めったに障害が起きないネットワーク
めったに障害が起きないネットワークを運用している人。
マターリと将来について語り合いましょう。 できれば企業のネットワークで。
俺の所は前任者が優秀でめったに障害が起きない。
ここ半年大きな障害はない。
ヒマだ、頼むから障害起きてくれ。スキルダウンしそうだ。 もう1つ社内LAN作って障害自作してみて
自分のスキルチェックをしてもらうとか
いらない鯖にOSいれて自分で攻撃するとか…じゃだめ? ネットワーク機器を片っ端からメル子製品に置き換えてみるとか... >1
何言ってるんだ。
枯れたNIC、アライドテレシスのHUB使っとけばトラブルはおきん。 夏本番。トラブルの季節だ
壊れても良いから、潔く逝ってほしい。
中途半端に動作されるとやっかい
稼働率99.999.....なんかよりも
潔く逝くことを保証しますマークでもついてたら
大量発注するんだが。 障害は起きないがメンテしている人間が寒さで逝ってしまうよ。
マシンルームと外気の温度差が激しいんだよ。
ちくしょー みなさんどうもレスありがとう。
うちは大規模シスコの製品を贅沢に使ったちょっとしたネットワーク。
この仕事に就いた時は「わーい、シスコだ〜」と、喜んでいたのですが、
設定変更なんて未だにやったことありません。
今ではあまりにもヒマなうえ、マシンルームの寒さで体調を崩しています。
やっぱり、中小企業でおじさん相手にワードとエクセルを教えながら、
シス管やってた時の方が楽しかったな…。 >>10
「大規模シスコの製品」って?
12000GSRとか?もしそうならぜひ障害を起こさずにすむ
運用教えて下さいませんか。 >>11
ぎりぎりのTrafficかけなければだいじょぶ? 72も75もしょっちゅうクラッシュするからな。GSRを安定運用させるには
それなりの経験と勘が求められ 72がクラッシュって、それってVXR/NPE-300の例の問題じゃないの? >>15
7206VXR/NPE-300は、hangup&silent clashっつー問題があって、
だまってお亡くなりになるor原因不明のリブートが多発することがある。
IOS version up (12.1(5a)だったか)で silent clash 自体は防げる
ようになるが、clash するのは防げないらしい。
根本解決は NPE-300 を交換すること。(Rev.4.x以降←わすれた、スマソ)
#でもこれって今年のあたまに出てきた問題だけどね。ばっくれてる
#業者は多いと思うが。 っていうかCiscoは問題多い思うんだがな
フィルタしたはずの経路は垂れ流すし
スイッチポートのUP/DOWNはあたりまえ
挙句の果てには突然リブートはするし >>17
CISCO は大きくなれば大きくなるほど、trouble が多いような気が。
1600 とか使う人なら、信頼性で不満が出るってことはまずないんだけど。 テスト環境での話だが、
この間、3620でEIGRPのネゴが突然きれる現象がでた。
結局、neighberを手書きで書いて、リブートするまでなおらんかった。 >16
IOSを上げて解決するのは、hungupの方でなかったですかい?何かウォッチ
ドッグの処理ロジックに問題があったとか。
silent crashはNPEのRevも交換しないと直らないらしい。
72はアホみたいに売れているから(というか対抗馬がいない)、この問題は
クリティカルなんだろう、業者とCiscoにとって。 とあるお役所(地方事務所)の所内ネット。
Ciscoの2948G-L3×5台を1000Base-SXでループ状に接続。
(1区間をSTP設定)
さらにマシンルームにおいてある2948Gからほかの4台に
放射状に100Base-Tでバックアップルートを構築。
そして5台のうち3台をHSRP設定。
(ちなみにここはVLAN3つ切ってる)
どこかの2948GのGポートを片方or両方抜いても
瞬時〜3分以内には通信できるようになる。
それにすべての2948GにVLANごとの予備ポートを設けてあり
どこかの1台がつぶれてもほかからLANケーブル引っ張ってきて
バカHUBで救済できるようになっている。
(実際初期不良で1台つぶれたとき、これで乗り切った。)
でもこれだと2948G自体がつぶれるか、Gポート両方+バックアップ
が同時に使用できなくなるようなことがない限り、傍目から障害が
起きてることがわからない。
ちなみにこの事務所、サーバから端末のPCに至るまで2948Gと
100Base or 10Baseで1対1に繋がってます。 >>16,21
おいらが担当している某大企業のお客さんも16の構成で基幹ネット用に
大量導入したんだけど、どのルータも1度は不調になったor氏んだよ。
すごい再現率だった。 >>22
>>22
おいおい、ギガスイッチ5台も入れるようなネットワークは
ちゃんとSNMPで障害検知しろよ
L3スイッチに金かけすぎてOpenView買う金がなくなったのか? >>24
確かに
それ以前にこの構成で5台がL3である必要ってあるのか?
クライアントとつながってないコアの2台はL2で十分な気がする
2948Gにはシリアルが無いはずだからWANリンクは別にルータがあるんだよねえ? >>24
仰るとおりで。
一応そこには別メーカが納入したLAN監視サーバなるものはあるんだが、
3年前に入れて1年ぐらいはまともに使っていたが、その後は放った
まんま状態。
と言うよりまともに使っていた時期に末端のHUBまで監視対象になってた
ため、端末PCの入切のたびにlinkUP/DOWNイベントが発生してしまって
お客さんがいやになってしまったらしい。
(イベント発生するたびにメールで送りつけるシステム)
基幹のGスイッチなんできちんとSNMPで監視するべきなんだろうね。
近々改良の予定があるのでその時にでも。
>>25
いろいろ混在させるよりは1つに統一してしまえ、と言う思想の元全部L3に
した次第。
それに元々の構想でセンターSWを入れる予定があって、その時に余った
ものを別のところに持っていけるよう、統一したんだわ。
お客さんも納得してるんでいいんだけど。
>2948Gにはシリアルが無いはずだからWANリンクは別にルータがあるんだよねえ?
この事務所だけでWANは上位・下位含めて14系統ぐらい、ルータは12台以上は
あるね。(ほとんど2500シリーズ)
そのうち上位・下位とも飲み込めるものはギガのライン引いて飲み込む予定なんで
物理的な構成は減る予定。 スイッチネットワークだと、別VLAN間を直接つなぐってことをユーザが
時々やってくれるんですわ。
(別VLANのフロアHUB同士をカスケードしちゃったり)
全然通信できない!という場合もありますが、通信できるけど遅い
という状態になったりするんですわな。broadcast storm もどきが
おきて。
これ、なかなか検出できないんですわ。STP を根気よくおっかけたり、
CDP neighbor でへんなやついないかチェックしたり。 ○結論
スイッチネットワークは、安いが耐障害性に欠る
ルータ中心のネットワークはこの逆ね。言うなれば、IP-VPNと広域LANの
違いかなあ。 これからの季節は台風が来れば大変だ
普段もGSRで死にそうなのに。 >>27
参考までに聞きたいんだけど、どんな時にユーザが別VLANのフロアHUB
をカスケード接続するんです?
良くある話としては聞いているけど、実際遭遇した事ないんで。 >>30
よくあーる!!
"そうすればお互いで通信できるはず"って思うんだろうな
通信できる見返りにブロードキャストストームおこしちゃなあ(ワラ
ユーザにちゃんと教育しとかんと痛い目にあうよ >>31
なるほど。
でもそういう事だとVLAN間のルーティングを制限してるのかな?
自分が担当してる事務所内では、IPレベルでは制限してないし、
(WANではフィルタリングかけてるが)
ファイル交換はPDCになってるNTServerを介して行ってるんで
「通信できないよ〜」と言う事はないんです。
なおかつ物理的な変更を伴う時(端末が増えるなど)や通信できない等
トラブルの場合は必ず自分の所に連絡来るようになってるんで、
ユーザーが勝手に配線してしまう、と言う事はないんです。
ある意味恵まれてるのかな? >>27
>>31
VLAN繋がれた場合にb-cast storm
が起きる理屈って説明してもらえませんか?
VLAN間ルーティングしてるルータから見ると
ことなるインタフェースを同じセグメントに
つっこんでるわけですよね?
うちはIPXで起きたんですが
自分で何故起きるのか説明できません。
IPでも起きるのでしょうか? >>33
おれが遭遇したのは、VLANは直接的に関係なくて、
単純にフロアHUBを全部つなげられちゃったために、
純粋で強烈なブロードキャストストームが発生してたよ
つなげた理由が"通信させたかった"ということだった
>>27のはちょっと違うんじゃないかな(もどきっていってるよね)
例えばスイッチにとっては、
別VLANのMACアドレスが解決されることは永遠に無いので、
下位がHUBである以上、パケットが飛ぶたびに必ずVLAN全体にフラッドに流すよね
本来スイッチで構成したはずのネットワークが、
バカハブオンリーのネットワークと同じことになり、
しかも複数のセグメント(VLAN)のパケットが
まとめてフラッドに飛び交うという恐ろしい状況になるはず
あと、ここでスイッチが冗長構成になってると、
ホントのブロードキャストストームも起こるかもしれない
この辺は実際に試して見ないとSTPがどういう収束するかわからないんで
なんともいえないよ 俺の経験したトラブルだと、catalyst(L3)の各VLANインターフェース
でHSRP動かしてたんだけど、何も考えずに同じgroup id(てかデフォの0)に
してたわけ。
で、VLAN間つないだやつがいて、一方の HSRP の virtual ip がトン
だ、というわけです。(当然そのVLAN は VLAN越えできなくなった)
教訓:HSRP group id は uniq なものにしましょう。 >>34
>>35
ありがとやした。
>>34
>本来スイッチで構成したはずのネットワークが、
>バカハブオンリーのネットワークと同じことになり、
ここがまだわからないのですが
どうつなげられようとSTP動かしてれば
止まりそうなもんだと思うのですが
そういった意味も含めてSTPはOFFらない
ようにしてるのですが
つなげられ方が「一本、ピュッ」
というのでなくて何本もつなげられたという
ことなのでしょうか。
我々の場合はルータが
IPXパケットをグルグルしてました。
わからん。
>>35
これは仰る通りですね。
実践してます。
つなげられても止まらんネットワークを
作りたいが、通信不具合が起きるのは
絶対避けられませんね。
B-castストムのみでも防ぎたいが
志が高すぎるのかしらん。
STP(トポロジ)監視、位ですかね。 末端でSTP非対応のHUBを使っててここでストームを起こされると手がつけられ
なくなりますよね。
100BASEのシェアードHUBって殆ど売っていないから、最近は多くなっていそう
だと思う。
あと、異なるVLAN間をつなげられるとL3のブロードキャストのループが出ること
が有りますね。こっちはフィルタを事前に設定しておくことで回避可能ですけど。
RIPを流している所で、30秒間隔で通信が重くなるって現象が出たことが有る。 >>35
>本来スイッチで構成したはずのネットワークが、
>バカハブオンリーのネットワークと同じことになり、
ここがまだわからないのですが
どうつなげられようとSTP動かしてれば
止まりそうなもんだと思うのですが
いや、この場合はちょっと違う複数のVLANを末端のHUBでつなげても、
ループは起きないので、STPはブロックしないはず
この場合は、どっかのVLANからでたフレームが末端のHUB経由で全てのVLANに流れて、
別VLANのMACアドレスは決して解決できないので、
発信元以外のVLANには、毎回全てのフレームがフラッドに流れてしまうということなんだよね
現象的にはバカハブLANと同じだけど、つながれたVLAN4つあったとすると、
バカハブLAN3つ分のフレームが飛び交ってしまうというわけ
>>37
そうだね、
別VLANからみたらリモートネットワークだから、
もしブロードキャストをルーティングするようになってたら
想像したくないようなことになるね
こういう場合で無くても、
ブロードキャストを使うルーティングプロトコルはもう懲りたので絶対使わない
自分が設計する限りは必ずOSPFをつかうよ >>38
ち、ちゅまり、ブリッジループができるのでなく
繋げられてVLANによるセグメンテーションが無効化し
巨大なセグメントができてしまった、
ということでせうか。
あと「ブロードキャストをルーティングするように」
できるですか!
うぅ、わからん・・・。
37もわからんかったが・・・。
勉強してきます。 >>39
>ち、ちゅまり、ブリッジループができるのでなく
>繋げられてVLANによるセグメンテーションが無効化し
>巨大なセグメントができてしまった、
>ということでせうか
38の言ってるケースではその通りだね
>あと「ブロードキャストをルーティングするように」
>できるですか!
一応言っとくと、あくまでリモートセグメントのブロードキャストね
自セグメントのブロードキャストは転送しないよ
本来、普通だったらリモートセグメントのブロードキャストアドレス宛の
パケットがくるはずはないわけだし、
悪意ある人間が投げたとしても、
別セグメントをHUBでつないだりしない限りは、ループはしないけどね >39
dst MAC Address=ff:ff:ff:ff:ff:ffをルーティングするルータは結構有るよ。
そういうルータではdestinationが受けたインターフェースのSubnetで
無ければ経路を持っていればルーティングします。
マルチホームしているサーバーなんかだと、管理者がルーターとし
て認識していないことが多いので危ない。 >37
今時。ポイズンリバースやスプリットホライズンに対応してない
Routerなんてあるのか?
つーか、スペルが出てこない。死のう。 >42
ポイズンリバースもスプリットホライズンも関係ないよ。
ルーティングしている当人は単にローカルルートしてるだけ
だから(本来のルータ以外は)。
大抵はICMP Redirectも一緒に出している。 とりあえず、
no ip direct
最近のIOSだとデフォルトになってるね
うっかりミスがなくなるのでいいことだ
っていうか有効にするのってどんなネットワーク? >>42
話の意味が理解できていないようだ
最近CCNA本あたりを読んだ勘違い君かな?
ttp://www.nda.co.jp/topics/20010710.html
これぐらい言ってみたいね。 >>46
爆笑!
すばらしいね
外見で判断できる障害なんて全体の1%だろうな
確率論で発生しない障害は0.1%にもみたないだろうね >>46
この会社は二重化とかゆー発想はないんでしょうかねぇ(- -;
NICを複数挿してEtherChannel組むとか、、、
これで会社やってけるんだから世の中甘いよね。 >>48
1台で運用だとNICを2枚入れても落ちるときは落ちる。
落ちたときにすぐ解るようになっていないのが問題。 >>48
そら、基幹業務とか、商取引・決済とかだったら
そうするけど、そこまでの信頼性がもとめられてないから
今回の場合はいいんじゃねーの?
ってゆーわけで、>>49に賛成 山崎はるかってキチガイですか?
気になってしかたがありません。
多い日も安心です。 ま、対策はあちらさんの話なんだけど障害報告書(社内向け)に
山崎氏のように書ける社風がいいねー。 >>53
LightReadingの記事では、routing&forwarding性能は良いということになってますね。
http://www.lightreading.com/testing/
耐障害性という観点ではどうなんでしょうね…。