roma33rus Опубликовано 23 декабря, 2023 · Жалоба Коллеги, всем привет. Имею DES-3200-26 Firmware Version : Build 1.89.B002 Устал мучаться с нагрузкой CPU Обнаружил, что на одном из портов идет дикий трафик мультикаста, там где его быть не должно вообще: Как с этим бороться? multicast port_filtering_mode не помогает, шторм контроль не помогает. В понедельник будем снимать дамп, посмотрим чего там за такой мультикаст интересный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 23 декабря, 2023 · Жалоба с вероятностью 95% предполагаю там сошедший с ума роутер, упорото пытающийся получить ipv6 адрес зарежьте ethertype 0x86dd как в обычных ацль, так и в cpu acl если, конечно, вы не пользуетесь ipv6 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 23 декабря, 2023 · Жалоба 32 минуты назад, nixx сказал: с вероятностью 95% предполагаю там сошедший с ума роутер, упорото пытающийся получить ipv6 адрес зарежьте ethertype 0x86dd как в обычных ацль, так и в cpu acl если, конечно, вы не пользуетесь ipv6 не используем от слова совсем. Спасибо. Сделаем так, отпишусь по результатам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 23 декабря, 2023 · Жалоба @nixx я при блокировке все так же по сути должен видеть прилетающий от роутера трафик на его порт, куда он подключен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 23 декабря, 2023 · Жалоба не помню точно. кажется, да - абонентский порт по-прежнему крутит счетчик приходящих, а на остальных портах, куда лился весь трафик с вредителя, он пропадает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 24 декабря, 2023 · Жалоба 9 часов назад, roma33rus сказал: @nixx я при блокировке все так же по сути должен видеть прилетающий от роутера трафик на его порт, куда он подключен? Да, трафик так же будет виден, но уже не разлетаться далее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 24 декабря, 2023 · Жалоба Странненько. Вроде добавил в ACL: # ACL create access_profile ethernet ethernet_type profile_id 2 config access_profile profile_id 2 add access_id 1 ethernet ethernet_type 0x86DD port 3 deny create cpu access_profile profile_id 1 ethernet ethernet_type config cpu access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x86DD port 3 deny enable cpu_interface_filtering А загрузка CPU все равно не спала: Может A серия не умеет резать ipv6 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 24 декабря, 2023 · Жалоба а мультикастовый pps на всех портах, кроме абонентского, пропал? ну то есть вообще моя догадка о происхождении трафика верна? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 24 декабря, 2023 · Жалоба 1 час назад, nixx сказал: а мультикастовый pps на всех портах, кроме абонентского, пропал? ну то есть вообще моя догадка о происхождении трафика верна? его кстати нигде и не было, кроме этого 3 порта. даже на аплинке нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 24 декабря, 2023 · Жалоба я вспомнил, извините (если всё же это ipv6): https://forum.dlink.ru/viewtopic.php?f=2&t=180217 сделайте: create access_profile packet_content_mask offset1 l2 0 0xFFFF profile_id 5 config access_profile profile_id 5 add access_id 1 packet_content offset1 0x86dd port 1-24 deny и посмотрите еще раз на результат cpu profile оставьте как есть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 24 декабря, 2023 · Жалоба 3 часа назад, nixx сказал: я вспомнил, извините (если всё же это ipv6): https://forum.dlink.ru/viewtopic.php?f=2&t=180217 сделайте: create access_profile packet_content_mask offset1 l2 0 0xFFFF profile_id 5 config access_profile profile_id 5 add access_id 1 packet_content offset1 0x86dd port 1-24 deny и посмотрите еще раз на результат cpu profile оставьте как есть о. Спасибо большое. Сейчас новое правило опробую. Честно говоря, никогда ничего не резал через packet content. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 25 декабря, 2023 · Жалоба В 24.12.2023 в 01:35, nixx сказал: не помню точно. кажется, да - абонентский порт по-прежнему крутит счетчик приходящих, а на остальных портах, куда лился весь трафик с вредителя, он пропадает. Конечно. Как бы вы не блокировали или ограничивали мультикаст (там же traffic control например) - на порт свича он уже прилетел от клиента. И сделать с этим ничего нельзя. А вот на вышестоящих уже не будет его если корректно заблокировали. И да - есть вероятность что железке от такого может поплохеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 25 декабря, 2023 (изменено) · Жалоба 8 часов назад, Negator сказал: Конечно. Как бы вы не блокировали или ограничивали мультикаст (там же traffic control например) - на порт свича он уже прилетел от клиента. И сделать с этим ничего нельзя. А вот на вышестоящих уже не будет его если корректно заблокировали. И да - есть вероятность что железке от такого может поплохеть. К сожалению советы коллеги выше не помогли избавиться от нагрузки. Поплохеть кстати может даже при блокировке? ну может в порт и не dhcp v6 льется. Дамп трафика еще не сняли. @nixx коллега, в любом спасибо и плюсик в карму. Изменено 25 декабря, 2023 пользователем roma33rus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PumpIT Опубликовано 26 декабря, 2023 · Жалоба Тоже начали вешаться пара коммутаторов, один 3200-28, другой 3120-24SC, применили такие правила на CPU, пока что не отваливались: #CPU Interface Filter create cpu access_profile profile_id 1 ip destination_ip_mask 240.0.0.0 config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 deny enable cpu_interface_filtering Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 27 декабря, 2023 · Жалоба В 25.12.2023 в 23:08, roma33rus сказал: К сожалению советы коллеги выше не помогли избавиться от нагрузки. Поплохеть кстати может даже при блокировке? ну может в порт и не dhcp v6 льется. Дамп трафика еще не сняли. @nixx коллега, в любом спасибо и плюсик в карму. Да, может. Потому что мультикаст уже прилетел на железку и льется в проц. Мы блокируем ipv6 полностью по Ethertype 0x86dd на конечных железках. + traffic control Обычно проблем нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 27 декабря, 2023 · Жалоба Да это DHCPv6. Странно, что по Ethertype 0x86dd не блочится. Попробую еще разок правила забить. storm.pcap Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 28 декабря, 2023 · Жалоба 18 часов назад, Negator сказал: Да, может. Потому что мультикаст уже прилетел на железку и льется в проц. Мы блокируем ipv6 полностью по Ethertype 0x86dd на конечных железках. + traffic control Обычно проблем нет. а у Вас какие железки используются? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 28 декабря, 2023 · Жалоба Кстати, коллеги, а при этом на DES функцию safeguard отключить или включить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 28 декабря, 2023 · Жалоба А та клиент подключен? Нельзя ему заблочить порт штормконтролом, пока он не решит проблему? 🙂 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 28 декабря, 2023 · Жалоба 5 минут назад, VolanD666 сказал: А та клиент подключен? Нельзя ему заблочить порт штормконтролом, пока он не решит проблему? 🙂 ага. Один клиент, правда юрлицо. Да и хочется такие конфузы решать, не беспокоя клиента. P.S.: штормконтроль вообще не спасает. Никак. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 28 декабря, 2023 · Жалоба если таки точно dhcpv6, то советую прошивку обновить должно резаться. и спрошу наивное: у вас никаких разрешающих ацлек перед запрещающими нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 28 декабря, 2023 · Жалоба 4 часа назад, nixx сказал: если таки точно dhcpv6, то советую прошивку обновить должно резаться. и спрошу наивное: у вас никаких разрешающих ацлек перед запрещающими нет? Точно dhcpv6. Выше кусок дампа показал. Прошивку последнюю поставил. 1.91.007. Даже добавленное правило со счетчиком не тикает. Че т здесь не то. список acl у меня пустой, эти (блокирующие) единственные правила. Завтра будем менять на C1 серию. Моя не понимать почему здесь acl не помогает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 28 декабря, 2023 · Жалоба На С1 командой "show cpu port" можно смотреть, какие протоколы валятся на CPU. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 28 декабря, 2023 · Жалоба 16 минут назад, Умник сказал: На С1 командой "show cpu port" можно смотреть, какие протоколы валятся на CPU. На А1 такая ж фича есть. DHCP в топе конечно у меня Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 29 декабря, 2023 · Жалоба Заменили коммутатор на ревизию C1. Мультикаст сразу с порта пропал ну и я на всякий случай накинул правила. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...