Перейти к содержимому
Калькуляторы

DyadyaGenya

Пользователи
  • Публикации

    57
  • Зарегистрирован

  • Посещение

О DyadyaGenya

  • Звание
    Абитуриент
    Абитуриент

Контакты

  • ICQ
    Array
  1. Поочерёдно зеркалировать порты на компьютер со сниффером. Если зеркалирование не поддерживается - подключать этот компьютер мостом в стыки. если я правильно понимаю то зеркалировать можно и л2 тоже грешу на мыльницы, тем более что на той ветке откуда по идее идет флуд полно таких мыльниц у абонентов, и абоненты там очень "продвинутые" уже много от них намучался (ловил не единожды на раздаче своего же инета через свою сеть, но последний раз защитился биндингом и после того вроде перестали), ну а отловить можно было бы если логирование на свичах шло нормально, а так 1210-28 слбанько логи пишет, а так лупдетект конечно включен
  2. про рост мусора я как бы знаю, но не вижу видимых причин как это может в конкретной ситуации помочь вычислить откуда береться флуд пппое пакетов? предположим я его поставлю на агрегацию вместо НР и там так же будет бегать по портам флудящий мак. я уже говорил что бороться можно запретив все чужие пппле пакеты или чужие дхцп, а вот как источник выявить?
  3. это наверно первое что я научился делать на управляемых свичах :-) конечно включент на миним размер, ничего страшного не показывает. График не думал рисовать, но возможно попробую. Правда для этого опять придеться отключать защиту от левых пппое серваков, а это опять приведет к проблемам, и не факт что рисуя графики что то найду а чем он поможет?
  4. ну тогда пример подробнее плз
  5. Рад бы почитать, да на новые Длинки нет инструкции, в суппорте тоже внятно не говорят. Я потму и спрашивал что есть надежда на то что кто то уже испытал. забейте. когда все или много в одном влане начинаются чудесатости. потом окажется что дешевле влан на абонента / дом - чем вылавливать проблемы. например тут ради посмотреть - циска 3550 - отрабатывала весьма достойно. а чтоб работало, то без нормального доступа с ацл не обойтись. ну как же? есть ведь примеры нормальной работы такой схемы, вот тут описано И кстати, никто от тех же ацл не думает отказываться
  6. Во первых, рекомендую сменить эториал на более свежую версию Wireshark (тоже самое только поновее да почувствительнее). Во вторых, не понятна технология тестирования, какие пакеты сыплються на длинке? какие маки светяться? маки с базой сверяли? где ещё такие пакеты бывают? откуда такая уверенность что нет кольца? (то что типа отсутствуют дуплеты и триплеты это не показатель). Инет как раздаете, PPPOE? или ещё как то? конечно лучше поставить Л2 на проблемный участок чтоб лучше мониторить, хотя бы временно.
  7. ну а если я ацл написал чтоб все левые пппое пакеты рубило и пропускало только с маком моего сервера? неужели и тогда будет пропускать? я кстати так и сделал, после чего флуд прекращается, хотя может опять же не правильно проверял. Правда есть ещё один способ как этот конкретный флуд запретить, это запрет вссех левых дшсп пакетов даже на аплинках. я пробовал и тот и тот способ работают по отдельности друг от друга
  8. на вскидку не подскажите какие из л3 могут быть использованы в зловредных целях? пппое я уже понял, можно и раздачу устроить с использованием вашей сети и флуд устроить
  9. так я ж написал только что, что на пппое не действует, вернее действует специфически, соединение создается, в инет пинг идет по цифровым значением, имена не проходят осталось только проверить как работает на НР и кстати, если это так, то получается кто то специально или случайно стал раздавать в сеть пппое трафик скажем с роутера, потому и мака в базе нет, и кольца тогда получается нету
  10. проверил ещё раз, действительно пропускает пакеты, соединение создается, но по именам зайти на сайты не может, проходит только пинг на сайт по цифровому значению. и даже в сети продолжает пинговать сетевые хосты жаль не могу щас проверить тоже самое на НР но почему ж тогда запрещенные маки в арп таблицах не светятся? и если можно, то плз ссылку где почитать про L3 протоколы, так сказать весь список
  11. не вопрос, для знающих людей пример команды: enable address_binding arp_mode enable address_binding trap_log #show address_binding create address_binding ip_mac ipaddress xxx.xxx.xxx.xxx macaddress yy-yy-yy-yy-yy-yy ports Z config address_binding ip_mac ports Z state enable config address_binding ip_mac ports Z Allow_zeroip enable и никаких других команд никогда не используется. в свое время испытывал эту систему, может и не совсем правильно, но скажем пробовал собирать арп с разных свичей и с сервака, те маки что заблокированы биндингом нигде не всплывают, даже если смотреть динамик фдб. даже если компу не просвоили адрес, на него ни пппое, ни впн не подается, в арп таблицах нигде не светиться, только в списке заблокированых маков для НР команды нужны? вы такое пробовали? или это теория?
  12. резет обязательно жал, но все равно только через 3 порт Так при первом включении после ресета он предлагает сбросить начальную конфигурацию. А вы наверно подтвердили ее. в очередной раз нажад на резет и уже более внимательно посмотрел, действительно жал раньше на "ок" особо не разобравшись. Сейчас удалил конфиг и могу заходить через любой порт
  13. Не знаю не знаю, сколько не читал про EoIP получается что будут потери в скорости. Но мне проще, потому что наш пров именно влнами связал нам ещё пару районов, которые имеют правда свои сервера (роутер и пппое) и одно направление только с роутером, который вланом прокидывает трафик на сервера и уже туда люди конектятся по пппое. Но там районы более перспективные, поэтому имело смысл ставить дополнительные серваки, а ту затрачивааться не имеет смысла, да и местом ограничены. Да и чтоб настроить EoIP ещё один не нужен, его на фрях тоже поднять можно, по крайней мере наш главный админ так говорит
  14. Ещё ни разу не встречал чтоба биндинг работал только скажем с пппое трафик, да и в описании этой функции везде пишут что дропает она все пакеты с не правильной парой, проверяли, пробовали настроить пппое с не правильной парой, так не пускает ни какой трафик в этом порту.
  15. были у меня подозрения на этот счет, особенно с учетом того что на одной из веток есть дес-3028, но, потворюсь, такое колличество маков было всегда. Кроме того, если б это была проблема с хешем, то запрет чужих пппое не помог бы, а он помагает. Да и маки то неизвестно откуда беруться, их в базе нет, к адресам не привязываются, на портах почти везде настроен ip-mac-binding что по идее должно защитить от появления левых маков (естественно не защищены в первую очередь аплинковские порты и кое где юзерские, с тупариками за ним, ну и свичи на агрегации тоже без биндинга)