Broadcast storm op netwerk - oplossing nodig - Netwerken

dinsdag 6 december 2011 22:25

Acties:

0 Henk 'm!

Master of SOG

Topicstarter

Ik zit momenteel in een flat met een paar honderd man met PPPoE verbinding. Iedereen in de flat kan elkaar 'zien' dus stel ik open iTunes, dan kan ik gedeelde bibliotheken van mensen zien die ik niet ken. Op zich niks mis mee.

Waar wel wat mis mee is, is dat ik een continue inkomende datastroom te verteren krijg van 2 MB per seconde. Het gaat om 'broadcast' verkeer, ik heb geen 100% affiniteit daarmee maar volgens mij is dat verkeer wat naar iedereen sowieso verzonden wordt. Kan zijn een rogue DHCP server? Ik heb ook gehoord dat Apple software en hardware het probleem is, omdat die veel broadcasten (Bonjour etc.).

Door die broadcast storm krijgt mijn router (WRT54GL met Tomato) het te zwaar, waardoor die elke keer vastloopt. Als ik de ethernetkabel direct in mn computer aansluit, blijft mn verbinding wel aan, maar de CPU load is erg hoog (--> fans gaan draaien en performance wordt lager). Niet echt een long-term oplossing dus, ook omdat ik graag draadloos werk.

Nu werd hier al het idee geopperd om een Linksys E4200 aan te schaffen, omdat de proc daarvan wel sterk genoeg is om al het verkeer af te handelen. Probleem is alleen dat die iets van 120 euro kost, wat ik er niet voor over heb.

Is er een manier om dat broadcast verkeer simpel in de router al te blocken? De poorten verschillen iedere keer dus daar is niks mee te beginnen. Zijn er misschien switches te koop die de rommel eruit filteren? Of misschien is het mogelijk om al het non-PPPoE verkeer te negeren? Of misschien een andere firmware flashen in mijn WRT54GL die broadcast verkeer kan blocken aan de poort?

NOSIG

dinsdag 6 december 2011 23:02

Acties:

0 Henk 'm!

CyBeR

💩

Broadcast kun je niet blokkeren omdat een voor IPv4 essentieel protocol erop gebaseerd is (specifiek, ARP). Je zult moeten uitzoeken waar 't vandaan komt.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 6 december 2011 23:07

Acties:

0 Henk 'm!

xelnaha

CyBeR schreef op dinsdag 06 december 2011 @ 23:02:
Broadcast kun je niet blokkeren omdat een voor IPv4 essentieel protocol erop gebaseerd is (specifiek, ARP). Je zult moeten uitzoeken waar 't vandaan komt.

Dit is wel wat te nuanceren. Een router maakt een zogenaamd " broadcast domein" het is dus wel mogelijk om met meerdere routers verschillende netwerken te maken zodat je niet honderden gebruikers in een netwerk hebt zitten.

Ik weet niet hoeveel ervaring je hebt, maar dit is op zich al te doen met eenvoudige routertjes. Uiteraard kan het ook met bijvoorbeeld een home build server met aantal nics erin en dan zoiets als pfsense, astaro, oid

dinsdag 6 december 2011 23:14

Acties:

0 Henk 'm!

_Christiaan_

Master of SOG

Topicstarter

Het probleem is dat ik alleen mijn eigen router kan benaderen. Ik kan niet het netwerk beïnvloeden, aangezien ik daar geen controle over heb. Er staan een paar verouderde switches in het serverhok, en om de één of andere reden heeft de beheerder er niet voor gekozen om IGMP snooping of bijv. SNMP te gebruiken (geen idee wat het allemaal betekent maar het zou het probleem moeten oplossen).

Ik was er eigenlijk vanuit gegaan dat zulk verkeer zeer simpel te blokkeren zou zijn door elke router, maar dat is dus niet zo. Eigenlijk wil ik mijn PPPoE verkeer isoleren van al het andere verkeer en dat andere verkeer droppen. Maar blijkbaar is dat niet zo makkelijk als ik dacht.

NOSIG

dinsdag 6 december 2011 23:14

Acties:

0 Henk 'm!

CyBeR

💩

xelnaha schreef op dinsdag 06 december 2011 @ 23:07:
[...]

Dit is wel wat te nuanceren. Een router maakt een zogenaamd " broadcast domein" het is dus wel mogelijk om met meerdere routers verschillende netwerken te maken zodat je niet honderden gebruikers in een netwerk hebt zitten.

Ja, maar dat was het punt niet. Die router moet vervolgens die 2MB/sec aan broadcast gaan zitten processen en dat kan 'ie niet aan. Die zit dan namelijk in twéé "broadcast-domeinen" he.

Please, vertel mij hoe 't werkt.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 6 december 2011 23:16

Acties:

0 Henk 'm!

xelnaha

CyBeR schreef op dinsdag 06 december 2011 @ 23:14:
[...]

Ja, maar dat was het punt niet. Die router moet vervolgens die 2MB/sec aan broadcast gaan zitten processen en dat kan 'ie niet aan. Die zit dan namelijk in twéé "broadcast-domeinen" he.

Please, vertel mij hoe 't werkt.

vandaar ook " meedere routers"

je wilt een logische scheiding aanbrengen van het aantal users per netwerk om zo de hoeveelheid broadcast binnen een domein te beperken. Helaas gaat dat idd alleen maar met zwaardere machines of meerdere goedkopere routertjes.

btw ik vind het wel raar dat een router stuk gaat op 2mb aan verkeer, ook al zijn het 64byte pakketjes...

[ Voor 8% gewijzigd door xelnaha op 06-12-2011 23:17 ]

dinsdag 6 december 2011 23:18

Acties:

0 Henk 'm!

_Christiaan_

Master of SOG

Topicstarter

Dus eigenlijk is het probleem niet te tackelen, tenzij ik een veel te dure machine neerzet of meerdere goedkope routers aan elkaar knoop?

NOSIG

dinsdag 6 december 2011 23:20

Acties:

0 Henk 'm!

xelnaha

nou, wat ik al zeg, eigenlijk is 2mbit natuurlijk helemaal niet zo veel verkeer, ook al is het broadcast. (voor andere machines misschien wel he)

je kunt eens kijken voor de gein met bijvoorbeeld wireshark of het echt wel broadcast verkeer is, of dat er gewoon enorm veel verbindingen opgezet worden, waardoor je NAT tabel vol loopt.

Kun je anders eens een tekening maken van hoe je netwerk in elkaar zit?

[ Voor 10% gewijzigd door xelnaha op 06-12-2011 23:20 ]

dinsdag 6 december 2011 23:45

Acties:

0 Henk 'm!

_Christiaan_

Master of SOG

Topicstarter

Ja dat kan:

Muur --> ethernet-aansluiting --> Router --> laptop.

Nu was het net 2 MB/s, maar ik heb em ook op 8 MB/s volcontinu zien staan. Ook had hij vaak pieken naar 6 MB/s.

Hier in de flat hebben we een paar experts, die zeggen dat het Bonjour/Avahi/Network Discovery is. En af en toe rogue DHCP. (ook iets met network loops die gecreëerd worden) Deze 'experts' geloof ik eerlijk gezegd wel.

Nu kwam er al eentje met de volgende oplossing: De Netgear GS105E. Een managed switch als ik het mag geloven, met IGMP snooping en broadcast filter / storm control. Dat zou tussen de router en de muuraansluiting gezet moeten worden. Op zich een redelijke oplossing voor €35.

NOSIG

woensdag 7 december 2011 09:32

Acties:

0 Henk 'm!

Verwijderd

Denk inderdaad dat het iets met loops te maken heeft. Of dat het broadcast-domain gewoon veel te groot is.

woensdag 7 december 2011 09:53

Acties:

+1 Henk 'm!

locke960

waarschijnlijk een open deur, maar dit kan natuurlijk alleen maar echt opgelost worden door de beheerder. Feitelijk is het belachelijk dat de verschillende gebruiker aansluitingen in de flat niet 100% van elkaar geïsoleerd zijn. Behalve technische problemen geeft dit ook allerlei privacy en beveiligings issues. Tenminste, ik ga er vanuit dat als dit niet goed geregeld is de beveiliging ook pet is.
Ik raad je aan de overige bewoners te vragen of ze ook problemen hebben om dan met zijn alleen het probleem bij de beheerder neer te leggen.

woensdag 7 december 2011 09:55

Acties:

0 Henk 'm!

moppentappers

Als de beheerder gewoon een fatsoenlijke switch neerzet heb je dit soort problemen ook niet, met een switch die ondersteuning heeft voor RSTP had je dit probleem waarschijnlijk ook niet gehad.

woensdag 7 december 2011 11:28

Acties:

0 Henk 'm!

Equator

Crew Council

#whisky #barista

En hoe gaat Rapid Spanning Tree Protocol helpen met broadcasts? RSTP is bedoeld om snel te acteren op wijzigingen in de netwerk infrastructuur.
Een broadcast is geen wijziging.. Dat is gewoon een pakketje dat door een host naar buiten wordt gestuurd (naar het broadcast adres) om te kijken wie er reageert op dat pakketje. Dat kan zijn een DHCP request, maar ook een Windows Server die rondt roept om te achterhalen wie er 'Master Browser' op het netwerk is.

Dat RSTP gebruikt wordt om een overloaded switch tegen te gaan wanneer er een fysieke cirkel is gemaakt in de netwerk infrastructuur of wanneer er een switch uitvalt, heeft in dit geval niets te maken met het probleem van de topicstarter.

Het is inderdaad niet netjes dat dit zo is neergezet. Daar had beter over nagedacht moeten worden.

Edit: Leesvoer

Een netwerk loop op een switch (die hier niet tegen kan) zorgt IMO voor een compleet onbereikbaar netwerk. Dus ik vermoedt zelf geen loop.

[ Voor 15% gewijzigd door Equator op 07-12-2011 11:33 ]

woensdag 7 december 2011 11:48

Acties:

0 Henk 'm!

ChaserBoZ_

xelnaha schreef op dinsdag 06 december 2011 @ 23:20:
nou, wat ik al zeg, eigenlijk is 2mbit natuurlijk helemaal niet zo veel verkeer, ook al is het broadcast. (voor andere machines misschien wel he)

je kunt eens kijken voor de gein met bijvoorbeeld wireshark of het echt wel broadcast verkeer is, of dat er gewoon enorm veel verbindingen opgezet worden, waardoor je NAT tabel vol loopt.

Kun je anders eens een tekening maken van hoe je netwerk in elkaar zit?

Inderdaad, wiresharken om te zien wat het nu exact is. Je flatbewoners kunnen wel vertellen wat ze vermoeden dat het is, maar voor hetzelfde geldt dos'sen die jou zodat ze zelf meer bandbreedte overhouden

'Maar het heeft altijd zo gewerkt . . . . . . '

woensdag 7 december 2011 11:49

Acties:

0 Henk 'm!

Verwijderd

Zo'n plat netwerk in een studentenflat is wel leuk hoor. Als je op vakantie gaat gewoon even een Gb-switch aan je aansluiting en dan een kabeltje tussen poort 2 en 3 van je switch prikken. "Tot over een week of 3!"

woensdag 7 december 2011 11:52

Acties:

0 Henk 'm!

WhizzCat

www.lichtsignaal.nl

Verwijderd schreef op woensdag 07 december 2011 @ 11:49:
Zo'n plat netwerk in een studentenflat is wel leuk hoor. Als je op vakantie gaat gewoon even een Gb-switch aan je aansluiting en dan een kabeltje tussen poort 2 en 3 van je switch prikken. "Tot over een week of 3!"

Lol

Maar nu even zonder gekheid.

Je zou inderdaad een switch er tussen kunnen zetten die BPDU pakketjes kan filteren en broadcast limieten ondersteunt. Dat zou het probleem vrij snel moeten verhelpen. Een aantal goedkope HP Procurve switches kan dat prima hebben en zijn van prima kwaliteit. Eventueel kunnen we je hier ook de goeie settings voor geven

Gezocht: netwerkbeheerder
Als je het niet aan een 6-jarige kan uitleggen, snap je er zelf ook niks van! - A. Einstein

woensdag 7 december 2011 11:57

Acties:

0 Henk 'm!

CyBeR

💩

Equator schreef op woensdag 07 december 2011 @ 11:28:
En hoe gaat Rapid Spanning Tree Protocol helpen met broadcasts? RSTP is bedoeld om snel te acteren op wijzigingen in de netwerk infrastructuur.

(R)STP is in de basis bedoeld om loops te voorkomen. Als bij-effect heeft 't dan dat je dus expres loops kunt maken voor redundancydoeleinden.

Het 'snel reageren op wijzigingen' is om te zorgen dat als er een verandering is in de infrastructuur, de loop-preventie zo snel mogelijk door heeft wat er gebeurd is en hoe verder loops te voorkomen.

Een broadcast is geen wijziging.. Dat is gewoon een pakketje dat door een host naar buiten wordt gestuurd (naar het broadcast adres) om te kijken wie er reageert op dat pakketje. Dat kan zijn een DHCP request, maar ook een Windows Server die rondt roept om te achterhalen wie er 'Master Browser' op het netwerk is.

Kijk eens wat een broadcastpakketje doet als er een loop in je netwerk zit.

Een netwerk loop op een switch (die hier niet tegen kan) zorgt IMO voor een compleet onbereikbaar netwerk. Dus ik vermoed zelf geen loop.

Dat is niet per definitie zo. Ik heb 't hier op kantoor wel eens gehad-- een goedkope switch met een loop. Die switch zelf ging er van over de zeik en alles werd heel langzaam (edoch niet compleet onbereikbaar) maar de rest van m'n netwerk had er compleet geen boodschap aan.

[ Voor 7% gewijzigd door CyBeR op 07-12-2011 11:58 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 7 december 2011 12:00

Acties:

0 Henk 'm!

Foeijonghaai

locke960 schreef op woensdag 07 december 2011 @ 09:53:
waarschijnlijk een open deur, maar dit kan natuurlijk alleen maar echt opgelost worden door de beheerder. Feitelijk is het belachelijk dat de verschillende gebruiker aansluitingen in de flat niet 100% van elkaar geïsoleerd zijn. Behalve technische problemen geeft dit ook allerlei privacy en beveiligings issues. Tenminste, ik ga er vanuit dat als dit niet goed geregeld is de beveiliging ook pet is.
Ik raad je aan de overige bewoners te vragen of ze ook problemen hebben om dan met zijn alleen het probleem bij de beheerder neer te leggen.

Inderdaad.

Er is 1 oplossing (nl. verkleinen broadcastdomein) en deze is op twee manieren te implementeren:

1) zo min mogelijk computers rechtstreeks op de flatswitch: zo veel mogelijk een eigen router.
2) flatswitch opdelen in losse netwerken met een router er tussen.

woensdag 7 december 2011 12:09

Acties:

0 Henk 'm!

Verwijderd

Foeijonghaai schreef op woensdag 07 december 2011 @ 12:00:
[...]

Inderdaad.

Er is 1 oplossing (nl. verkleinen broadcastdomein) en deze is op twee manieren te implementeren:

1) zo min mogelijk computers rechtstreeks op de flatswitch: zo veel mogelijk een eigen router.
2) flatswitch opdelen in losse netwerken met een router er tussen.

In een ideale situatie heeft elke bewoner z'n eigen broadcast domain. Als je met meerdere bewoners in 1 domain zit, dan ben je overgeleverd aan de grillen van anderen. Dan kun je dus geintjes uithalen zoals hetgeen ik net voorstelde.

woensdag 7 december 2011 12:16

Acties:

0 Henk 'm!

Foeijonghaai

Verwijderd schreef op woensdag 07 december 2011 @ 12:09:
[...]

In een ideale situatie heeft elke bewoner z'n eigen broadcast domain. Als je met meerdere bewoners in 1 domain zit, dan ben je overleverd aan de grillen van anderen. Dan kun je dus geintjes uithalen zoals hetgeen ik net voorstelde.

Klopt, maar in een studenteflat kan het ook wel zijn voordelen hebben te kunnen filesharen of te experimenteren met bepaalde netwerkdiensten. Dat wordt weer wat lastiger als je iedereen op zijn eigen VLAN gaat zetten.

woensdag 7 december 2011 12:56

Acties:

0 Henk 'm!

Verwijderd

Foeijonghaai schreef op woensdag 07 december 2011 @ 12:16:
[...]

Klopt, maar in een studenteflat kan het ook wel zijn voordelen hebben te kunnen filesharen of te experimenteren met bepaalde netwerkdiensten. Dat wordt weer wat lastiger als je iedereen op zijn eigen VLAN gaat zetten.

Het wordt iets lastiger inderdaad. Maar zolang je niets met ACL's tussen de VLAN's van de bewoners doet, zal het verkeer gewoon netjes tussen de VLAN's gerouteerd worden.

woensdag 7 december 2011 14:09

Acties:

0 Henk 'm!

_Christiaan_

Master of SOG

Topicstarter

Het gaat inderdaad om een studentenflat met een plat netwerk. Dit heeft als voordeel dat er tussen iedereen 'gepraat' kan worden. In het serverhok draait zelfs een lokaal forum. Echter de nadelen zijn dus bekend.

Normaal hadden we dus meerdere netwerknestoren. Echter nu hebben we die niet meer en de echte beheerder doet niets meer omdat we binnen een jaar ws een nieuwe infrastructuur+ISP hebben. Basically hebben we nu een onbeheerd netwerk van ~700 aanslutingen. Dus tot die tijd is het kutten. Niemand doet wat en we betalen er voor (al is het weinig; we betalen er geld voor).

Net al een mailtje gestuurd:

Onderwerp: Schrijnende problemen internetverbinding

Geachte heer/mevrouw,

Sinds een paar maanden is de internetverbinding voor de bewoners van ... onwerkbaar. Ik zal hieronder uitleggen waarom. Deze uitgebreide uitleg is nodig om het probleem nu structureel aan te pakken, aangezien in het verleden al talloze zinloze calls zijn aangemaakt. (...)

De internetaansluitingen van alle bewoners van ... kunnen onderling met elkaar communiceren. Over deze ethernetverbinding loopt het PPPoE-protocol, waarmee verbinding wordt gemaakt naar 'de buitenwereld'. In essentie lopen er dus twee connecties over de enkele aansluiting: het onderlinge verkeer tussen ... bewoners, en de individuele PPPoE verbinding per bewoner.

Het PPPoE protocol functioneert volledig naar behoren. Echter, over de rest van de lijn loopt dus het onderlinge verkeer tussen ... bewoners, en hier zit het probleem. De essentie van het probleem is dat de apparaten van de bewoners zoveel zogenaamd 'broadcast verkeer' uitzenden (2 tot 8 megabyte per seconde, wat elke bewoner van ... continu ontvangt), dat de individuele routers van de bewoners dit niet aan kunnen en de ethernet verbinding verliezen (waaronder dus ook de PPPoE verbinding). Een optie is om de computer van de bewoner direct aan te sluiten op het netwerk, maar zelfs krachtige computers hebben moeite om het broadcast verkeer te verwerken. De CPU wordt voor een groot gedeelte gebruikt om dit broadcast verkeer te verwerken, waardoor de computer nog slechts matig presteert en vaak zelfs de verbinding verliest.

Om het probleem van de individuele bewoner te tackelen, zou door elke bewoner zeer krachtige router moet worden aangeschaft (de Linksys E4200) van €120. Dit is voor de meesten geen oplossing omdat het te duur is.

Ik zal hieronder de mogelijke oplossingen geven.

Optie 1:
-Elke bewoner een managed switch geven of hieraan meebetalen, de Netgear GS105E. Deze switch is in staat om de broadcast storm te filteren en om een 'schoon' signaal door te geven aan de router. Deze switch kost momenteel ongeveer 30 euro. Uit ervaring van een individuele bewoner is gebleken dat de combinatie GS105E+router in staat is om de verbinding vast te houden. Dit is een kostbare optie.

Optie 2:
-Compensatie voor internet. De situatie zo laten, maar de bewoners compenseren, aangezien er momenteel een ondeugdelijk product wordt geleverd. Ook deze optie is tamelijk kostbaar en de problemen zijn hiermee niet opgelost.

Optie 3:
-De 'boodsoeners' op het netwerk blokkeren. Ik weet niet of dit tijdrovend is; ik weet wel dat momenteel enkele technisch zeer bekwame bewoners op een omslachtige manier kunnen zien welke lokale IP-nummers de grootste boosdoeners zijn. Wellicht is dit voor de infrastructuurbeheerder makkelijker, omdat die toegang heeft tot de centrale servers of switches. Dit is mogelijkerwijs een goede optie, mits deze 'controle' continu wordt uitgevoerd (daardoor wellicht ook kostbaar).

Optie 4:
Herconfiguratie van de infrastructuur. Dit klinkt kostbaarder dan dat het misschien is; wellicht is de huidige infrastructuur in staat om de broadcast pakketjes te filteren, maar staat de optie simpelweg niet aan.

Optie 5, de beste optie:
-Een netwerknestor aanstellen. Momenteel is er geen netwerknestor, en het netwerk is dus eigenlijk onbeheerd. Voorheen was die er wel. Dat is de reden waarom de laatste tijd het internet zo is verslechterd. Een netwerknestor heeft toegang tot de switches van de flat, en kan bijvoorbeeld d.m.v. SNMP toegang de broadcast pakketjes een halt toeroepen. De eerder genoemde technisch bekwame bewoners zijn zeer bereid om deze taak op zich te nemen.

Ik weet dat er "binnenkort" een nieuwe provider komt met eventueel een nieuwe infrastructuur. Echter, de onderhandelingen hiervoor zijn nog bezig en het is onbekend hoe lang het nog gaat duren voordat deze nieuwe verbinding is uitgerold. Tot die tijd moeten de bewoners het minimaal meerdere maanden doen met het huidige internet.

Ik zou van u graag willen horen wat de oplossing wordt. Alvast bedankt voor uw moeite.

Met vriendelijke groet,

Oh, FYI, het gaat om dezelfde stakeholders als in dit nieuwsbericht: nieuws: Studenten campus TU Delft woedend over versoberd internet

NOSIG

woensdag 7 december 2011 15:02

Acties:

0 Henk 'm!

WoC

Hoe gaat dat op andere grote (universiteits) campussen/studentenflats dan? Ik kan me herinneren dat iedereen op het campusnet in Twente een eigen extern IP adres had en binnen het subnet van de campus lekker met elkaar kon 'sharen' (samba). Daar zullen vast en zeker ook wel eens problemen voorgekomen zijn, maar het werkte daar toch ook? Misschien iets van een switch per flat/verdieping ofzo? Mensen hier die weten hoe zoiets geregeld was?

woensdag 7 december 2011 15:09

Acties:

0 Henk 'm!

_Christiaan_

Master of SOG

Topicstarter

Voorheen werkte het hier ook goed. Reden dat het nu niet werkt, is omdat het netwerk niet meer beheerd wordt. Waarschijnlijk was het voorheen zo dat de boosdoeners een bezoek kregen van de netwerknestor om dingen te fixen. Wat ook kan is dat er normaal gesproken voldoende filtering aanwezig is om de broadcast storms en loops tegen te houden.

NOSIG

woensdag 7 december 2011 15:11

Acties:

0 Henk 'm!

Foeijonghaai

Tja, je zou verwachten dat met 700 aansluitingen er niet de goedkoopste netwerkapparatuur staat.

Als dat zo is, zou het een kwestie van configureren zijn en klaar is Klara.

Je zou er ook voor kunnen kiezen om zelf de benodigde apparatuur aan te schaffen en het allemaal zelf te doen. Als je de kosten kan delen over 700 man en een bepaalde afschrijfperiode aanhoudt, hoeft het allemaal niet zo duur te zijn*

Grootste kostenpost zal de daadwerkelijke verbinding zijn naar de upstreamprovider:
700 aansluitingen met een overboeking van 1:10 kom je op 70*100Mbit = 7Gbit uit.
En dat moet je dan ook nog zien te routeren/firewallen.
En dan heb je ook nog een /22 nodig om iedereen een eigen adres te geven.
Als de glasvezel naar de TU er nog ligt en ze zijn daar meewerkend (ik lees dat ze kosten willen besparen, mogelijk dat je iets kan afspreken over welke verantwoordelijkheden jullie op je willen nemen) zou dat de beste/goedkoopste mogelijkheid kunnen zijn.

Je hebt maar 1 of 2 fanatici nodig om dit in te richten en te behereren. Doe dit via een stichting of BV en zorg dat je er studiepunten voor krijgt ;-)

*) ga ik er wel vanuit dat je van de bestaande bekabeling gebruik maakt.

[ Voor 25% gewijzigd door Foeijonghaai op 07-12-2011 15:20 ]

woensdag 7 december 2011 16:30

Acties:

0 Henk 'm!

xelnaha

Foeijonghaai schreef op woensdag 07 december 2011 @ 15:11:
Tja, je zou verwachten dat met 700 aansluitingen er niet de goedkoopste netwerkapparatuur staat.

Als dat zo is, zou het een kwestie van configureren zijn en klaar is Klara.

Je zou er ook voor kunnen kiezen om zelf de benodigde apparatuur aan te schaffen en het allemaal zelf te doen. Als je de kosten kan delen over 700 man en een bepaalde afschrijfperiode aanhoudt, hoeft het allemaal niet zo duur te zijn*

Grootste kostenpost zal de daadwerkelijke verbinding zijn naar de upstreamprovider:
700 aansluitingen met een overboeking van 1:10 kom je op 70*100Mbit = 7Gbit uit.
En dat moet je dan ook nog zien te routeren/firewallen.
En dan heb je ook nog een /22 nodig om iedereen een eigen adres te geven.
Als de glasvezel naar de TU er nog ligt en ze zijn daar meewerkend (ik lees dat ze kosten willen besparen, mogelijk dat je iets kan afspreken over welke verantwoordelijkheden jullie op je willen nemen) zou dat de beste/goedkoopste mogelijkheid kunnen zijn.

Je hebt maar 1 of 2 fanatici nodig om dit in te richten en te behereren. Doe dit via een stichting of BV en zorg dat je er studiepunten voor krijgt ;-)

*) ga ik er wel vanuit dat je van de bestaande bekabeling gebruik maakt.

lol ik wil me wel opwerpen hoor

woensdag 7 december 2011 17:07

Acties:

0 Henk 'm!

Equator

Crew Council

#whisky #barista

CyBeR schreef op woensdag 07 december 2011 @ 11:57:
[...]

Kijk eens wat een broadcastpakketje doet als er een loop in je netwerk zit.

[...]

Die wordt telkens weer opnieuw verstuurd, dat weet ik, gevolg is dat de boel volloopt. I Know

Dat is niet per definitie zo. Ik heb 't hier op kantoor wel eens gehad-- een goedkope switch met een loop. Die switch zelf ging er van over de zeik en alles werd heel langzaam (edoch niet compleet onbereikbaar) maar de rest van m'n netwerk had er compleet geen boodschap aan.

Ik denk dat dat vooral met het ontwerp van het netwerk te maken heeft

Ik heb het slechts 1 keer meegemaakt, en dat legde het gehele (overigens platte netwerk ontwerp) plat. Maar goed, dat was toen ik nog veel met Netwerken deed in kuch 1999

woensdag 7 december 2011 17:30

Acties:

0 Henk 'm!

_Christiaan_

Master of SOG

Topicstarter

Foeijonghaai schreef op woensdag 07 december 2011 @ 15:11:
Tja, je zou verwachten dat met 700 aansluitingen er niet de goedkoopste netwerkapparatuur staat.

Als dat zo is, zou het een kwestie van configureren zijn en klaar is Klara.

Je zou er ook voor kunnen kiezen om zelf de benodigde apparatuur aan te schaffen en het allemaal zelf te doen. Als je de kosten kan delen over 700 man en een bepaalde afschrijfperiode aanhoudt, hoeft het allemaal niet zo duur te zijn*

Grootste kostenpost zal de daadwerkelijke verbinding zijn naar de upstreamprovider:
700 aansluitingen met een overboeking van 1:10 kom je op 70*100Mbit = 7Gbit uit.
En dat moet je dan ook nog zien te routeren/firewallen.
En dan heb je ook nog een /22 nodig om iedereen een eigen adres te geven.
Als de glasvezel naar de TU er nog ligt en ze zijn daar meewerkend (ik lees dat ze kosten willen besparen, mogelijk dat je iets kan afspreken over welke verantwoordelijkheden jullie op je willen nemen) zou dat de beste/goedkoopste mogelijkheid kunnen zijn.

Je hebt maar 1 of 2 fanatici nodig om dit in te richten en te behereren. Doe dit via een stichting of BV en zorg dat je er studiepunten voor krijgt ;-)

*) ga ik er wel vanuit dat je van de bestaande bekabeling gebruik maakt.

Zo'n constructie is er al. Het netwerk ligt hier al jaren. Als het werkt dan heb je een uitstekende verbinding (100 mbit up 100 mbit down en centrale shares met allerhande voordelen). Momenteel wordt het netwerk quasi beheerd door enkele fanatici, maar zoals gezegd: het probleem is dat ze niet alle rechten hebben.

Wel een kleine update, zag ik net op het lokale flat netwerk: mijn service call is blijkbaar reeds doorgezet (ICT reageert altijd snel), de 'fanatiekelingen' zijn reeds benaderd door de verhuurorganisatie. Het lijkt erop dat er nu dingen gebeuren. Ik wacht het even af, maar ik denk dat daarmee dit topic een beetje op zijn einde loopt, tenzij er geïnteresseerden zijn.

NOSIG

vrijdag 9 december 2011 17:35

Acties:

0 Henk 'm!

Foeijonghaai

Ik vond het wel een leuk gedachtenexperiment, een dergelijk netwerk opzetten.

Komen wel aardig wat dingen bij kijken en de kosten zijn soms ook niet mals. Heb even een collega gevraagd. Hij komt met de volgende punten.

Om 7Gbit te routeren heb je aardig dure apparatuur nodig. Bijv een cisco 76xx. Als je deze met dubbele voedingen wil hebben en vol met switch blades wil stoppen kom je nieuw al snel richting de 100k euro. Refurbished kan het stukken goedkoper maken, en dan zou je ook kunnen gaan voor een 65xx.
Waarschijnlijk heb je 2 van die dingen nodig, anders kom je niet aan je 700 poorten.
Deze lust ook aardig wat stroom, mijn collega die vaker met die dingen werkt had het over 7 tot 8 kWh.
Traffic naar een tier1 komt al gauw op 3 tot 4 euro per Mbit per maand, dan zit je dus al aan 28k euro per maand (uitgaande van 7Gbit).
Mijn collega merkte ook nog op dat bij commerciele internetproviders een overboeking van 1:30 op 1:40 gangbaarder is. Als je dat zou doen, zou je minder bandbreedte nodig hebben, wat de apparatuur ook goedkoper zou maken en minder kosten aan verkeer.

vrijdag 9 december 2011 17:54

Acties:

0 Henk 'm!

Vinnienerd

Foeijonghaai schreef op vrijdag 09 december 2011 @ 17:35:
Ik vond het wel een leuk gedachtenexperiment, een dergelijk netwerk opzetten.

Komen wel aardig wat dingen bij kijken en de kosten zijn soms ook niet mals. Heb even een collega gevraagd. Hij komt met de volgende punten.
Om 7Gbit te routeren heb je aardig dure apparatuur nodig. Bijv een cisco 76xx. Als je deze met dubbele voedingen wil hebben en vol met switch blades wil stoppen kom je nieuw al snel richting de 100k euro. Refurbished kan het stukken goedkoper maken, en dan zou je ook kunnen gaan voor een 65xx.
Waarschijnlijk heb je 2 van die dingen nodig, anders kom je niet aan je 700 poorten.
Deze lust ook aardig wat stroom, mijn collega die vaker met die dingen werkt had het over 7 tot 8 kWh.
Traffic naar een tier1 komt al gauw op 3 tot 4 euro per Mbit per maand, dan zit je dus al aan 28k euro per maand (uitgaande van 7Gbit).
Mijn collega merkte ook nog op dat bij commerciele internetproviders een overboeking van 1:30 op 1:40 gangbaarder is. Als je dat zou doen, zou je minder bandbreedte nodig hebben, wat de apparatuur ook goedkoper zou maken en minder kosten aan verkeer.

Is het niet realistischer om gewoon een refurbished Cisco neer te zetten die 1 Gbit kan routeren?

Volgens mij kan dat onder een budget zeker wel

vrijdag 9 december 2011 17:57

Acties:

0 Henk 'm!

Osxy

Holy crap on a cracker

Vinnienerd schreef op vrijdag 09 december 2011 @ 17:54:
[...]

Is het niet realistischer om gewoon een refurbished Cisco neer te zetten die 1 Gbit kan routeren? Volgens mij kan dat onder een budget zeker wel

1Gbit voor 700 clients, maw 1,3Mbit p/aansluiting? Lekkere ben jij

Overboeking van 1:100.

[ Voor 3% gewijzigd door Osxy op 09-12-2011 17:57 ]

"Divine Shields and Hearthstones do not make a hero heroic."

vrijdag 9 december 2011 18:03

Acties:

0 Henk 'm!

CyBeR

💩

Osxy schreef op vrijdag 09 december 2011 @ 17:57:
[...]

1Gbit voor 700 clients, maw 1,3Mbit p/aansluiting? Lekkere ben jij
Overboeking van 1:100.

Da's zat hoor.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 9 december 2011 18:25

Acties:

0 Henk 'm!

_Christiaan_

Master of SOG

Topicstarter

De reden dat er niet wordt geinvesteerd bij ons, is omdat de provider er over een paar maanden mee kapt. Er is al nieuwe (inferieure) infrastructuur aangelegd.

offtopic:
Origineel wilden ze de hele flat, 700 aansluitingen, op 1 of enkele externe IP's zetten, wat dus niet doorgaat. Zie het nieuwsbericht.

Anyway, ICT heeft alweer gereageerd:

(...)
De features in de huidige switches zijn beperkt. De (verouderde) switches ondersteunen
(ook niet met de laatste firmware) bijv. niet rogue DHCP detectie/filtering, en is er maar een beperkt
vorm van broadcast limitering beschikbaar.

(...)

Om de huidige problemen, die zich alleen op ... voordoen, tegen te kunnen gaan is er nu toch voor
gekozen toch een limitering te zetten op de switches. Er is een broadcastlimitering aangezet,
die per aangesloten poort de broadcasts beperkt. DIt zou ook moeten gelden voor de multicasts.

Het internet lijkt het iig sindsdien weer goed te doen. Het is mij onbekend of dat komt dankzij de filters of dankzij het feit dat de nietsvermoedende boosdoeners hun apparaat uit hebben staan.

NOSIG

vrijdag 9 december 2011 18:51

Acties:

0 Henk 'm!

Osxy

Holy crap on a cracker

CyBeR schreef op vrijdag 09 december 2011 @ 18:03:
[...]

Da's zat hoor.

Niet als er 100mbit word beloofd

Je moet mensen al horen als ze maar 8mbit halen bij een 20mbit verbinding.

"Divine Shields and Hearthstones do not make a hero heroic."

vrijdag 9 december 2011 19:23

Acties:

0 Henk 'm!

webfreakz.nl

el-nul-zet-é-er

Jij zegt het volgende:

_Christiaan_ schreef op dinsdag 06 december 2011 @ 22:25:
Ik zit momenteel in een flat met een paar honderd man met PPPoE verbinding. Iedereen in de flat kan elkaar 'zien' dus stel ik open iTunes, dan kan ik gedeelde bibliotheken van mensen zien die ik niet ken. Op zich niks mis mee.

Maar dat jij jouw buren zo makkelijk kan zien, dát is nu juist de kern van het netwerk probleem dat zich nu voordoet. Waarom is er überhaupt een PPPoE verbinding? Het netwerk moet opgezet worden met gescheiden "broadcast domains". Dit kan onder andere met Private VLANs worden geconfigureerd. Laat netwerkbeheer hier eens naar kijken.

En als zal er toch echt overgegaan moeten worden op een fatsoenlijk opgezet netwerk, want "broadcast filters" doen wel aan symptoom bestrijding maar lossen het probleem niet op.

edit:
Ik zie dat er gesproken wordt over "rogue DHCP servers". Maar het probleem wordt niet veroorzaakt door "rogue DHCP servers". Het is alleen op te lossen door het netwerk in te stellen als hoe een Internet Service Provider zijn zaken regelt. En met consumenten apparatuur een lading apparatuur aansluiten is vragen om moeilijkheden.

[ Voor 15% gewijzigd door webfreakz.nl op 09-12-2011 19:27 ]

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

vrijdag 9 december 2011 19:28

Acties:

0 Henk 'm!

Biersteker

Is er niet toevallig nog een ander subnet dat je kan gebruiken? Misschien ook maar even een static arp entry maken, want gekut met arp wil je niet hebben.

Originally, a hacker was someone who makes furniture with an axe.

vrijdag 9 december 2011 19:35

Acties:

0 Henk 'm!

webfreakz.nl

el-nul-zet-é-er

Biersteker schreef op vrijdag 09 december 2011 @ 19:28:
Is er niet toevallig nog een ander subnet dat je kan gebruiken? Misschien ook maar even een static arp entry maken, want gekut met arp wil je niet hebben.

Ook dat lost het probleem niet op.

Kijk eens met Wireshark op je eigen pc hoeveel troep eruit gegooid wordt binnen het lokale subnet. Bij mij thuis onder andere de volgende protocollen doen aan (broadcast) vervuiling op het LAN:

IPv6 DHCPv6: Neighbor solicitations op zoek naar een router (staat standaard aan in Windows Vista / 7)
NETBIOS en consorten: Door Windows op zoek naar fileshares op het LAN
LLMNR
SSDP : Het protocol gebruikt voor UPnP (bijvoorbeeld µTorrent)
ARP : Lijkt me duidelijk
IGMP

Ik heb net thuis een Wireshark capture gedraaid, en het zijn zo'n 80 pakketten in 1 minuut. Doe dat keer het aantal PCs in jouw studentenflat en je gaat problemen krijgen

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

vrijdag 9 december 2011 19:35

Acties:

0 Henk 'm!

JackBol

Security is not an option!

Osxy schreef op vrijdag 09 december 2011 @ 18:51:
[...]

Niet als er 100mbit word beloofd
Je moet mensen al horen als ze maar 8mbit halen bij een 20mbit verbinding.

Ha! Denk je werkelijk dat er op potentiële piek belasting word gedimensioneerd?
Dit is juist het mooie van statmuxen. Niet iedereen heeft z'n bandbreedte tegelijkertijd nodig. Daarom kan je gezamenlijk met veel minder uit. Het zou me al verbazen wanneer er 1GB ontkoppeling naar de buitenwereld is.

Overigens hebben jullie volgens mij gewoon een k*t-design waar serieus eens anders naar gekeken moet worden. Grappig dat ze iedereen routertjes met PPPoE hebben gegeven, maar dat betekent dat er ergens een PPPoE headend staat die 700 tunnels met honderden MBs aan verkeer termineert. Dat is een beetje achterhaald, vooral met een lokaal LAN.

Als je wilt gaan vernieuwen is een DHCP gebaseerde oplossing veel voordeliger en als je geen gezeik van het verkeer van je buren wilt, zou je eigenlijk ook L2 user-isolation moeten doorvoeren bijv. met split horizon of private vlans.

[ Voor 35% gewijzigd door JackBol op 09-12-2011 19:39 ]

De actuele opbrengst van mijn Tibber Homevolt

vrijdag 9 december 2011 19:40

Acties:

0 Henk 'm!

CyBeR

💩

Osxy schreef op vrijdag 09 december 2011 @ 18:51:
[...]

Niet als er 100mbit word beloofd
Je moet mensen al horen als ze maar 8mbit halen bij een 20mbit verbinding.

Ik nodig je uit om de gemiddelde belasting van een breedbandverbinding bij een consument op te zoeken.

Alvast een hint: 't is géén 1.3mbps.

_DH schreef op vrijdag 09 december 2011 @ 19:35:
[...]

Overigens hebben jullie volgens mij gewoon een k*t-design waar serieus eens anders naar gekeken moet worden. Grappig dat ze iedereen routertjes met PPPoE hebben gegeven, maar dat betekent dat er ergens een PPPoE headend staat die 700 tunnels met honderden MBs aan verkeer termineert. Dat is een beetje achterhaald, vooral met een lokaal LAN.

Dat klinkt mij in de oren als 'SURFnet wil dat', zodat ze eventuele niet-studenten kunnen uitsluiten. Hoewel ze dat op andere plekken volgens mij voornamelijk met 802.1x doen ipv PPPoE.

[ Voor 46% gewijzigd door CyBeR op 09-12-2011 19:42 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 9 december 2011 19:57

Acties:

0 Henk 'm!

joopv

Equator schreef op woensdag 07 december 2011 @ 11:28:Een netwerk loop op een switch (die hier niet tegen kan) zorgt IMO voor een compleet onbereikbaar netwerk. Dus ik vermoedt zelf geen loop.

Het zou kunnen zijn dat er een wireless bridge in de loop zit.
Als je een echte loop maakt op een 100Mb switch zonder bpduguard ontstaat er bij het eerste het beste broadcast pakket een storm, de 100Mb wordt dat helemaal volgepompt (ca 100.000 pakketten per seconde).

Als er in een laag-2 loop een langzamer device zit b.v. een consumer-grade ding wat op laag 2 staat te bridgen, of een wireless bridge dan wordt de broadcast rate navenant lager.

Overigens heb ik het idee dat de TS het over 2MByte/sec aan broadcast verkeer heeft, anderen interpreteren dat als 2Mbit/sec. Laten we de B (byte) en b(bit) goed gebruiken...

vrijdag 9 december 2011 20:35

Acties:

0 Henk 'm!

ik222

Oorspronkelijk post verwijderd, niet gezien dat dit topic al 2 pagina's had

Een netwerk waarin elke bewoner een apart VLAN heeft zou een stuk beter zijn want dan heb je dit soort problemen niet. En vanwege security zou ik dan ook verkeer tussen de VLAN's zo veel mogelijk blokkeren. Als filesharing echt noodzakelijk is zou ik daarvoor eerder een centrale fileserver overwegen.

PPPoE is ook niet echt geschikt, als je dan op een degelijke grote schaal authenticatie witl doen gebruik dan 802.1x. Maar sowieso als het fysieke aansluitingen in een apartement betreft zie ik de noodzaak van authenticatie niet.

[ Voor 196% gewijzigd door ik222 op 09-12-2011 20:47 . Reden: Vrijdagavond... ]

vrijdag 9 december 2011 21:31

Acties:

0 Henk 'm!

_Christiaan_

Master of SOG

Topicstarter

De meeste dingen die hier gezegd worden gaan mijn pet te boven, moet ik eerlijk zeggen. Ik heb ook even Wireshark gedownload, maar daar word ik geen wijs uit. Ik zie alleen heel veel regeltjes voorbij gaan.

Iedereen op een private vlan is juist niet gedaan, omdat het een pluspunt is als je met mekaar kan 'praten' (gaat zeker op voor een studentenflat). Al geeft dat problemen, zoals nu ondervonden.

Maar die filters lijken te helpen. Momenteel krijgt de computer maar 10 KB/s te verwerken maximaal. Het werkt nu allemaal: niks meer aan doen!

NOSIG

maandag 12 december 2011 22:54

Acties:

0 Henk 'm!

mcDavid

_Christiaan_ schreef op vrijdag 09 december 2011 @ 18:25:

Anyway, ICT heeft alweer gereageerd:

[...]

Het internet lijkt het iig sindsdien weer goed te doen. Het is mij onbekend of dat komt dankzij de filters of dankzij het feit dat de nietsvermoedende boosdoeners hun apparaat uit hebben staan.

*voormalig nietsvermoedende boosdoener meldt*

De beheerders zijn er inmiddels achter dat zo'n beetje 99% van de broadcast-stroms werd veroorzaakt door een stuk of 4 TP-link routers. Die schijnen namelijk de mDNS pakketjes niet netjes door te sturen, maar als een soort echo terug het netwerk op te sturen. 4 van die routers die naar elkaar staan te echo-en kunnen dus de ellende veroorzaken waar wij mee zaten.

Die limitering op de switches lijkt wel redelijk te werken. Ik heb zelf ook mijn router offline gehaald.

Broadcast storm op netwerk - oplossing nodig

Onderwerpen