[gsmail]

Идет ддос атака, небольшая 500kpps, все работает.

Но стоит выключить сервер на который идет атака, как вся сеть фактически парализуется. Cisco доступна только из интернет.

Помогает только на Cisco 6500 маршрут в null отправить.

Предполагаю, что-то со штормами или нечто подобным. Но что конкретно подкрутить можно?

[orlik]

Время жизни arp записи - 4 часа , время жизни mac у свича около 5 минут. как только 5 минут проходит , весь трафик превращается в unknown unicast и начинает рассылаться по всему L2 сегменту (данному vlan).

[gsmail]

А что лучше сделать? увеличивать на всех свитчах или уменьшать время жизни arp?

[Умник]

Линк до сервера на свитче находится в down? Тогда ARP-запись до IP-адреса сервера будет удалена сразу. Или вручную почистите. Это при условии, что действительно имеет место рассинхронизация L2 и L3 баз (MAC-а на L2 нет, а ARP на этот MAC есть).

[Ivan_83]

А что лучше сделать? увеличивать на всех свитчах или уменьшать время жизни arp?

Вам же написали: свич не знает куда слать пакеты для указанного МАК, свечу насрать на арп, он ему нужен только чтобы им самим можно было рулить, либо когда он сам л3 занимается.

У свича есть таблица соотвествия: мак-порт, и если в таблице нет мак адреса то он шлёт пакет во все порты, как броадкаст, в надежде что он дойдёт до получателя. Это называется unknown unicast. Есть в свичах рейтлимит для таких вещей, обычно настраиваемый.

[Tau]

Но стоит выключить сервер на который идет атака, как вся сеть фактически парализуется.

У Вас там один бродкастовый домен, что-ли? Сегментировать надо.

[dmvy]

Установите ARP-timeout не больше, чем MAC timeout.

[orlik]

Установите ARP-timeout не больше, чем MAC timeout.

Не самаю лучшая идея , у свичей маки учатся аппаратно а вот arp учится мозгами. Забьете при прописывать такое часто.

 

Мне больше нравится совет настроить полисеры на unknown unicast

[dmvy]

Установите ARP-timeout не больше, чем MAC timeout.

Не самаю лучшая идея , у свичей маки учатся аппаратно а вот arp учится мозгами. Забьете при прописывать такое часто.

 

Мне больше нравится совет настроить полисеры на unknown unicast

древняя киска 3550 не особо напрягалась на 6000 арпах и 5 минутах. так что не переживайте за мозги... 6500 и подавно справится!

[wtyd]

Установите ARP-timeout не больше, чем MAC timeout.

Не самаю лучшая идея , у свичей маки учатся аппаратно а вот arp учится мозгами. Забьете при прописывать такое часто.

 

Мне больше нравится совет настроить полисеры на unknown unicast

 

Откуда инфа, что свичи маки учат аппаратно ? По-моему, они это как раз софтварно делают, для этого и придумали полисеры на unknown unicast. Вот полисеры точно аппаратно работают.

 

Пример из жизни: не было такого полисера на стыке с другим оператором, а у него однажды длинку с той стороны башню вывернуло и он стал к нам присылать все свои вланы и вообще всё. Т.е. туеву хучу unknown unicast. Наш свич стал тормозить "и вообще" :-). Такие проблемы там регулярно случались, то ли при ребутах на той стороне, то ли ещё фик знает от чего. После установки такого полисера больше инцидентов не случалось, нашему свичу всегда хорошо было :-).

 

Это говорит о том, что у свичей маки заучиваются софтварно, хотя и очень быстро для сравнительно слабых ЦПУ у свичей. Свич тот назывался edge-core ES3528M.

 

Пример из жизни 2: если у шеститонника ( у шеститонника, Карл! :-) ) мониторить трафик в rp и sp, то там тоже видно unknown unicast. Т.е. неизвестный трафик всегда в проц попадает сперва, а проц на какое-то время делает запись в asic.

 

На счёт ставить unknown unicast rate-limit идея хорошая, но она подходит для портов доступа, а в данном случае что ? Рейтлимитить трафик от ядра сети в сторону абонентов ? Плохая идея. Тут надо комплексно подходить. Напрмиер, ip unnumbered и vlan-per-user или трафик сегментейшн, mac-address aging time 1800 и arp cache timeout тоже 1800 , ну или 7200 оба два вместе.

[gsmail]

switchport block unicast

А вот это можно сделать?

Не заблокирует ли что-то нужное?

Edited August 3, 2016 by gsmail

[NiTr0]

Пример из жизни: не было такого полисера на стыке с другим оператором, а у него однажды длинку с той стороны башню вывернуло и он стал к нам присылать все свои вланы и вообще всё. Т.е. туеву хучу unknown unicast. Наш свич стал тормозить "и вообще" :-). Такие проблемы там регулярно случались, то ли при ребутах на той стороне, то ли ещё фик знает от чего. После установки такого полисера больше инцидентов не случалось, нашему свичу всегда хорошо было :-).

 

Это говорит о том, что у свичей маки заучиваются софтварно, хотя и очень быстро для сравнительно слабых ЦПУ у свичей.

бред же. то, что неизвестный трафик начинает валить во все порты (включая cpu порт свичиипа) из-за чего контрол плейн начинает тупить.

 

открою секрет - если контрол плейн умирает, свич как ни в чем не бывало будет продолжать свичевать трафик. не верите - можете попробовать покурить даташиты и попробовать подать ресет сугубо на проц. ну или взять tl-sl2210web, поставиь его в какой-то сегмент и флудонуть парой тысяч маков от которых его контрол плейн скукожится. а датаплейн свичевать будет так же как и раньше :)

[Ivan_83]

Откуда инфа, что свичи маки учат аппаратно ? По-моему, они это как раз софтварно делают, для этого и придумали полисеры на unknown unicast. Вот полисеры точно аппаратно работают.

Бред говоришь.

Вот есть дешман неуправляемые свичи, как они по твоему работают?

Ты их разбирал? Видел там цпу?....У многих даже флешки нет.

 

Обучение макам - примитивное, цпу там не нужен вовсе.

[wtyd]

Пример из жизни: не было такого полисера на стыке с другим оператором, а у него однажды длинку с той стороны башню вывернуло и он стал к нам присылать все свои вланы и вообще всё. Т.е. туеву хучу unknown unicast. Наш свич стал тормозить "и вообще" :-). Такие проблемы там регулярно случались, то ли при ребутах на той стороне, то ли ещё фик знает от чего. После установки такого полисера больше инцидентов не случалось, нашему свичу всегда хорошо было :-).

 

Это говорит о том, что у свичей маки заучиваются софтварно, хотя и очень быстро для сравнительно слабых ЦПУ у свичей.

бред же. то, что неизвестный трафик начинает валить во все порты (включая cpu порт свичиипа) из-за чего контрол плейн начинает тупить.

 

открою секрет - если контрол плейн умирает, свич как ни в чем не бывало будет продолжать свичевать трафик. не верите - можете попробовать покурить даташиты и попробовать подать ресет сугубо на проц. ну или взять tl-sl2210web, поставиь его в какой-то сегмент и флудонуть парой тысяч маков от которых его контрол плейн скукожится. а датаплейн свичевать будет так же как и раньше :)

 

Ладно, бред, но чем это поможет в данном случае ? Всёравно ж трафик в ЦПУ попадает, ну заучиваются маки аппаратно и что ? ЦПУ капец от unknown unicast storm.

[uxcr]

Это говорит о том, что у свичей маки заучиваются софтварно, хотя и очень быстро для сравнительно слабых ЦПУ у свичей. Свич тот назывался edge-core ES3528M.

 

Просто девайс больной на голову.

switchport ingress-filter на таких транковых портах, и очень желательно отключить stp/lldp и всё подобное.

Edited August 4, 2016 by uxcr

[Butch3r]

Откуда инфа, что свичи маки учат аппаратно ? По-моему, они это как раз софтварно делают, для этого и придумали полисеры на unknown unicast. Вот полисеры точно аппаратно работают.

Бред говоришь.

Вот есть дешман неуправляемые свичи, как они по твоему работают?

Ты их разбирал? Видел там цпу?....У многих даже флешки нет.

 

Обучение макам - примитивное, цпу там не нужен вовсе.

и коллизий бы не было

[dmvy]

не морочьте голову. Сделайте arp timeout 5 минут!