…

Статические и динамические маршруты: проверка и исправление

Даже когда сеть работает «в целом», неправильные или нестабильные маршруты могут вызывать flapping, асимметрию путей и проблемы с ECMP.

Правильная проверка и настройка маршрутов помогает поддерживать стабильность и предсказуемость сети.

⏺Симптомы проблем с маршрутами: Static routes не обновляются при изменениях сети, что может приводить к недоступным сегментам.

Dynamic routes могут flapping’ать, вызывать асимметричные пути, повышенную нагрузку на CPU и нестабильность ECMP.

Проверка статических маршрутов:

show ip route static
show ip route <network>
ping <destination>
traceroute <destination>

Проверка динамических маршрутов (OSPF/BGP):

show ip route ospf
show ip route bgp
show ip bgp summary
show ip route

Диагностика проблем ECMP:

show ip cef summary
show ip cef <prefix> detail
traceroute <prefix>
ping <prefix> repeat 10

Исправление:

1️⃣Static routes: убедиться, что gateway корректный, добавить или изменить при необходимости:

ip route 10.0.0.0 255.255.255.0 192.168.1.1
ip route 0.0.0.0 0.0.0.0 192.168.1.254

2️⃣Dynamic routes: проверка соседей, фильтров и redistribute, исправление flapping:

router ospf 1
 network 10.0.0.0 0.0.0.255 area 0
router bgp 65001
 neighbor 192.168.1.2 remote-as 65002

N.A.

Читать полностью…