[6urn]

Прошу помочь разобраться в проблеме. Установил микротик для контроля сетки в небольшой гостинице. Установлены несколько wifi роутеров tp-link в режиме бриджа. Все адреса клиентам присваивает dhcp сервер на микротике. Роутеры сидят на интерфейсе LAN. Проблема заключается в том, что с периодичностью в минуту-две на этом LAN интерфейсе RX и Packet Rate взлетают в небеса. Вместо 10-15 Мбит - 300-900Мбит, пакеты также с 1000 до 500000 возрастают. Но дальше ЛАН интерфейса трафик не идет, на остальных показания не прыгают.
Роутер находится внутри другой сетки, влияние извне маловероятно.

Torch выдает src ip 149.154.167.41 а dst во внутренней сети. По этому соединению в основном высокие показания. Блокировка этого диапазона в файрволе не дала результата, появляются другие ip. Вроде как по информации с гугла это диапазон Телеграма. 

Собственно вопрос в том, как убрать этот паразитный трафик? На время скачка наблюдается просадка в работе сети

[jffulcrum]

Какой-нибудь P2P трафик. Добавьте Protocol и Port в Torch для начала

[6urn]

 

Edited August 27 by 6urn

[6urn]

Может кто подсказать что с этим делать?

[tcup]

Если наружу трафик не идёт, то это какой-то клиент зачем-то пытается залить трафик наружу, если я правильно понял. Вычислить, поговорить. Если периодически пресекать подобное, чтобы не забивать сетку - например, настроить tp-linkи в режим роутера и по необходимости прикрывать порты

[6urn]

Трафик имеет ярко выраженную периодичность. Это явно происходит без участия пользователя. Возможно обмен данными между приложением внутри сети. 

[VolanD666]

Странная история, на ЛАН порт приходит трафик с белым адресом. ТС, как такое может быть? Может там асинхронный трафик? Уходит в один порт, а приходит в другой?

[6urn]

Сам пытаюсь понять. Не силён я в этом, но явно выглядит странно

[VolanD666]

Схему сети бы. Это случайно IPшники не точки доступа? У них управление в какой сети лежит, может тп-линки дырявые?

[Saab95]

15 часов назад, 6urn сказал:

Может кто подсказать что с этим делать?

Через сниффер посмотрите, только заголовки учитывать, там в списке кроме IP еще и мак адреса источника и назначения будут (нужно в табличке добавить столбцы), там и посмотрите что и как.

 

Скорее всего внутри сети где-то порт периодически флудит, или клиент отключается от вайфай сети в момент передачи данных, и поток разлетается по всей сети, а где-то зеркалирование идет вот и появляется большой поток трафика.

 

Кроме всего, если есть возможности поместить каждую точку в свой влан, то на микротике уже можно сделать общий бридж для передачи трафика и по номеру влана увидите откуда трафик приходит.

[tcup]

Возможно, на каких-то устройствах "рассыпается" трафик - идёт не в ту сторону (преполагаю, что не справляется устройство, переполняется). Менять устройство на более мощное/надёжное, пробовать установить более свежую прошивку

[VolanD666]

4 часа назад, tcup сказал:

Менять устройство на более мощное/надёжное

Надо сначала узнать в чем проблема, а потом ее уже решать. А то щас ТС бодро побежит за новым микротиком, а ему не поможет.

[tcup]

17 minutes ago, VolanD666 said:

Надо сначала узнать в чем проблема, а потом ее уже решать. А то щас ТС бодро побежит за новым микротиком, а ему не поможет.

Гадаем о причинах и предлагаем варианты решения, а уж ТСу смотреть на месте и решать, куда ему бежать и зачем

[6urn]

Пока ситуация не прояснилась. Всё также идет загрузка, примерно 50% от времени. Грешу на радиоудлинители tp-link c технологией mesh, коих установлено пару штук, для расширения покрытия основных роутеров. Сами же tp-link стоят достаточно дорогие. Да и в целом я раньше не видел подобной ситуации с этими роутерами. Схемку сети накидал от руки, может чего я не так сделал. Получается на микротике поднят DHCP сервер, он и раздаёт адреса всем оконечным устройствам. Роутеры tp-link подключены через лан порты, дабы работать в режиме мостов. Сделано подобным образом для более удобного контроля за скоростью оконечных устройств, да и чтоб было видно сколько всего в сети wifi клиентов. На самих тплинках на лан интерфейсе прописаны статичные адреса из того же диапазона dhcp сервера, для доступа к ним извне. 

[VolanD666]

А сеть не может петлить? Попробуйте найти источник трафика, хотя бы до ТД

[6urn]

Была такая мысль. Перепроверил внимательно. Петли не обнаружил. Судя по torch трафик на разные адреса идет, то один, то другой. И всегда только в одном направлении

[sirmax]

52 минуты назад, 6urn сказал:

Была такая мысль. Перепроверил внимательно. Петли не обнаружил. Судя по torch трафик на разные адреса идет, то один, то другой. И всегда только в одном направлении

Я, что называется, вброшу?

 

всплески непонятного трафика когда то я наблюдал при включении в сеть битого грозой тупого свитча. 
 

ну и редкий случай - Сааб написал разумно - сегментировать на вланы и смотреть мак адреса.

 

он правда предложил сбриджевать их - это спорное решение, но для начала - можно и так

[6urn]

Благодарю за советы. Буду проверять. Свитчи там все новые, кроме одного, центрального. Попробую на другой порт перекинуть кабель, хотя бы. Сложность в том, что сетка в 300км от меня и оперативно не получается )

Edited August 28 by 6urn

[tcup]

У нас чудят клиентские устройства - что-то там переполняется и шлют нам обратно в центр трафик зеркально. От клиента приходит от имени белых внешних IP. Перезагрузка клиентского роутера помогает. Устройства разные - тплинки, элтексы и прочее

[6urn]

Разнес сеть с главного свитча на свободные порты микротика. В бридж их не объединял, а поднял отдельный dhcp сервер на каждом. Пока полёт нормальный, скачков не вижу. Правда сначала запихал эти 3 порта в бридж и на общий dhcp. Сильно помониторить не успел, но при этом видел общий скачок на всех портах одновременно. После убрал бридж и всё спокойно стало. Получается порты в бридже также выдают скачки трафика, а без него спокойно. Чудеса какие-то. Еще завтра потестирую и отпишусь

[gard]

Так смотрите в торче по rx на страдающем интерфейсе, там же будет сильный трафик и мак.

А вообще - вам бы очереди настроить, чтобы никто не мог съедать весь канал.

Edited August 28 by gard

[Saab95]

4 часа назад, 6urn сказал:

Чудеса какие-то.

У вас на скрине на сетевом порту много трафика, а торч совсем ничего по скорости не показывает. Значит трафик совсем не IP, а какой-то другой (ARP, Мультикаст и т.п.) Поэтому только через сниффер смотреть что там идет, покажет маки и протоколы.

 

Но раз при сегментации проблема ушла - скорее всего какое-то устройство трафик зеркалит в сеть, и другие его тоже зеркалят, вот и увеличивается до больших объемов.

[fractal]

3 часа назад, Saab95 сказал:

У вас на скрине на сетевом порту много трафика, а торч совсем ничего по скорости не показывает. Значит трафик совсем не IP, а какой-то другой (ARP, Мультикаст и т.п.) Поэтому только через сниффер смотреть что там идет, покажет маки и протоколы.

 

Но раз при сегментации проблема ушла - скорее всего какое-то устройство трафик зеркалит в сеть, и другие его тоже зеркалят, вот и увеличивается до больших объемов.

Это все должно решаться поиском проблемного устройства, может где то по пути мак теряется. По схеме обычная сеть коих куча даже у меня, 7 лет и была только разовая проблема с багом софта

[tcup]

8 hours ago, gard said:

А вообще - вам бы очереди настроить, чтобы никто не мог съедать весь канал.

От клиента, льющего в одну сторону наверх, навряд ли очередь поможет

Edited August 29 by tcup

[gard]

Их можно в обе стороны настраивать.. почему не попробовать.