Проблема не однократно обсуждалась и обмусоливалась на просторах интернета в целом и рунета в частности, но конкретного выхода из сложившейся ситуации мы пока не нашли.
Вообщем, проблема в следующем:
Предисловие: Имеем сеть, постоенную на преобладании не управляемых простых длинковских железок, плюс части управляемых свичей DES-3010G и DES-2108, плюс компексы. С самого начала сеть была несколько неверно спроектрированна и по бюджету нет возможности на каждый узел поставить управляемую железку.
Проблема: уже как две недели назад начал пропадать гейт, в таблице динамической арп меняется мак адрес шлюза, на другой, что и, вероятно, является проблемой из-за которой коммутаторы (они же неуправляемые свичи) посылают поток данных вникуда или тому, чей это мак. Время и количество потерь изменялось со временем
Что пытались: сначала думали, что сгорела какая-то из наших железок, но по проверке убедились, что это не так. После думали что это какой-то злоумышленник, который подменяет арп пакетами адрес шлюза и перенаправляет пакеты к себе, из-за чего пропадает шлюз. Но после установки нескольких управляемых железок в определенный сегмент убедились, что проблемы появляется стихийно с разных направлений, потери не постоянные и имеют разный характер как по количество времени спуффинга, так и по месторасположению. Подлило масла в огонь слова одного из знакомых сетевиков, что это некий троян.арп, который сам составляет на зараженной машине ложные арп пакеты и тем самым происходит переписывание арп-таблицы на маршрутизаторах.
Вообщем, написал что сейчас пришло в голову сразу, возможно чтото еще добавлю в процессе обсуждения, но очень надеюсь на вашу помощь!