Jump to content
Калькуляторы

Foxgate ARP флуд непонятный трафик

Добрый день!

 

В сети несколько вендоров, но только коммутаторы Foxgate начали отключать vlan по loopback-detect

на "магистральных" портах. Причем, loopback-detect срабатывает в сторону ядра и во всех vlan,

в абонентских и управлении.

 

tcpdump показывет следущее:

00:03:0f:1a:7f:4f (oui Unknown) > 00:03:0f:03:00:03 (oui Unknown), ethertype 802.1Q (0x8100), length 64:

0x0000: 0000 0000 0040 0100 0019 0000 00f9 0000 .....@..........

0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................

0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............

 

для примера ip этого коммутатора: 192.168.249.18 в отдельном vlan 249, еще партией коммутаторов до 30 шт в этом же vlan.

 

дальше запустил:

tcpdump -tl | grep 00:03:0f:03:00:03

00:03:0f:26:da:9b (oui Unknown) > 00:03:0f:03:00:03 (oui Unknown), ethertype 802.1Q (0x8100), length 64:

00:03:0f:19:47:f3 (oui Unknown) > 00:03:0f:03:00:03 (oui Unknown), ethertype 802.1Q (0x8100), length 64:

00:03:0f:19:46:dd (oui Unknown) > 00:03:0f:03:00:03 (oui Unknown), ethertype 802.1Q (0x8100), length 64:

00:03:0f:1c:fa:e1 (oui Unknown) > 00:03:0f:03:00:03 (oui Unknown), ethertype 802.1Q (0x8100), length 64:

00:03:0f:1a:7f:4f (oui Unknown) > 00:03:0f:03:00:03 (oui Unknown), ethertype 802.1Q (0x8100), length 64:

 

И каждый коммутатор шлет за раз от 1 до 10 пакетов. МАС 00:03:0f:03:00:03 в сети не обнаружен, но как видно

он того же производителя. Пытаюсь собрать как можно больше информации. Сеть просела достаточно сильно,

элементаро нарушена работа DHCP во всех vlan.

 

Что делать? Что они рассылают, кому и зачем?

Спасибо!

Share this post


Link to post
Share on other sites

Вероятно у вас петля на порту в сети раз loopdetect срабатывает во всех виланах. Непонятный трафик вероятно и есть кадры loopback detect при получении которых Foxgate понимает что в сети петля (с loopdetect на Foxgate не сталкивался поэтому точно не скажу). Коммутатор шлет кадры loopdetect периодически во всех виланах и вероятно поэтому видите отправку нескольких кадров за раз. Для свитчей других вендоров эти кадры выглядят как обычные кадры с данными и они их пропускают без обработки.

tcpdump запускайте с ключем -e чтобы он показывал заголовок L2 и vlan id в частности.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this