[roma33rus]

Коллеги, всем привет.
Имею DES-3200-26 Firmware Version : Build 1.89.B002

Устал мучаться с нагрузкой CPU

 

Обнаружил, что на одном из портов идет дикий трафик мультикаста, там где его быть не должно вообще:

 

Как с этим бороться?

 

multicast port_filtering_mode не помогает, шторм контроль не помогает.

 

В понедельник будем снимать дамп, посмотрим чего там за такой мультикаст интересный.

[nixx]

с вероятностью 95% предполагаю там сошедший с ума роутер, упорото пытающийся получить ipv6 адрес

зарежьте ethertype 0x86dd как в обычных ацль, так и в cpu acl

если, конечно, вы не пользуетесь ipv6

[roma33rus]

32 минуты назад, nixx сказал:

с вероятностью 95% предполагаю там сошедший с ума роутер, упорото пытающийся получить ipv6 адрес

зарежьте ethertype 0x86dd как в обычных ацль, так и в cpu acl

если, конечно, вы не пользуетесь ipv6

не используем от слова совсем.

 

Спасибо. Сделаем так, отпишусь по результатам.

[roma33rus]

@nixx я при блокировке все так же по сути должен видеть прилетающий от роутера трафик на его порт, куда он подключен?

[nixx]

не помню точно. кажется, да - абонентский порт по-прежнему крутит счетчик приходящих, а на остальных портах, куда лился весь трафик с вредителя, он пропадает.

[fractal]

9 часов назад, roma33rus сказал:

@nixx я при блокировке все так же по сути должен видеть прилетающий от роутера трафик на его порт, куда он подключен?

Да, трафик так же будет виден, но уже не разлетаться далее

[roma33rus]

Странненько. Вроде добавил в ACL:

# ACL

create access_profile  ethernet  ethernet_type  profile_id 2
config access_profile profile_id 2  add access_id 1  ethernet  ethernet_type 0x86DD    port 3 deny
create cpu access_profile profile_id 1 ethernet  ethernet_type 
config cpu access_profile profile_id 1  add access_id 1  ethernet  ethernet_type 0x86DD    port 3 deny
enable cpu_interface_filtering

 

А загрузка CPU все равно не спала:

 

 

Может A серия не умеет резать ipv6

[nixx]

а мультикастовый pps на всех портах, кроме абонентского, пропал?

ну то есть вообще моя догадка о происхождении трафика верна?

[roma33rus]

1 час назад, nixx сказал:

а мультикастовый pps на всех портах, кроме абонентского, пропал?

ну то есть вообще моя догадка о происхождении трафика верна?

его кстати нигде и не было, кроме этого 3 порта. даже на аплинке нет.

[nixx]

я вспомнил, извините (если всё же это ipv6):

https://forum.dlink.ru/viewtopic.php?f=2&t=180217

сделайте:

create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  profile_id 5

config access_profile profile_id 5  add access_id 1  packet_content   offset1 0x86dd port 1-24 deny

и посмотрите еще раз на результат

cpu profile оставьте как есть

[roma33rus]

3 часа назад, nixx сказал:

я вспомнил, извините (если всё же это ipv6):

https://forum.dlink.ru/viewtopic.php?f=2&t=180217

сделайте:

create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  profile_id 5

config access_profile profile_id 5  add access_id 1  packet_content   offset1 0x86dd port 1-24 deny

и посмотрите еще раз на результат

cpu profile оставьте как есть

о. Спасибо большое. Сейчас новое правило опробую. Честно говоря, никогда ничего не резал через packet content.

[Negator]

В 24.12.2023 в 01:35, nixx сказал:

не помню точно. кажется, да - абонентский порт по-прежнему крутит счетчик приходящих, а на остальных портах, куда лился весь трафик с вредителя, он пропадает.

 

Конечно. Как бы вы не блокировали или ограничивали мультикаст (там же traffic control  например) - на порт свича он уже прилетел от клиента. И сделать с этим ничего нельзя.

А вот на вышестоящих уже не будет его если корректно заблокировали.

И да - есть вероятность что железке от такого может поплохеть.

[roma33rus]

8 часов назад, Negator сказал:

 

Конечно. Как бы вы не блокировали или ограничивали мультикаст (там же traffic control  например) - на порт свича он уже прилетел от клиента. И сделать с этим ничего нельзя.

А вот на вышестоящих уже не будет его если корректно заблокировали.

И да - есть вероятность что железке от такого может поплохеть.

К сожалению советы коллеги выше не помогли избавиться от нагрузки. Поплохеть кстати может даже при блокировке?

 

ну может в порт и не dhcp v6 льется. Дамп трафика еще не сняли. 
 

@nixx коллега, в любом спасибо и плюсик в карму.

Edited December 25, 2023 by roma33rus

[PumpIT]

Тоже начали вешаться пара коммутаторов, один 3200-28, другой 3120-24SC, применили такие правила на CPU, пока что не отваливались:

#CPU Interface Filter



create cpu access_profile profile_id 1 ip destination_ip_mask 240.0.0.0

config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 deny

enable cpu_interface_filtering

 

[Negator]

В 25.12.2023 в 23:08, roma33rus сказал:

К сожалению советы коллеги выше не помогли избавиться от нагрузки. Поплохеть кстати может даже при блокировке?

 

ну может в порт и не dhcp v6 льется. Дамп трафика еще не сняли. 
 

@nixx коллега, в любом спасибо и плюсик в карму.

Да, может. Потому что мультикаст уже прилетел на железку и льется в проц.

 

Мы блокируем ipv6 полностью по Ethertype 0x86dd на конечных железках.

+ traffic control

Обычно проблем нет.

[roma33rus]

Да это DHCPv6. Странно, что по Ethertype 0x86dd не блочится.

 

Попробую еще разок правила забить.

 

storm.pcap

[roma33rus]

18 часов назад, Negator сказал:

Да, может. Потому что мультикаст уже прилетел на железку и льется в проц.

 

Мы блокируем ipv6 полностью по Ethertype 0x86dd на конечных железках.

+ traffic control

Обычно проблем нет.

а у Вас какие железки используются?

[roma33rus]

Кстати, коллеги, а при этом на DES функцию safeguard отключить или включить?

[VolanD666]

А та клиент подключен? Нельзя ему заблочить порт штормконтролом, пока он не решит проблему? 🙂

[roma33rus]

5 минут назад, VolanD666 сказал:

А та клиент подключен? Нельзя ему заблочить порт штормконтролом, пока он не решит проблему? 🙂

ага. Один клиент, правда юрлицо. Да и хочется такие конфузы решать, не беспокоя клиента.

 

P.S.: штормконтроль вообще не спасает. Никак.

[nixx]

если таки точно dhcpv6, то советую прошивку обновить

должно резаться.

и спрошу наивное: у вас никаких разрешающих ацлек перед запрещающими нет?

[roma33rus]

4 часа назад, nixx сказал:

если таки точно dhcpv6, то советую прошивку обновить

должно резаться.

и спрошу наивное: у вас никаких разрешающих ацлек перед запрещающими нет?

Точно dhcpv6. Выше кусок дампа показал. Прошивку последнюю поставил. 1.91.007.  Даже добавленное правило со счетчиком не тикает. Че т здесь не то.

 

список acl у меня пустой, эти (блокирующие) единственные правила.

 

Завтра будем менять на C1 серию. Моя не понимать почему здесь acl не помогает.

[Умник]

На С1 командой "show cpu port" можно смотреть, какие протоколы валятся на CPU.

[roma33rus]

16 минут назад, Умник сказал:

На С1 командой "show cpu port" можно смотреть, какие протоколы валятся на CPU.

На А1 такая ж фича есть. DHCP в топе конечно у меня 

[roma33rus]

Заменили коммутатор на ревизию C1. Мультикаст сразу с порта пропал ну и я на всякий случай накинул правила.