DyadyaGenya

Поочерёдно зеркалировать порты на компьютер со сниффером. Если зеркалирование не поддерживается - подключать этот компьютер мостом в стыки. если я правильно понимаю то зеркалировать можно и л2 тоже грешу на мыльницы, тем более что на той ветке откуда по идее идет флуд полно таких мыльниц у абонентов, и абоненты там очень "продвинутые" уже много от них намучался (ловил не единожды на раздаче своего же инета через свою сеть, но последний раз защитился биндингом и после того вроде перестали), ну а отловить можно было бы если логирование на свичах шло нормально, а так 1210-28 слбанько логи пишет, а так лупдетект конечно включен

про рост мусора я как бы знаю, но не вижу видимых причин как это может в конкретной ситуации помочь вычислить откуда береться флуд пппое пакетов? предположим я его поставлю на агрегацию вместо НР и там так же будет бегать по портам флудящий мак. я уже говорил что бороться можно запретив все чужие пппле пакеты или чужие дхцп, а вот как источник выявить?

это наверно первое что я научился делать на управляемых свичах :-) конечно включент на миним размер, ничего страшного не показывает. График не думал рисовать, но возможно попробую. Правда для этого опять придеться отключать защиту от левых пппое серваков, а это опять приведет к проблемам, и не факт что рисуя графики что то найду а чем он поможет?

ну тогда пример подробнее плз

Рад бы почитать, да на новые Длинки нет инструкции, в суппорте тоже внятно не говорят. Я потму и спрашивал что есть надежда на то что кто то уже испытал. забейте. когда все или много в одном влане начинаются чудесатости. потом окажется что дешевле влан на абонента / дом - чем вылавливать проблемы. например тут ради посмотреть - циска 3550 - отрабатывала весьма достойно. а чтоб работало, то без нормального доступа с ацл не обойтись. ну как же? есть ведь примеры нормальной работы такой схемы, вот тут описано И кстати, никто от тех же ацл не думает отказываться

Во первых, рекомендую сменить эториал на более свежую версию Wireshark (тоже самое только поновее да почувствительнее). Во вторых, не понятна технология тестирования, какие пакеты сыплються на длинке? какие маки светяться? маки с базой сверяли? где ещё такие пакеты бывают? откуда такая уверенность что нет кольца? (то что типа отсутствуют дуплеты и триплеты это не показатель). Инет как раздаете, PPPOE? или ещё как то? конечно лучше поставить Л2 на проблемный участок чтоб лучше мониторить, хотя бы временно.

ну а если я ацл написал чтоб все левые пппое пакеты рубило и пропускало только с маком моего сервера? неужели и тогда будет пропускать? я кстати так и сделал, после чего флуд прекращается, хотя может опять же не правильно проверял. Правда есть ещё один способ как этот конкретный флуд запретить, это запрет вссех левых дшсп пакетов даже на аплинках. я пробовал и тот и тот способ работают по отдельности друг от друга

на вскидку не подскажите какие из л3 могут быть использованы в зловредных целях? пппое я уже понял, можно и раздачу устроить с использованием вашей сети и флуд устроить

так я ж написал только что, что на пппое не действует, вернее действует специфически, соединение создается, в инет пинг идет по цифровым значением, имена не проходят осталось только проверить как работает на НР и кстати, если это так, то получается кто то специально или случайно стал раздавать в сеть пппое трафик скажем с роутера, потому и мака в базе нет, и кольца тогда получается нету

проверил ещё раз, действительно пропускает пакеты, соединение создается, но по именам зайти на сайты не может, проходит только пинг на сайт по цифровому значению. и даже в сети продолжает пинговать сетевые хосты жаль не могу щас проверить тоже самое на НР но почему ж тогда запрещенные маки в арп таблицах не светятся? и если можно, то плз ссылку где почитать про L3 протоколы, так сказать весь список

не вопрос, для знающих людей пример команды: enable address_binding arp_mode enable address_binding trap_log #show address_binding create address_binding ip_mac ipaddress xxx.xxx.xxx.xxx macaddress yy-yy-yy-yy-yy-yy ports Z config address_binding ip_mac ports Z state enable config address_binding ip_mac ports Z Allow_zeroip enable и никаких других команд никогда не используется. в свое время испытывал эту систему, может и не совсем правильно, но скажем пробовал собирать арп с разных свичей и с сервака, те маки что заблокированы биндингом нигде не всплывают, даже если смотреть динамик фдб. даже если компу не просвоили адрес, на него ни пппое, ни впн не подается, в арп таблицах нигде не светиться, только в списке заблокированых маков для НР команды нужны? вы такое пробовали? или это теория?

резет обязательно жал, но все равно только через 3 порт Так при первом включении после ресета он предлагает сбросить начальную конфигурацию. А вы наверно подтвердили ее. в очередной раз нажад на резет и уже более внимательно посмотрел, действительно жал раньше на "ок" особо не разобравшись. Сейчас удалил конфиг и могу заходить через любой порт

Не знаю не знаю, сколько не читал про EoIP получается что будут потери в скорости. Но мне проще, потому что наш пров именно влнами связал нам ещё пару районов, которые имеют правда свои сервера (роутер и пппое) и одно направление только с роутером, который вланом прокидывает трафик на сервера и уже туда люди конектятся по пппое. Но там районы более перспективные, поэтому имело смысл ставить дополнительные серваки, а ту затрачивааться не имеет смысла, да и местом ограничены. Да и чтоб настроить EoIP ещё один не нужен, его на фрях тоже поднять можно, по крайней мере наш главный админ так говорит

Ещё ни разу не встречал чтоба биндинг работал только скажем с пппое трафик, да и в описании этой функции везде пишут что дропает она все пакеты с не правильной парой, проверяли, пробовали настроить пппое с не правильной парой, так не пускает ни какой трафик в этом порту.

были у меня подозрения на этот счет, особенно с учетом того что на одной из веток есть дес-3028, но, потворюсь, такое колличество маков было всегда. Кроме того, если б это была проблема с хешем, то запрет чужих пппое не помог бы, а он помагает. Да и маки то неизвестно откуда беруться, их в базе нет, к адресам не привязываются, на портах почти везде настроен ip-mac-binding что по идее должно защитить от появления левых маков (естественно не защищены в первую очередь аплинковские порты и кое где юзерские, с тупариками за ним, ну и свичи на агрегации тоже без биндинга)

вот ссылка на рисонок, но наверно проще было нарисавать от руки :-) что то не нравиться мне как в визио рисует при необходимости напишу какие адреса где используются, вот результат команды ip firewall filter export, он фактически чистый, потому что решил сбросить все [admin@MikroTik] >> ip firewall filter export # jan/02/1970 00:03:10 by RouterOS 4.11 # software id = XHYR-QME1 # /ip firewall filter add action=accept chain=input comment="default configuration" disabled=no \ protocol=icmp add action=accept chain=input comment="default configuration" \ connection-state=established disabled=no in-interface=ether1-gateway add action=accept chain=input comment="default configuration" \ connection-state=related disabled=no in-interface=ether1-gateway add action=drop chain=input comment="default configuration" disabled=no \ in-interface=ether1-gateway [admin@MikroTik] >>

ниже 200 не опускается, но так всегда было, а проблемы только недавно появились

резет обязательно жал, но все равно только через 3 порт

пока ставиться визио, ещё вопрос, почему то кроме как через 3 порт не хочет заходить на микротик. это так задумано или я не могу настроить?

и прикрепить рисунок? а куда вылажить? на посторонний сайт?

К сожалению не было времени сюда заходить, появились другие проблемы, о кторых тоже написал на форуме, вот и не отвечал. с этой проблемой я именно так и борюсь, сперваа стал запрещать мак который флудит, потом они стали меняться и я запретил все пппое, но так и не нашел откуда береться кольцо, и насколько это было вредительство. Странно то что даже при полном отключении двух веток в каждой продолжают бегать флудящие маки. Я уже сходил с ноутом на вторую ветку, где в агрегации стоит НР. Стоит отключить запрет ПППОЕ и через время флуд появляется везде на аплинковских портах. Но это не дело постоянно так дергать сеть. Может и не плохо писать правила против чужих пппое, но кольцо то от этого не денеться никуда, и причина его появления тже не выясниться, а в будущем может вылезти ещё каким нибудь боком

Пришлось столкнуться с новой задачей связать через магитсраль вышестоящего провайдера новый сегмент, так чтоб люди из новой сети (LAN3) получали из старой-главной (LAN1) адреса и инет по пппое, ну и желательно настроить прокси арп на роутере. Теоретически все просто, создать влн, пробросить через прова и распаковать его на новом сегменте с помощью какого то роутера, толи сервачок насроить толи роутер. Решил поставить роутер, выбрал микротик 750г, по описанию и по отзывам хорошая штука. На первый взгляд вроде простая в настройках. Но не получается. А время поджимает. Хотелось бы готовый алгоритм с командами, а ешё лучше конфиг, чтоб тупо залить на роутер :-)

имеется ввиду только на юзерских портах? строго по одной паре, есть правда пару где по две пары мак-айпи, и они арп таблице соответсвуют, никаких других, кроме статических нет, нет и в списке заблокированых. статических до 24 на комутатор. мак блокирую легко, никто не звонит, опять же, когда блокирую, то флуд пропадает, но через время может появиться новый мак

ну правильно, я и смотрю, только вредоносные маки светяться только на палинковских портах, если б где то на порту доступа светились то все было бы понятно

ну и как его вычислить? бегать отключать? и где бегать? на той ветке где агрегация на НР сделана или на дгс3120? и что самое обидное, мака то в базе такого нет и если просто тупо порты соеденены пачкордом то получается что кто то специально это делает?