…и все на одного!

…и все на одного!
Сценаристы: Значит, ситуация у нас такая. Работал я в конторе администратором. Потом они
нашли админа подешевле, меня уволили, наняли другого. Но как зима прошла, тот админ
отправился в горы коз пасти, а меня назад взяли. А тут у нас проблема, сеть периодически падает.
Ну идём в серверную, перезагружаем маршрутизатор – начинает работать. Проблема в том, что я
во время отдыха ремонтом занимался, упал с табуретки, ударился головой и всё забыл. В общем,
начальство ругается, шумит, ногами топает, сделай, говорит, ты же специалист. А я не помню как
делать. Помогите люди добрые.
Критики: А мы можем спрашивать вопросы?
С: Можем, я даже отвечать на них постараюсь в меру своих незнаний. Потому что очень хочется
как бы зарплату получить, деньги кушать.
К: Нам-то достанется что-нибудь?
С: А?
К: Нам достанется что-нибудь?
С: Спасибо большое достанется, почёт. Мы сделаем большую мемориальную табличку, повесим в
серверной такую здоровую, ну, конечно, чтобы начальство не видело. Но она там будет, т.е. ваши
имена будут запечатлены в камне, в граните.
К: В пластике каком-нибудь?
С: Да, и в полиэтиленовом пакете, конечно.
К: Наверное, у роутера кончается память. А вообще, когда эти проблемы начинаются, какие
симптомы? Что он говорит?
С: Ничего не говорит. Как гудел, так гудит.
К: А у людей какие проблемы? В интернет не ходит?
С: Ни черта не работает. Ни в интернет, ни к серверам, которые у нас в DMZ подключены – ничего
не работает.
К: Т.е. маршрутизатор не маршрутизирует.
С: Да, маршрутизатор как-то вот гудит как зверь, а маршрутизировать не маршрутизирует. Его
выдёргиваешь, он на некоторое время стихает, потом втыкаешь, он снова начинает гудеть и
начинает маршрутизировать. Может, у него вентилятор загибается?
К: А у вас жарко в серверной?
С: Да как-то в серверной не сильно жарко. Холодно. Мы даже вынуждены форточку открывать на
улицу, чтобы теплее было.
К: Закройте.
С: Ну, как админ ушёл, так сразу закрыли. Боимся, что новый уйдёт.
К: Он в форточку ушёл.
С: Не знаем. Сказал, что пошёл коз пасти, и нет его.
К: Теперь понятно, почему тут нельзя открывать окна. Боитесь, что тоже уйдём. И сразу во всей
сети плохо становится? Со всех компьютеров?
С: Со всех. Сразу все начинают звонить, ругаться, говорить «Что такое! Почему!». Причём звонить
начинают сразу начальнику. Начальник бежит, говорит «Все звонят! Что такое!»
К: И все в одно время?
С: Да, у всех сразу.
К: Никакие time-based ACL не записаны?
С: У?
К: Никаких time-based ACL нет?
С: Нет, оно происходит в разное время суток. Какое-то время проходит – оно падает.
К: Т.е. маршрутизация включается, проходит случайное количество времени…
С: Ну, не совсем случайное – примерно раз в час падает. Хотели даже нанять специалиста,
который будет его каждый час перезагружать, но пока не нашли. Вакансию разместили, но что-то
никто не отзывается.
К: Не может быть DHCP? Хотя…
С: Не знаю.
К: А что, там Ciscoвский маршрутизатор, или он на железке какой-нибудь?
С: На нём написано Cisco, что там внутри…
К: Т.е. это физическое устройство…
С: Да, это физическое устройство.
К: …на котором DHCP-клиент не запущен.
С: Нет, DHCP где-то на отдельном сервере живёт.
К: Нет, клиент DHCP.
С: А, клиент. Да нет. По крайней мере, раньше не было, сейчас как – не знаю.
К: А можете посмотреть?
С: Я бы рад, но меня туда не пускают.
К: А удалённо?
С: Так удалённо не пускают. А консольный кабель мыши погрызли, мы послали гонца в магазин
покупать, но он ещё не вернулся. Скоро обещает быть. А удалённо что-то не пускает. Не хочет чтото подключаться, даже логин не спрашивает.
К: А вы как подключаетесь?
С: Ну, по telnet. У нас всё секьюрно.
К: По telnet – это разве не удалённо?
С: Удалённое.
К: В смысле, не пускает по telnet.
С: По консоли мы подключиться не можем, пока кабеля нету. Человек пошел во время обеда.
Наверное, он там ещё в кафе задержится. Обещал скоро прийти. А по telnet не пускает. Логин
даже не спрашивает.
К: А человек с кабелем придёт во время нашей дискуссии?
С: Обещал прийти. Но ждать-то его неохота, поскольку время поджимает, скоро его снова
перезагружать. Хочется как-то порешать эту проблему. Пока начальство обедает, пока все
обедают, самое время что-то менять. Вот.
К: Может быть попробовать поэкспериментировать с этим временем. Т.е. перезагрузить
маршрутизатор, подключить, например, только часть компьютеров, остальные отключить
физически. Посмотреть, как на время будет влиять. Или с количеством траффика. Или с
количеством траффика, да.
С: М-м-м… А какую часть?
К: Ну половину, например. Я не знаю, сколько сотрудников там.
С: Которую? У нас три этажа в здании.
К: Они свитчем соединены? Можно свитч выдернуть один, какой-то этаж выдернуть один.
С: Рисуйте. Значит, у нас есть маршрутизатор. Он соединён с коммутатором, такой большой
главный коммутатор в серверной. Потом, на каждом этаже есть коммутатор. Ну и от них уже по
комнатам расходятся. Ну и там у кого-то в комнатах тоже есть коммутаторы, но это так уже,
ерунда. Местное творчество, сами поставили. Такая вот сеть. И я не знаю, кого вы предлагаете
выдернуть, потому что у нас на одном этаже директор сидит, на другом бухгалтерия, а на третьем
я сижу.
К: А маршрутизация идёт, получается, на палочке. Ну, должна идти.
С: Не, у нас все этажи в одной сети, а маршрутизатор обеспечивает выход в интернет. Провайдер
жмот – он нам всего один адрес выделил.
К: Проблема, как я поняла, выражается в том, что не ходит в интернет.
С: Там у нас ещё есть сервера публичные. Т.е. на самом деле не один VLAN, а два VLAN, как я
сейчас вспоминаю. Просто вот на этом коммутаторе, который в серверной стоит, часть портов
отведена под DMZ, и там некоторые сервера есть. Сервер нашей компании, почтовый сервер. Ещё
какая-то хрень ненужная. Вот, к ним тоже доступ теряется.
К: Они как доступны: через port-forwarding через NAT, т.е. надо ввести внешний адрес
маршрутизатора и определённый порт, чтобы он пробросил на этот сервер, или у них свои адреса
получаются.
С: Откуда? Откуда они доступны.
К: Из внешней сети.
С: Из внешней сети? Да нет…
К: У каждого свой?
С: У каждого свой адрес.
К: Пользователи злые?
С: Ой, не хотелось бы проверять.
К: А когда проблемы настают, бухгалтерия может пользоваться 1Ской своей, или чем там?
С: Ну… поскольку у них 1С сервер стоит в локальной сети, то да, могут. Ну как-то не знаю, ещё в те
времена до козлопаса, мы решили, что несекьюрно ставить 1Совский сервер в DMZ, поставили его
в локальную сеть, поэтому у нас до него без маршрутизации работает.
К: А есть какой-то веб-интерфейс на маршрутизаторе, если через telnet нельзя. Хоть как-то
посмотреть.
С: Чёрт его знает, может и есть. Что предлагаете? Давайте попробуем. Я ж не помню, меня пока
уволили, я на лыжах катался, в дерево стукнулся, всё забыл.
К: Может, там есть какой-нибудь SDM чтобы к нему подключиться?
С: Ой, SDM у нас нет, где ж мы его возьмём.
К: Просто ip http server на роутере был? Или никто не помнит?
С: Нет, пока я был админом – всё работало. Потом пришёл товарищ оленевод, он там мог что
угодно поменять. А сейчас, как проблемы начались, так он сразу свалил назад. В горы. И туда
соваться бояться. Вот. А зайти мы не можем. Что-то он не подключается.
К: Маршрутизация как задаётся? С помощью протокола или статически?
С: М-м-м… Да, наверное, никак.
К: Т.е. таблицы маршрутизации нет?
С: Так вроде бы есть. Но у нас же один маршрутизатор. С кем ему вроде бы обмениваться. Вроде
бы не с кем. Или неправильно?
К: Но есть же какие-то внешние.
С: А, внешние. А, не знаю. Там, наверное что-нибудь. Что-нибудь сделано наверное. Работает же
иногда.
К: А, ну да, если иногда работает, то, что работает иногда – оно правильно.
С: Да, т.е. по крайней мере иногда оно там что-то правильно.
К: А есть какой-нибудь SysLog сервер?
С: Э-э-э…
К: Ну там не знаю, на бумажке ничего не написано?
С: Раньше он был. А сейчас, значит…
К: Оленевод пришёл и унёс с собой. Козам скормил.
С: Нет, там как бы всё есть, syslog сервер, просто… Как сказать… Его решили переустановить на
новую, более мощную железку, переустановили, всё хорошо, но логи он не собирает больше. Но
работает быстро.
К: Классно. Полезно.
С: Нагрузка на процессор резко упала.
К: После чего?
С: После установки на новое железо. А старый сервер, я не знаю, куда-то кто-то забрал. Продали
наверное.
К: А может в кладовке посмотреть? Там крысы.
С: В кладовке смотрели – там швабры, тряпки, вот. И скелет уборщицы.
К: А DHCP сервер есть?
С: Есть.
К: Он, значит, по локальной сети, и все по нему хорошо получают адреса, и все клиенты получают
адреса хорошие, которые прописаны, которые принадлежат той сети, которая должна
маршрутизироваться в интернет?
С: Ну да, как бы. Никто не жаловался. Т.е. все как бы в одной сети, друг с другом связь имеют.
К: И маршрутизатор все пингуют местный интерфейс всегда? Да.
С: Ну… пока всё работает – пингуют. А когда коллапс начинается, то…
К: Когда коллапс начинается – не пингуют местный интерфейс тоже, да?
С: Ну, получается да.
К: Т.е. грубо говоря, с маршрутизатора исчезают все IPшники.
С: Чёрт его знает, что там происходит. Может там лицензия такая, я не знаю. Триальный период
истекает – перестаёт работать. Его перезагружают – снова какое-то время работает.
К: О, реально, может быть там что-то со временем намучено, что переполняется вот эта
переменная, которая отвечает за время. Нет. Глупости какие-то.
С: У нас знаете как, у нас когда были новогодние праздники, и никто не работал, так мы после
новогодних пришли, включили, а оно ещё работает. А через час снова перестало работать.
К: Давайте этаж отключим.
С: Который?
К: Верхний, с директором. А если он прибежит и начнёт возмущаться – сказать, что сейчас не
работает. Мы сейчас, мы чиним.
С: Ну хорошо, давайте отключим. Отключили.
К: Время в полтора раза больше ждать, или нет?
С: Ну как… Сейчас-то работает, вот. Отключили директора. Телефон там уже у кого-то звонит. А у
нас-то как работало, так и работает.
К: А через сколько выключится? Через полтора часа теперь? Раньше вроде через час
выключалось? Раз в час. Через неопределённые промежутки времени, но раз в час.
С: Сложно сказать. Может быть снова так же будет. Наблюдать надо. Мы же не будем ждать.
Можно, конечно, ходить с умным видом, там, прикладываться к коммутаторам, послушать,
повертеть, покрутить там. Но мы же не умеем это делать.
К: У вас WireShark есть?
С: WireShark?
К: Да.
С: Есть. В аквариуме у директора.
К: Когда проблемы начинаются – запустите его, посмотрите, что на интерфейсе происходит.
С: Ой, запускали, смотрели. А от кого что приходит?
К: Ну, нет ли какого-нибудь шторма? С destination адресом 255.255.255.255 или 192.168.255.255,
широковещательном, короче.
С: А нет, нету ничего такого. Не, у нас сеть нормально в общем-то работает. Локальная сеть
продолжает работать как работала, там производительность не падает, ничего. Всё замечательно.
Маршрутизатор чего-то перестаёт работать. А попасть мы на него не можем. Что-то он не
отвечает. Может, скажете как на него попасть, а то я уже не помню. Когда в вынужденном отпуске
сидел, там ходили на охоту. На оленя нарвался: он как боднул – я сразу всё забыл.
К: А он-то не подключается?
С: Нет, он даже логин не спрашивает.
К: А вообще подключается, или говорит сбой подключения? Подключается и не спрашивает логин,
или сокет не открывается?
С: Нет, сокет вроде открывается и тут же закрывается.
К: Ага. Прикольно. А когда всё работает – тоже?
С: То же самое. Вообще попасть не могу.
К: А через веб-броузер?
С: Да нет.
К: Нет? Тоже нет?
С: У нас вообще в политике безопасности было прописано, что можно только с компьютера
админа заходить на маршрутизатор. Но я попробовал со всех компьютеров, которые только в
офисе есть – ни с одного не заходит.
К: А какой IPшник был у компа админа?
С: 10.0.0.100.
К: 10.0.0.100? А попробуйте на своём компе настроить его.
С: Настроил. Говорит конфликт IP адресов.
К: Попробуйте тогда… Все машины под виндой?
С: Да.
К: Пуск, выполнить, mscexec 10.0.0.100 и вот этот IPшник короче. Подключитесь по RDP. Может,
поможет.
С: Не подключается.
К: Ну ещё бы. А среди компьютеров-то есть компьютер с таким адресом? Т.е. вот когда вы
садитесь и смотрите, или нету?
С: Да, вот, тестировал на всех, но среди компьютеров нету.
К: Среди тех нету 10.0.0.100. А адрес пингуется?
С: Адрес? Ну сейчас-то не пингуется, сейчас говорит конфликт IPшников.
К: Нет, если с другого компа попытаться попинговать?
С: М-м-м… Если с другого, да, пингуется.
К: Но это не один из компьютеров гарантированно. Т.е. нет никакого спрятанного компьютера.
С: Кто ж его знает.
К: Может это свитч. А за сервер 1С садились?
С: А?
К: За сервер 1С садились?
С: Э-э-э… чёрт его знает, может и он.
К: Всех отключить, один компьютер включить с этим IP-адресом. Временно, на пять минут.
С: Да, да, точно, это сервер 1С. А почему он админский?
К: Это надо у оленевода спрашивать. Или у вас, но вы ничего не помните.
С: Ох уж этот оленевод. Наверное, увидел крутой IPшник, решил его серверу назначить.
К: А если сесть за сервер и получить с него доступ?
С: Попробовал. Да, сейчас он логин, пароль спрашивает, но я же их не помню, я их забыл. Правда
тут консольный кабель…
К: Попробуйте 123 123. Cisco. Консольный кабель!
С: Консольный кабель тут вот товарищи принесли. Сейчас ещё обещали доставить ноутбук с COM
портом.
К: А доступ к роутеру?
С: Доступ к роутеру в помещение есть. Это мы в первый же день получили, когда проверяли, на
месте ли он.
К: Всё, подключайтесь по консольке. Что пишет?
С: Подключились. Ну логин пароль спрашивает.
К: Не помните?
С: У-у.
К: Можно стереть. Запускайте HyperTerminal. Следуйте по шагам инструкции: запускайте
HyperTerminal, подключайте консолькой к маршрутизатору, выключайте, пять секунд ждите,
включайте питание, Ctrl+Break…
С: Так он же ещё не завис, чего его сейчас-то перезагружать?
К: Ладно, ждите пока зависнет. Так нет, типа пароль сбросить.
С: А. Ну хорошо. Ладно. Выключили.
К: Включайте. Жмите Ctrl+Break до тех пор, пока не будет приглашения Rommon 1.
С: Включили. Держим, держим, он загрузился, ничего не произошло.
К: Хорошо, а если поменять. Мы же можем перезалить на него образ.
С: А у него неизвлекаемый flash.
К: А так с TFTP. Короче, сделать, там по-моему…
С: Так мы же попасть на него не можем.
К: Я по-моему… Надо настроить TFTP 10.0.0.2 и… Ну хотя это так… Если перезагружать и держать
Escape что ли, пока он там пишет решёточки, тогда он присвоит себе адрес 10.0.0.1 и попытается с
TFTP скачать…
С: Ой, а где мы потом возьмём нормальную конфигурацию для него?
К: Ха, это нормальная конфигурация?
С: У нас же всё секьюрно, у нас бэкапов нету.
К: Т.е. это нормальная конфигурация.
С: Ну, она же работает большую часть времени. Хороший КПД, больше 90%. Где вы ещё такой КПД
видели? А вот, кстати, по поводу времени: когда президент часовые пояса менял – не помогло.
Т.е. да, мы писали в приёмную президента, просили что-нибудь со временем сделать. Сделали –
не помогло.
К: Почему после Ctrl+Break ничего не происходит, почему через ROMMON не можем сбросить?
С: Ну как? Нам сказали держать – мы держим. Он загрузился, мы продолжаем держать. Пальцы
болят – но мы держим.
К: Он загрузился, и что пишет?
С: Press Return to get started. Ну мы носом Return нажали…
К: Надо было отпускать.
С: Когда?
К: Надо, короче, подождать некоторое время…
С: Так.
К: …Включаем кнопку. Ждём секунд 20…
С: Так.
К: …Раз нажали. Если в ROMMON зашёл, то всё хорошо.
С: Ага.
К: Попробовали – зашёл?
С: Зашёл.
К: О здорово. Обалдеть. А почему?.. Ну носом же нажали.
С: Шаман, однако!
К: Т.е. надо один раз нажимать?
С: Э-э-э…
К: Ну это вопрос такой… ну ладно. Ну пишите conf-reg 0x2102.
С: conf-reg 0x2142.
К: 02. Стоп, 42, 42.
С: А. Блин, я уже 02 написал, сейчас сотру. Блин ругается.
К: Вы Enter нажали после того?
С: Ну да, я нажал.
К: Т.е. Enter нажали только один раз?
С: Да.
К: Пишите reload.
С: Принял, пошёл перезагружаться.
К: Как перезагрузится – скажите.
С: Перезагрузился. Спрашивает логин, пароль. А мы же там ничего не сделали, он же заругался,
говорит «Вай, вай, вай! Твоя моя не понимай!»
К: Попробуйте ещё раз confreg в ROMMON.
С: Так, зашли в ROMMON, что вводим?
К: confreg 0x2142.
С: Ввели. О, сейчас съел. А вот у того товарища лучше получается. Вот, хорошо, принял команду.
Говорит «Моя твоя понимай! Зер гуд!». Что дальше?
К: Перезагружаем.
С: Перезагрузили. Пишет что-то там «верните начало».
К: …А, Press Return to get started. То же самое.
С: Всё, вошли на маршрутизатор. Правда, по моему, он раньше не Router назывался.
К: Так, понятно. Помнишь, что дальше? Смотря какие пароли там установлены. Т.е. входить в
enable режим как минимум надо.
С: Вошли.
К: Надо попытаться сбросить пароли, какие есть. Если на Enable есть пароль, то его сбрасываем.
С: А как его сбрасывать?
К: no enable password попробовать. no enable secret.
С: Он говорит, что не знает такой команды.
К: no enable secret. Надо просто enable secret что-нибудь другое. Подождите…
С: Он не знает такой команды.
К: Тогда copy startup-config running-config.
С: Сделали.
К: Смотри show run.
С: Ой пошло-пошло-пошло! Ой пошло-пошло! Там очень много, я не осилил. Многа букаф.
К: Попробуйте show running-config пробел труба пробел s…
С: А труба… У нас на клавиатуре трубы нет.
К: Это вертикальная палочка.
С: А, это есть.
К: После трубы пробел s пробел nat.
С: Ну, что-то вывел.
К: Клёво, работает. Дома не смог попробовать. У меня дома Cisco нету.
С: Ну как, что-то ip nat inside, ip nat outside, ip…
К: Давайте создадим новое имя пользователя, новое, username какой-нибудь с очень большими
правами и пароль, который мы будем знать.
С: Как?
К: Уф. Вам что, команду говорить?
С: Я играл с кошкой пока отдыхал, она кинулась мне на лицо, исцарапала, две недели в
реанимации, всё забыл…
К: Можно мы вам будем говорить вопросик, а вы нам будете говорить, что вы видите? Там
username имя, потом privilege…
С: А он не знает команды username.
К: В каком режиме сейчас?
С: В привилегированном, как просили.
К: А если нажать conf t?
С: А, в конфиге, в конфиге знает. Есть такая команда.
К: Потом privilege 15, есть такое?
С: Да. А username-то какой? Privilege15?
К: Нет, имя какое-нибудь. Cisco. Class. Дима. username dima.
С: Давайте dima.
К: username dima privilege 15 password dima.
С: password dima. Хорошо, сделали.
К: По Telnet пробуем с компьютера, с того сервера. Может быть поменять ACL, чтобы можно было
не только с того сервера, пока временные меры, чтобы можно было везде. На тот компьютер,
который принадлежит вам поставить. Неудобно на сервер бегать каждый раз.
С: Ну давайте поставим на мой компьютер.
К: Ну т.е. чтобы разрешение было прописано не на компьютер с IPшником 10.0.0.100, а на
компьютер с IPшником, который админский сейчас.
С: Хорошо, сделали. По Telnet входим. Он спрашивает пароль, мы говорим dima, он говорит, нет
не dima.
К: Тогда надо login local написать.
С: Где?
К: line vty 0 4.
С: Прописали. О, всё, теперь заходит. Спасибо.
К: show run всё равно многа букаф выдаёт, читать не будете?
С: Да, там теперь ещё больше букаф стало, тяжело. Оно в NVRAM-то с трудом помещается.
К: Если мы сейчас подождём, когда всё упадёт…
С: Не хотелось бы, но давайте подождём.
К: Ну вот, всё упало, мы по telnet можем подключиться?
С: М-м-м… Так вод знаете, когда всё падало, я бегал, пытался по telnet подключиться, с того
сервера 1Совского тоже пробовал – у меня не получалось.
К: А сейчас, когда мы со своего компа, если исполнить команду, которую уже исполняли. И что,
сокет открывается или нет?
С: Когда всё упало – ничего не открывается.
К: А IP адрес маршрутизатора не пингуется?
С: Ничего нет.
К: IPшники исчезли.
С: Там… А, блин. Я же наврал. Он сейчас по telnet вообще не подключается. Сейчас чего-то все
звонят, ругаются, говорят в интернет не могут выйти.
К: Перезагрузить.
С: Перезагрузили – не помогло. Точнее помо… Нет. Не помогло. Более того, он теперь говорит, что
я Router.
К: Братцы, когда сбрасывали пароли – не вернули конфиг на место. Нет, нет, подождите. Ну мы
много чего не сделали. Мы не сохранили наши новые изменения.
С: Ой какие вы нехорошие! Тут мне все звонят, говорят, какой я козёл, что меня предыдущий
админ должен пасти.
К: Александр, всё нормально. Не беспокойтесь. Confreg не тот, поэтому он стартует без конфига.
Ну и ещё dima эти наши не сохранились. В общем, делаем всё ещё раз…
С: Сделали.
К: Сохраняемся с Димой.
С: Сохранили.
К: Как?
С: Ну…
К: copy running-config startup-config?
С: Да.
К: Из конфигурационного режима напишите config-register 0x2102.
С: Написали, скушал. Ну что-то все ругаются, говорят ничего не работает.
К: Перезагрузимся.
С: Перезагрузились – не помогло. Всё равно ни черта не работает.
К: Ага, а по telnet подключается.
С: Нет, не подключается. И не пингуется, и не подключается, ничего.
К: А консоль есть.
С: Консоль есть. По консоли всё замечательно.
К: Можно?
С: Да, всё работает.
К: А можно посмотреть show ip interface brief из привилегированного режима?
С: Можно. IP адреса стоят, но вот что-то они…
К: Упали.
С: Да…
К: А, они все в down.
С: Да. Они даже, их какой-то администратор задаунил.
К: А если их no shutdown сделать?
С: А, можно, сделали, во, что-то заработало.
К: Т.е. а сейчас?
С: Сейчас вроде пошло.
К: И по Telnet заходит?
С: И по Telnet заходит.
К: Ага. А если сейчас всю эту конфигурацию сохранить и подождать час – ничего не происходит?
С: За час ничего не происходит, а в конце всё пхрррр!
К: Строго в конце часа?
С: Ну как, не совсем строго, но достаточно хорошо. Вот.
К: А по консольке заходит, когда это наступает?
С: Пум-пум-пум, да, заходит. Но что-то там…
К: А строго в конце часа Telnetа нет?
С: Telnetа нет, но консолька вроде живая.
К: А посмотреть? А что в конце часа – shutdown опять интерфейсы?
С: Нет, интерфейсы в up. Там что-то какая-то ругань сыплется. Ошибки какие-то.
К: А что за слова?
С: Да что-то там, какой-то товарищ Маллок Фэил. Ещё что-то.
К: Оу! Ещё раз? Память? А зачем он себе? Он ведёт какие-то логи, да?
С: Ну, не знаю. Раньше вёл.
К: А вот эти логи он сохраняет себе вовнутрь?
С: Да.
К: А если сделать на SysLog сервер.
С: Ой, это надо SysLog сетапать – это долго.
К: Так он же у вас засетаплен на новой железке.
С: Он не засетаплен на новой железке. Там сервер засетаплен, а сервер SysLog на него никто не
ставил. Потому что если его засетапать – он бы кучу ресурсов жрал. Это же плохо. Так у нас сервер
был загружен на 100%, сейчас он на 0% загружен.
К: Есть, короче, маленький бесплатный Kiwi SysLog – вот он быстро ставится, ничего не требует.
С: М-м-м… Ну давайте поставим. Поставили.
К: Вот, и указать его, короче, logging и ip адрес, чтобы логи на него приходили.
С: Хорошо. А где кстати, а ну да, на тот же сервер поставили. Ну поставили, ладно.
К: Ну вот.
С: Ну что, опять час ждём? Уже вечер, уже домой охота, что, целый час тут сидеть?
К: Ну, короче, тогда попробовать, я не знаю, сгенерировать больше траффика. А, кстати, ACL есть?
С: ACL есть маленько.
К: Они все пишут логи, или нет?
С: Никто ничего не пишет.
К: А кто пишет логи?
С: Никто не пишет.
К: Ага.
С: Только роутер чего-то там.
К: А debug у него какой-нибудь может включен?
С: Ну не знаю, как-то пытались debug all – не помогло. Он как-то отвечать перестаёт. Пытались в
config записать, чтобы не каждый раз вводить при загрузке, но тоже что-то не получилось.
К: Т.е. debug all валит всё?
С: Ну да, в общем валит. Ну когда debug all вводишь – оно сразу валится, а без него – только через
час.
К: Нет, undebug all.
С: Так он не понимал уже. Debug all делали – он уже ничего не понимал.
К: А, т.е. изначально debug all, видимо, не был включен.
С: Сейчас-то нет. Сейчас-то перезагрузили – вообще быть не должно. По крайней мере, так
написано в инструкции по технике безопасности, которая на стене висит.
К: Ага. А если её сжечь?
С: Сжечь её нельзя, потому что на другой стене висит инструкция по пожарной безопасности. Если
сжигать, то надо начинать с той.
К: …
С: Кстати, директор очень ругается, что у всех так сеть есть, а у него так сети нет.
К: Давайте его воткнём обратно. Может быть к большому коммутатору подключиться, там
посмотреть, там настройки странные стоят. Security что-нибудь.
С: А как к нему подключиться?
К: У него настроен IP адрес?
С: А, ну это да, есть.
К: Мы его знаем?
С: Знали когда-то.
К: С маршрутизатора попробовать по Telnet. Можно посмотреть WireShark.
С: Ну, там на корпусе написан IPшник, правда он неправильный. Ну как-то перебором зашли…
К: Он логин пароль спрашивает.
С: Нет, он не спрашивает.
К: По Telnetу…
С: Там просто сразу заходит, у нас всё секьюрно.
К: Он не в демилитаризованной зоне этот свитч?
С: Нет, у него локальный IPшник.
К: Хорошо. А там show run что пишет?
С: А куда вводить? Имя устройства? Там больше нет текстовых полей.
К: Не понял.
С: Мы же в броузере зашли.
К: А мы что, ещё и в браузере зашли. А я думал, мы по Telnetу зашли.
С: Нет, Telnet он не понимает. Это ж DLink.
К: И тут мы узнали. И тут мы поняли, в чём дело. Маршрутизация идёт на палочке, на DLinkе
настроены какие-то VLAN?
С: Да.
К: Ой, DLink не дружит с VLAN.
С: Но работает же периодически.
К: Периодически дружит.
С: Мы коммутатор-то не перезагружаем, когда у нас проблемы начинаются. Его боязно
перезагружать, потому что мы слышали, что если их выключить, то они могут потом не
включиться. Поэтому мы его стараемся не трогать. Вот. Он уже 170 дней включен.
К: Мы там можем узнать, нет, в браузере: вот этот порт, который к маршрутизатору идёт, на нём
настройки есть? Может быть он чего-то.
С: Ну, там сказано, что типа Trunk и всё такое.
К: А маршрутизатор знает, что этот порт, который на него от локальной сети смотрит – что это
Trunk?
С: Знает конечно. Как бы у нас иначе связь была с DMZ, что вы меня за дурака-то совсем держите?
К: Директора-то воткнули?
С: Воткнули наверное. Он, наверное, пошёл, сам воткнул. Сейчас ещё нам придёт воткнёт.
Вообще, известный втыкальщик.
К: А если мы, короче, сделаем erase startup-config и reload, нам же ничего не нужно, кроме
маршрутизации. И снова пропишем маршрутизацию, которая мы точно знаем, что хорошая. А
всякие неизвестные команды не будем переписывать.
С: Ну, можно, кончено, так сделать… Мы по Telnetу на него заходим, или как?
К: По консольке.
С: По консоли? Ну ладно… Нехорошие товарищи, так нехорошо делать. Как сказано в плакате,
который на стене висит. Ну ладно. Стёрли, перезагрузили, он там спрашивает, хотим ли мы его
отсетапать.
К: Мы, короче, не хотим.
С: Не хотим?! А зачем мы тогда стирали?
К: Мы настраиваем все IPшники как были.
С: CDPшники?
К: Все IPшники, как были на интерфейсах, всю маршрутизацию в демилитаризованной зоне как
была, Диму и line vty 0 4.
С: Угу.
К: Чтобы туда Дима заходил.
С: Хорошо, Дима заходит.
К: Ну и всё. И ждём час.
С: Так чего-то народ жалуется…
К: А, и NAT. NAT надо настроить. DHCP же будет. Надо точно также настроить, чтобы они
форвардили DHCP серверу. ip dhcp helper или что-то такое.
С: А у нас DHCP в локалке.
К: А, так тогда вообще окей. Тогда про DHCP вообще не надо ничего писать и упоминать, не дай
Бог. Тогда надо ещё настроить NAT. Там ip nat inside и я ещё не помню, что там.
С: Ну вот, стёрли, а сами не помните.
К: Ну, надо сделать NAT, как было в старой конфигурации.
С: Так мы её стёрли.
К: Так мы её же забэкапили, чтобы потом переписать команды, которые нужно…
С: Нет. У нас всё секьюрно, мы бэкапов не храним.
К: Просто Ctrl+C Ctrl+V сделали, потом всё стёрли. На листочек переписали.
С: Понятно. Мне теперь ещё листочек съедать. К нам маски-шоу иногда приходят, поэтому у нас
всё секьюрно. Никакой документации.
К: А когда коллапс начинается – посмотрите show ip nat statistics. Там много записей?
С: М-м-м… Да, много.
К: Дофига?
С: Дофига. Вообще дофига.
К: Какой IPшник создавал – не видно? Кучу?
С: В statistics там вообще IPшники не показываются.
К: По одному выключить. Тыш! Контрольный выстрел. Ладно. Кто-то насоздавал кучу записей в
NATе, и где-то я слышал, что такое может сделать вирус, который забрался куда-нибудь, на какуюнибудь клиентскую машину, или сервер. Если его выявить, т.е. выявить, какая клиентская машина
это делает, то можно её отключить, и всё будет хорошо, по идее.
С: Не, у нас антивирусы стоят на всех компьютерах, регулярно обновляются, всё такое. На
некоторых даже два антивируса стоит.
К: Ну всё-таки.
С: Т.е. тут всё чисто.
К: И у директора?
С: И у директора.
К: А на сервере 1С?
С: Тоже стоит антивирус, и все пользователи мамой клянутся, что у них всё замечательно.
К: Но я не верю.
С: Вы просто не знакомы с их мамой. Я думаю, что им можно верить.
К: Да?
С: Да. Нет, у нас по нехорошим сайтам никто не лазает.
К: А флешки? Дома полазили…
С: Да что вы! У нас же на входе охрана стоит. Флешки отбирают.
К: А у охраны нет компьютеров?
С: Нет. Зачем им компьютеры?
К: У них кроссворды?
С: Вы не поверите, у нас охранники очень ответственные. Они стоят и добросовестно бдят.
К: Кто-то установил кучу соединений. А может, не такую уж и кучу. Может, у нас просто очень
много компьютеров в сети.
С: Ну как много? У нас порядка 50 компьютеров всего.
К: А записей в NAT сколько? Больше 50? А, ну да, конечно.
С: Ну да, больше 50.
К: Ну примерно сколько?
С: Ну примерно сколько… Не знаю. Порядка 100000.
К: А когда мы директора выключали этаж, как там с записями было их меньше стало?
Существенно, нет?
С: Оно немного дольше продержалось, но не сильно.
К: А записи мы вот эти смотрели. Тут 100000 было, а без директора? Ну там 80000… Ты думаешь,
всё зло в директоре?
С: Нет, директор у нас хороший, он нам зарплату платит, если мы ничего не виноваты. Хотя мы
обычно виноваты бываем конечно. Ну как, когда у нас перестало работать – мы посмотрели –
100000. Сейчас включили директора, когда перестаёт работать смотрим, снова порядка того же.
Оно когда перестаёт работать, там примерно одно значение получается.
К: …
С: Ну давайте быстрее. А то сейчас солнце сядет, все негры уйдут, кому работать-то?
К: А show ip nat statistics detail есть команда?
С: М-м-м… Вроде бы нет. Вроде бы нет.
К: А что вообще в конфиге про NAT написано?
С: Ну как, всё что положено. На интерфейсах вкл., пул есть, связь с ACL есть.
К: Кто-то 100000 подключений создаёт.
С: Да, 100000 подключений одних только.
К: Можете сказать на следующие 2 часа отрубить на одном из портов, а нет, всё, всё, всё.
С: Сказать-то мы можем много что. А вот сделать.
К: Да, совершенно верно.
С: Ну что, я к вам пришёл за помощью. Меня же тоже отправят козлов пасти. Хорошо ещё если
пасти. А если доить?
К: У нас есть длинный способ – пробовать по одному компьютеру отключать. 50 часов. Это пара
ночей.
С: Так вот мы целый этаж отключали – оно стало получше, примерно пропорционально тому,
сколько там компьютеров было, но всё равно же сохранилось.
К: А, вот так вот. Т.е. каждый компьютер создаёт вот этих вот сообщений по… А мы можем какнибудь ограничить… А откуда у нас вообще 100000 записей, если исходящих портов всего 65000.
С: Ну у нас же не один IPшник в пуле.
К: Всё-таки нам провайдер дал не один IPшник.
С: Ну у нас для серверов же нужно было несколько IP адресов. Там у нас три сервера, ещё один
для NAT и один адрес у провайдера. Поэтому нам сделали сетку с маской 29 – у нас получился
один адрес ещё лишний. Или даже два – два адреса лишних. Вот. Ну мы их к NATу прикрутили.
К: А зачем так много прикручивать на 50 компьютеров?
С: Чтобы было. А то провайдер скажет, что вот, вам IPшники выделили, а вы их не используете.
К: Мне кажется, что им на это наплевать. Может быть сделать поменьше пул. Ну хотя бы штук 100.
С: IPшников?
К: Угу.
С: Так у нас нет столько – у нас всего-то пять IPшников.
К: Нет, в смысле сделать, чтобы у нас в пуле был один IPшник.
С: А. Ну хорошо. Сделали.
К: И что?
С: Теперь через некоторое время перестают открываться некоторые сайты.
К: Какие?
С: Ну вот новые. Сайты, на которые они ходили – они открываются. А вот новые сайты, если они
хотят зайти – у них не подключается.
К: Кто-то сжирает порты. И записей в NATе наверняка порядка 65000.
С: Ну да, что-то близкое получается.
К: Удалите уже антивирусы. А как там NAT-то настроен? Что там, написано что-нибудь, нет?
Настройка NAT на маршрутизаторе – на нём что там написано? Какие порты включены?
С: Нет, про порты там ничего не сказано.
К: А что есть?
С: Ну как, там есть на интерфейсах ip nat inside, ip nat outside, значит и всё такое. Значит. Так я же
говорил.
К: Ну важно всё-всё-всё. Все строчки. Наверняка какой-нибудь.
С: Ну ip nat inside, ip nat outside. Потом значит ip nat inside source list 666, а нет, почему 666. 66. Уже
двоится – столько времени сидишь. 66 poll tralala overload. Ip nat pool tralala 200.0.0.3 ну сейчас
200.0.0.3 netmask 255.255.255.248. И ещё там что-то есть про NAT связанный чего-то там. Чего-то
про жизнь. Я не понимаю.
К: У! А!
С: Какие-то незнакомые слова – я таких не делал никогда.
К: Оленевод делал.
С: Да, видимо.
К: Получается, что накапливается, накапливается, накапливается. Сделайте no и вот те,
незнакомые слова.
С: Что?
К: Про жизнь.
С: Вы хотите жизни лишить?! Убийцы!
К: Сколько там.
С: Там что-то порядка… Ой, большое число какое-то стоит.
К: Наверное, что-то типа 86400.
С: Оно как-то пугает меня, не хочу его говорить.
К: Сделайте это число равным 3600.
С: Это как-то совсем нехорошо.
К: 5200.
С: Давайте лучше совсем уберём.
К: Давайте.
С: Давайте. Ну убрали.
К: Ждём. Ждём час.
С: Ну помогло.
К: Ура.
С: Да. Директор доволен. Пришёл похвалил, сказал, молодец, я тебя не буду за это расстреливать.
К: Народ, нам не достанется всего лишь примерно по одному грамму свинца. Лучше бы ничего не
делали.
С: Ну ладно, в общем. С NATом молодцы – догадались, в чём была проблема: там действительно
был большой lifetime, из-за этого записи накапливались, забивали всё память, и потом
маршрутизатор уже не мог ничего делать, ему даже пакеты было разместить некуда, вот. А с
доступом – там обошли, проблема была в том, что на компьютере администратора был вручную
установлен левый MAC адрес, потому что кто-то принёс статический себе, а ну адрес, IPшники
назначили на 1Совский сервер. Вот, получился конфликт, и чтобы этот конфликт решить и DHCP не
перенастраивать, поменяли MAC. И теперь стал на админский компьютер выдаваться не тот
IPшник. Поэтому доступа не было. Вот. Ну и всё, больше там проблем не было.