gsmail Опубликовано 2 августа, 2016 · Жалоба Идет ддос атака, небольшая 500kpps, все работает. Но стоит выключить сервер на который идет атака, как вся сеть фактически парализуется. Cisco доступна только из интернет. Помогает только на Cisco 6500 маршрут в null отправить. Предполагаю, что-то со штормами или нечто подобным. Но что конкретно подкрутить можно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 2 августа, 2016 · Жалоба Время жизни arp записи - 4 часа , время жизни mac у свича около 5 минут. как только 5 минут проходит , весь трафик превращается в unknown unicast и начинает рассылаться по всему L2 сегменту (данному vlan). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 2 августа, 2016 · Жалоба А что лучше сделать? увеличивать на всех свитчах или уменьшать время жизни arp? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 2 августа, 2016 · Жалоба Линк до сервера на свитче находится в down? Тогда ARP-запись до IP-адреса сервера будет удалена сразу. Или вручную почистите. Это при условии, что действительно имеет место рассинхронизация L2 и L3 баз (MAC-а на L2 нет, а ARP на этот MAC есть). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 2 августа, 2016 · Жалоба А что лучше сделать? увеличивать на всех свитчах или уменьшать время жизни arp? Вам же написали: свич не знает куда слать пакеты для указанного МАК, свечу насрать на арп, он ему нужен только чтобы им самим можно было рулить, либо когда он сам л3 занимается. У свича есть таблица соотвествия: мак-порт, и если в таблице нет мак адреса то он шлёт пакет во все порты, как броадкаст, в надежде что он дойдёт до получателя. Это называется unknown unicast. Есть в свичах рейтлимит для таких вещей, обычно настраиваемый. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 2 августа, 2016 · Жалоба Но стоит выключить сервер на который идет атака, как вся сеть фактически парализуется. У Вас там один бродкастовый домен, что-ли? Сегментировать надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 2 августа, 2016 · Жалоба Установите ARP-timeout не больше, чем MAC timeout. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 2 августа, 2016 · Жалоба Установите ARP-timeout не больше, чем MAC timeout. Не самаю лучшая идея , у свичей маки учатся аппаратно а вот arp учится мозгами. Забьете при прописывать такое часто. Мне больше нравится совет настроить полисеры на unknown unicast Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 2 августа, 2016 · Жалоба Установите ARP-timeout не больше, чем MAC timeout. Не самаю лучшая идея , у свичей маки учатся аппаратно а вот arp учится мозгами. Забьете при прописывать такое часто. Мне больше нравится совет настроить полисеры на unknown unicast древняя киска 3550 не особо напрягалась на 6000 арпах и 5 минутах. так что не переживайте за мозги... 6500 и подавно справится! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 3 августа, 2016 · Жалоба Установите ARP-timeout не больше, чем MAC timeout. Не самаю лучшая идея , у свичей маки учатся аппаратно а вот arp учится мозгами. Забьете при прописывать такое часто. Мне больше нравится совет настроить полисеры на unknown unicast Откуда инфа, что свичи маки учат аппаратно ? По-моему, они это как раз софтварно делают, для этого и придумали полисеры на unknown unicast. Вот полисеры точно аппаратно работают. Пример из жизни: не было такого полисера на стыке с другим оператором, а у него однажды длинку с той стороны башню вывернуло и он стал к нам присылать все свои вланы и вообще всё. Т.е. туеву хучу unknown unicast. Наш свич стал тормозить "и вообще" :-). Такие проблемы там регулярно случались, то ли при ребутах на той стороне, то ли ещё фик знает от чего. После установки такого полисера больше инцидентов не случалось, нашему свичу всегда хорошо было :-). Это говорит о том, что у свичей маки заучиваются софтварно, хотя и очень быстро для сравнительно слабых ЦПУ у свичей. Свич тот назывался edge-core ES3528M. Пример из жизни 2: если у шеститонника ( у шеститонника, Карл! :-) ) мониторить трафик в rp и sp, то там тоже видно unknown unicast. Т.е. неизвестный трафик всегда в проц попадает сперва, а проц на какое-то время делает запись в asic. На счёт ставить unknown unicast rate-limit идея хорошая, но она подходит для портов доступа, а в данном случае что ? Рейтлимитить трафик от ядра сети в сторону абонентов ? Плохая идея. Тут надо комплексно подходить. Напрмиер, ip unnumbered и vlan-per-user или трафик сегментейшн, mac-address aging time 1800 и arp cache timeout тоже 1800 , ну или 7200 оба два вместе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 3 августа, 2016 (изменено) · Жалоба switchport block unicast А вот это можно сделать? Не заблокирует ли что-то нужное? Изменено 3 августа, 2016 пользователем gsmail Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 3 августа, 2016 · Жалоба Пример из жизни: не было такого полисера на стыке с другим оператором, а у него однажды длинку с той стороны башню вывернуло и он стал к нам присылать все свои вланы и вообще всё. Т.е. туеву хучу unknown unicast. Наш свич стал тормозить "и вообще" :-). Такие проблемы там регулярно случались, то ли при ребутах на той стороне, то ли ещё фик знает от чего. После установки такого полисера больше инцидентов не случалось, нашему свичу всегда хорошо было :-). Это говорит о том, что у свичей маки заучиваются софтварно, хотя и очень быстро для сравнительно слабых ЦПУ у свичей. бред же. то, что неизвестный трафик начинает валить во все порты (включая cpu порт свичиипа) из-за чего контрол плейн начинает тупить. открою секрет - если контрол плейн умирает, свич как ни в чем не бывало будет продолжать свичевать трафик. не верите - можете попробовать покурить даташиты и попробовать подать ресет сугубо на проц. ну или взять tl-sl2210web, поставиь его в какой-то сегмент и флудонуть парой тысяч маков от которых его контрол плейн скукожится. а датаплейн свичевать будет так же как и раньше :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 3 августа, 2016 · Жалоба Откуда инфа, что свичи маки учат аппаратно ? По-моему, они это как раз софтварно делают, для этого и придумали полисеры на unknown unicast. Вот полисеры точно аппаратно работают. Бред говоришь. Вот есть дешман неуправляемые свичи, как они по твоему работают? Ты их разбирал? Видел там цпу?....У многих даже флешки нет. Обучение макам - примитивное, цпу там не нужен вовсе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 4 августа, 2016 · Жалоба Пример из жизни: не было такого полисера на стыке с другим оператором, а у него однажды длинку с той стороны башню вывернуло и он стал к нам присылать все свои вланы и вообще всё. Т.е. туеву хучу unknown unicast. Наш свич стал тормозить "и вообще" :-). Такие проблемы там регулярно случались, то ли при ребутах на той стороне, то ли ещё фик знает от чего. После установки такого полисера больше инцидентов не случалось, нашему свичу всегда хорошо было :-). Это говорит о том, что у свичей маки заучиваются софтварно, хотя и очень быстро для сравнительно слабых ЦПУ у свичей. бред же. то, что неизвестный трафик начинает валить во все порты (включая cpu порт свичиипа) из-за чего контрол плейн начинает тупить. открою секрет - если контрол плейн умирает, свич как ни в чем не бывало будет продолжать свичевать трафик. не верите - можете попробовать покурить даташиты и попробовать подать ресет сугубо на проц. ну или взять tl-sl2210web, поставиь его в какой-то сегмент и флудонуть парой тысяч маков от которых его контрол плейн скукожится. а датаплейн свичевать будет так же как и раньше :) Ладно, бред, но чем это поможет в данном случае ? Всёравно ж трафик в ЦПУ попадает, ну заучиваются маки аппаратно и что ? ЦПУ капец от unknown unicast storm. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 4 августа, 2016 (изменено) · Жалоба Это говорит о том, что у свичей маки заучиваются софтварно, хотя и очень быстро для сравнительно слабых ЦПУ у свичей. Свич тот назывался edge-core ES3528M. Просто девайс больной на голову. switchport ingress-filter на таких транковых портах, и очень желательно отключить stp/lldp и всё подобное. Изменено 4 августа, 2016 пользователем uxcr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 4 августа, 2016 · Жалоба Откуда инфа, что свичи маки учат аппаратно ? По-моему, они это как раз софтварно делают, для этого и придумали полисеры на unknown unicast. Вот полисеры точно аппаратно работают. Бред говоришь. Вот есть дешман неуправляемые свичи, как они по твоему работают? Ты их разбирал? Видел там цпу?....У многих даже флешки нет. Обучение макам - примитивное, цпу там не нужен вовсе. и коллизий бы не было Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 4 августа, 2016 · Жалоба не морочьте голову. Сделайте arp timeout 5 минут! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...