Jump to content

Foxgate ARP флуд непонятный трафик

Добрый день!

 

В сети несколько вендоров, но только коммутаторы Foxgate начали отключать vlan по loopback-detect

на "магистральных" портах. Причем, loopback-detect срабатывает в сторону ядра и во всех vlan,

в абонентских и управлении.

 

tcpdump показывет следущее:

00:03:0f:1a:7f:4f (oui Unknown) > 00:03:0f:03:00:03 (oui Unknown), ethertype 802.1Q (0x8100), length 64:

0x0000: 0000 0000 0040 0100 0019 0000 00f9 0000 .....@..........

0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................

0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............

 

для примера ip этого коммутатора: 192.168.249.18 в отдельном vlan 249, еще партией коммутаторов до 30 шт в этом же vlan.

 

дальше запустил:

tcpdump -tl | grep 00:03:0f:03:00:03

00:03:0f:26:da:9b (oui Unknown) > 00:03:0f:03:00:03 (oui Unknown), ethertype 802.1Q (0x8100), length 64:

00:03:0f:19:47:f3 (oui Unknown) > 00:03:0f:03:00:03 (oui Unknown), ethertype 802.1Q (0x8100), length 64:

00:03:0f:19:46:dd (oui Unknown) > 00:03:0f:03:00:03 (oui Unknown), ethertype 802.1Q (0x8100), length 64:

00:03:0f:1c:fa:e1 (oui Unknown) > 00:03:0f:03:00:03 (oui Unknown), ethertype 802.1Q (0x8100), length 64:

00:03:0f:1a:7f:4f (oui Unknown) > 00:03:0f:03:00:03 (oui Unknown), ethertype 802.1Q (0x8100), length 64:

 

И каждый коммутатор шлет за раз от 1 до 10 пакетов. МАС 00:03:0f:03:00:03 в сети не обнаружен, но как видно

он того же производителя. Пытаюсь собрать как можно больше информации. Сеть просела достаточно сильно,

элементаро нарушена работа DHCP во всех vlan.

 

Что делать? Что они рассылают, кому и зачем?

Спасибо!

Share this post


Link to post
Share on other sites

Вероятно у вас петля на порту в сети раз loopdetect срабатывает во всех виланах. Непонятный трафик вероятно и есть кадры loopback detect при получении которых Foxgate понимает что в сети петля (с loopdetect на Foxgate не сталкивался поэтому точно не скажу). Коммутатор шлет кадры loopdetect периодически во всех виланах и вероятно поэтому видите отправку нескольких кадров за раз. Для свитчей других вендоров эти кадры выглядят как обычные кадры с данными и они их пропускают без обработки.

tcpdump запускайте с ключем -e чтобы он показывал заголовок L2 и vlan id в частности.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.