Здравствуйте.
http://s018.radikal.ru/i505/1308/aa/a0c342b245edt.jpg (http://radikal.ru/fp/b486120e90f84d1fa956c3557b64b85a)

Есть сеть. Уже второй раз она просто перестаёт функционировать: не пингуются клиенты сети, между ними не передаются данные. Т.к. в основной коммутатор (DES1050G) подключена бОльшая часть клиентов (порядка 30) и он не управляемый диагностирую проблему путём последовательного отключения клиентов. Вчера таким образом я нашёл один компьютер. Точную конфигурацию назвать смогу позже, сетевая карта встроенная Atheros AR8161/8165 (NDIS 6.20). Сеть поднялась без него. Пока он отключен. Так же ведёт себя сеть, если в этом коммутаторе сделать кольцо.

В тот момент когда не работала сеть пробовал запустить tcpdump на шлюзовом компьютере. Была какая-то сетевая активность. Дамп снимать не стал. (Потом уже подумал, что зря... :(). Скажите пожалуйста при образовании кольца можно ли получить какую-либо полезную информацию сняв сетевой дамп с интерфейса, не являющимся частью кольца?

Вот думаю то ли железо компьютера косячное (поставил недавно), то ли что-то с ПО? Что проверить посоветуете?

Вопрос, как говорится, один: как избежать последующих падений?

P.S. Прекрасно понимаю, что нужно ставить нормальный коммутатор, блокирующий порты при обнаружении колец, нужно реорганизовать сеть и vlan-ами отделить IP-телефоны от всего остального, разделить группы пользователей и устройств. Но к сожалению ни средств ни времени компания не выделят пока.

Буду рад предложениям адекватной замены основного коммутатора с хорошим соотношением цена/качество.

отделить IP-телефоны от всего остального »

IP телефоны отделять, имхо, не обязательно. У меня работают вместе, не жалуются. Для них специально софт выпускают для совместной работы с комп-ами.
А коммутаторы DES - плоховатенькие.

А коммутаторы DES - плоховатенькие. »
Коммутатор был куплен пару лет назад взамен 24-х портового. Руководство сказало: будет не более 30 компьютеров...

На данный момент ARP-таблица шлюза состоит из 60 записей, из них пока 12 IP телефонов, планируется более 40 рабочих мест (компьютер+IP телефон).

Готов заменить этот коммутатор двумя или тремя 24-х портовыми.

Tonny_Bennet, посмотрите HP V1910-48G. Цена от 19000 до 23000. Не 3com, конечно, но все же.

Не 3com, конечно, но все же. »
А что из 3-com посоветуете?

Tonny_Bennet, 3com 4500 неплохая серия, надежная, несмотря на возраст.

Вчера в обед подключил в сеть компьютер, из-за которого, как мне казалось, ложилась сеть. Всё работает нормально. Что делать и куда копать? я в замешательстве... :(

Tonny_Bennet, а сколько всего ПК у Вас в сети? У нас были проблемы похожего характера, но тогда постепенно умирал свитч (кстати тоже d-link).

Atheros AR8161/8165 »на 64-битной ОС случаются накладки даже в простой домашней сети.

Tonny_Bennet, была похожая проблема, один гадкий ПК зафлуживал ARP-пакетами неуправляемые свитчи — генерил порядка 6k широковещательных пакетов в секунду, отловлен был при помощи wireshark. Подробностей (железо, софт, причина) не помню, в прошлом году было. Вроде его хозяин ОС (Ubuntu) переустановил и проблема испарилась.

Вроде его хозяин ОС (Ubuntu) переустановил и проблема испарилась. »
путь виндовс исповедует он.
Готов заменить этот коммутатор двумя или тремя 24-х портовыми. »
недавно купили DGS-1210-24 (http://www.dlink.ru/ru/products/1/1315.html)
сейчас смотрю, а он устаревший ( и цена сменщика DGS-1210-28 (http://www.dlink.ru/ru/products/1/1600.html) оказалась небольшая (
но нам на один отдел как раз хватает. А вообще есть сейчас хороших много коммутаторов.

а сколько всего ПК у Вас в сети? »
На данный момент порядка 40 ПК, 12 IP телефонов, 15-20 WI-FI устройств, 5 серверов, 5 едениц сетевого оборудования.

У нас были проблемы похожего характера, но тогда постепенно умирал свитч (кстати тоже d-link). »
Я недавно подряд закупил несколько материнских плат Gigabyte. Мне в первый раз показалось, что из-за такого компа произошёл коллапс, во второй раз точно из-за такого. То ли драйвер у них у всех косячный, то ли какая-то ещё несостыковка.

на 64-битной ОС случаются накладки даже в простой домашней сети. »
Не понял о чём именно вы хотели мне сказать. Два компьютера, которые положили мне сеть стоят с 32-х разрядной системой Windows 7 Prof.

Tonny_Bennet, была похожая проблема, один гадкий ПК зафлуживал ARP-пакетами неуправляемые свитчи — генерил порядка 6k широковещательных пакетов в секунду, отловлен был при помощи wireshark. Подробностей (железо, софт, причина) не помню, в прошлом году было. Вроде его хозяин ОС (Ubuntu) переустановил и проблема испарилась. »
Меня терзают смутные сомненья: ведь свитч (даже самый простой) тем и отличается от хаба, что внутри себя ведёт ARP таблицу. И при передаче пакета он его бросает на нужный порт, а не на все сразу. Если к слову одна взбесившаяся машина начнёт слать не широковещательные ARP запросы, то свитч может отвалится. А вот как выяснить кто эти пакеты шлёт? Подключившись к другому порту я попросту не увижу этого трафика.

Кстати вы не знаете есть ли какой-то функционал от подобных "атак" на управляемых коммутаторах?

недавно купили DGS-1210-24
сейчас смотрю, а он устаревший ( и цена сменщика DGS-1210-28 оказалась небольшая (
но нам на один отдел как раз хватает. А вообще есть сейчас хороших много коммутаторов. »

Себе в новый кабинет на отдел взял именно DGS-1210-28. Но т.к. он включен аплинком в 100Мбитный порт DES1050G - радости не много.

Думаю, стоит ли в серверной всё реорганизовать: в серверную стойку поставить два коммутатора в стек, все серверы подключить сразу в оба свитчв (+ к отказоустойчивости, + к производительности). А эти два ствитча подключить к одному большому (или нескольким поменьше) свитчам агрегируемыми каналами, в которые будут подключены пользовательские компьютеры и IP телефоны... ?

Подключившись к другому порту я попросту не увижу этого трафика. »
Это если свитч умный. У вас (да и у меня) — тупой. Я ж говорю, что отловил wireshark'ом, тупо воткнув лаптоп с ним запущенным в первый попавшийся свободный порт центрального свитча — мигом увидел флуд. Wireshark (да и все снифферы, tcpdump тоже) переводит интерфейс в промискуитетный режим, в котором отлавливаются все пакеты, а не только предназначенные конкретному маку.

Думаю, стоит ли в серверной всё реорганизовать »
правилу следуй ты: работает - сделай ещё лучше :)

Это если свитч умный. У вас (да и у меня) — тупой. Я ж говорю, что отловил wireshark'ом, тупо воткнув лаптоп с ним запущенным в первый попавшийся свободный порт центрального свитча — мигом увидел флуд. Wireshark (да и все снифферы, tcpdump тоже) переводит интерфейс в промискуитетный режим, в котором отлавливаются все пакеты, а не только предназначенные конкретному маку. »

Попробую конечно снять полный дамп, а потом разобрать его, но как мне кажется не выйдет.

Однажды я решил послушать трафик в самом простом и дешёвом пятипортовом свитче d-link. В него были включены три клиента: я и два моих друга. Вот трафик от меня и ко мне я отлавливал. А трафик между ними я не видел.

правилу следуй ты: работает - сделай ещё лучше »
Типа: "Лучшее враг хорошего" ? ;)

Типа: "Лучшее враг хорошего" ? »
не не не. без переносного смысла.
Сам однажды делал реорганизацию: в кабинете админов стояла стойка. Переместил её в серверную, а потом сам админсткий отдел переехал в другой кабинет.
А так бы стойка мешала новым сотрудникам.
Так что если бюджет и время позволяют - я только за модернизацию.

Так что если бюджет и время позволяют - я только за модернизацию. »
Сложно сказать позволяет или нет... если я обосную все траты - то бюджет позволит :)

Тут вопрос уже переключится в раздел оплаты труда, т.к. руководство не спонсирует внеурочную работу, а подобные переделки нужно в нерабочее время проводить.

Ну ещё есть такая вещь, как стоимость downtime. Я как раз не могу решить многие свои проблемы просто потому, что цена downtime прода слишком высока. А его минимизация тоже в копеечку влетает.

если я обосную все траты - то бюджет позволит »
Ну оставьте начальство на часик без сети. Наше сразу среагировало - что надо купить/заменить :)
руководство не спонсирует внеурочную работу, а подобные переделки нужно в нерабочее время проводить »
Такова судьба сисадмина. Было время - я так делал: приходил на час позднее НА работу и уходил позднее С работы. Как вариант работа в субботу/воскресенье ЗА ОТГУЛ.

Попробую конечно снять полный дамп, а потом разобрать его »
Wireshark как раз хорош тем, что у него есть и режим отображения в реальном времени. Разбирать дампы не нужно, всё видно на лету, причём в удобном виде.