6urn Posted August 26, 2025 Posted August 26, 2025 Прошу помочь разобраться в проблеме. Установил микротик для контроля сетки в небольшой гостинице. Установлены несколько wifi роутеров tp-link в режиме бриджа. Все адреса клиентам присваивает dhcp сервер на микротике. Роутеры сидят на интерфейсе LAN. Проблема заключается в том, что с периодичностью в минуту-две на этом LAN интерфейсе RX и Packet Rate взлетают в небеса. Вместо 10-15 Мбит - 300-900Мбит, пакеты также с 1000 до 500000 возрастают. Но дальше ЛАН интерфейса трафик не идет, на остальных показания не прыгают. Роутер находится внутри другой сетки, влияние извне маловероятно. Torch выдает src ip 149.154.167.41 а dst во внутренней сети. По этому соединению в основном высокие показания. Блокировка этого диапазона в файрволе не дала результата, появляются другие ip. Вроде как по информации с гугла это диапазон Телеграма. Собственно вопрос в том, как убрать этот паразитный трафик? На время скачка наблюдается просадка в работе сети Вставить ник Quote
jffulcrum Posted August 26, 2025 Posted August 26, 2025 Какой-нибудь P2P трафик. Добавьте Protocol и Port в Torch для начала Вставить ник Quote
6urn Posted August 27, 2025 Author Posted August 27, 2025 (edited) Edited August 27, 2025 by 6urn Вставить ник Quote
6urn Posted August 27, 2025 Author Posted August 27, 2025 Может кто подсказать что с этим делать? Вставить ник Quote
tcup Posted August 27, 2025 Posted August 27, 2025 Если наружу трафик не идёт, то это какой-то клиент зачем-то пытается залить трафик наружу, если я правильно понял. Вычислить, поговорить. Если периодически пресекать подобное, чтобы не забивать сетку - например, настроить tp-linkи в режим роутера и по необходимости прикрывать порты Вставить ник Quote
6urn Posted August 27, 2025 Author Posted August 27, 2025 Трафик имеет ярко выраженную периодичность. Это явно происходит без участия пользователя. Возможно обмен данными между приложением внутри сети. Вставить ник Quote
VolanD666 Posted August 27, 2025 Posted August 27, 2025 Странная история, на ЛАН порт приходит трафик с белым адресом. ТС, как такое может быть? Может там асинхронный трафик? Уходит в один порт, а приходит в другой? Вставить ник Quote
6urn Posted August 27, 2025 Author Posted August 27, 2025 Сам пытаюсь понять. Не силён я в этом, но явно выглядит странно Вставить ник Quote
VolanD666 Posted August 27, 2025 Posted August 27, 2025 Схему сети бы. Это случайно IPшники не точки доступа? У них управление в какой сети лежит, может тп-линки дырявые? Вставить ник Quote
Saab95 Posted August 27, 2025 Posted August 27, 2025 15 часов назад, 6urn сказал: Может кто подсказать что с этим делать? Через сниффер посмотрите, только заголовки учитывать, там в списке кроме IP еще и мак адреса источника и назначения будут (нужно в табличке добавить столбцы), там и посмотрите что и как. Скорее всего внутри сети где-то порт периодически флудит, или клиент отключается от вайфай сети в момент передачи данных, и поток разлетается по всей сети, а где-то зеркалирование идет вот и появляется большой поток трафика. Кроме всего, если есть возможности поместить каждую точку в свой влан, то на микротике уже можно сделать общий бридж для передачи трафика и по номеру влана увидите откуда трафик приходит. Вставить ник Quote
tcup Posted August 28, 2025 Posted August 28, 2025 Возможно, на каких-то устройствах "рассыпается" трафик - идёт не в ту сторону (преполагаю, что не справляется устройство, переполняется). Менять устройство на более мощное/надёжное, пробовать установить более свежую прошивку Вставить ник Quote
VolanD666 Posted August 28, 2025 Posted August 28, 2025 4 часа назад, tcup сказал: Менять устройство на более мощное/надёжное Надо сначала узнать в чем проблема, а потом ее уже решать. А то щас ТС бодро побежит за новым микротиком, а ему не поможет. Вставить ник Quote
tcup Posted August 28, 2025 Posted August 28, 2025 17 minutes ago, VolanD666 said: Надо сначала узнать в чем проблема, а потом ее уже решать. А то щас ТС бодро побежит за новым микротиком, а ему не поможет. Гадаем о причинах и предлагаем варианты решения, а уж ТСу смотреть на месте и решать, куда ему бежать и зачем Вставить ник Quote
6urn Posted August 28, 2025 Author Posted August 28, 2025 Пока ситуация не прояснилась. Всё также идет загрузка, примерно 50% от времени. Грешу на радиоудлинители tp-link c технологией mesh, коих установлено пару штук, для расширения покрытия основных роутеров. Сами же tp-link стоят достаточно дорогие. Да и в целом я раньше не видел подобной ситуации с этими роутерами. Схемку сети накидал от руки, может чего я не так сделал. Получается на микротике поднят DHCP сервер, он и раздаёт адреса всем оконечным устройствам. Роутеры tp-link подключены через лан порты, дабы работать в режиме мостов. Сделано подобным образом для более удобного контроля за скоростью оконечных устройств, да и чтоб было видно сколько всего в сети wifi клиентов. На самих тплинках на лан интерфейсе прописаны статичные адреса из того же диапазона dhcp сервера, для доступа к ним извне. Вставить ник Quote
VolanD666 Posted August 28, 2025 Posted August 28, 2025 А сеть не может петлить? Попробуйте найти источник трафика, хотя бы до ТД Вставить ник Quote
6urn Posted August 28, 2025 Author Posted August 28, 2025 Была такая мысль. Перепроверил внимательно. Петли не обнаружил. Судя по torch трафик на разные адреса идет, то один, то другой. И всегда только в одном направлении Вставить ник Quote
sirmax Posted August 28, 2025 Posted August 28, 2025 52 минуты назад, 6urn сказал: Была такая мысль. Перепроверил внимательно. Петли не обнаружил. Судя по torch трафик на разные адреса идет, то один, то другой. И всегда только в одном направлении Я, что называется, вброшу? всплески непонятного трафика когда то я наблюдал при включении в сеть битого грозой тупого свитча. ну и редкий случай - Сааб написал разумно - сегментировать на вланы и смотреть мак адреса. он правда предложил сбриджевать их - это спорное решение, но для начала - можно и так Вставить ник Quote
6urn Posted August 28, 2025 Author Posted August 28, 2025 (edited) Благодарю за советы. Буду проверять. Свитчи там все новые, кроме одного, центрального. Попробую на другой порт перекинуть кабель, хотя бы. Сложность в том, что сетка в 300км от меня и оперативно не получается ) Edited August 28, 2025 by 6urn Вставить ник Quote
tcup Posted August 28, 2025 Posted August 28, 2025 У нас чудят клиентские устройства - что-то там переполняется и шлют нам обратно в центр трафик зеркально. От клиента приходит от имени белых внешних IP. Перезагрузка клиентского роутера помогает. Устройства разные - тплинки, элтексы и прочее Вставить ник Quote
6urn Posted August 28, 2025 Author Posted August 28, 2025 Разнес сеть с главного свитча на свободные порты микротика. В бридж их не объединял, а поднял отдельный dhcp сервер на каждом. Пока полёт нормальный, скачков не вижу. Правда сначала запихал эти 3 порта в бридж и на общий dhcp. Сильно помониторить не успел, но при этом видел общий скачок на всех портах одновременно. После убрал бридж и всё спокойно стало. Получается порты в бридже также выдают скачки трафика, а без него спокойно. Чудеса какие-то. Еще завтра потестирую и отпишусь Вставить ник Quote
gard Posted August 28, 2025 Posted August 28, 2025 (edited) Так смотрите в торче по rx на страдающем интерфейсе, там же будет сильный трафик и мак. А вообще - вам бы очереди настроить, чтобы никто не мог съедать весь канал. Edited August 28, 2025 by gard Вставить ник Quote
Saab95 Posted August 28, 2025 Posted August 28, 2025 4 часа назад, 6urn сказал: Чудеса какие-то. У вас на скрине на сетевом порту много трафика, а торч совсем ничего по скорости не показывает. Значит трафик совсем не IP, а какой-то другой (ARP, Мультикаст и т.п.) Поэтому только через сниффер смотреть что там идет, покажет маки и протоколы. Но раз при сегментации проблема ушла - скорее всего какое-то устройство трафик зеркалит в сеть, и другие его тоже зеркалят, вот и увеличивается до больших объемов. Вставить ник Quote
fractal Posted August 29, 2025 Posted August 29, 2025 3 часа назад, Saab95 сказал: У вас на скрине на сетевом порту много трафика, а торч совсем ничего по скорости не показывает. Значит трафик совсем не IP, а какой-то другой (ARP, Мультикаст и т.п.) Поэтому только через сниффер смотреть что там идет, покажет маки и протоколы. Но раз при сегментации проблема ушла - скорее всего какое-то устройство трафик зеркалит в сеть, и другие его тоже зеркалят, вот и увеличивается до больших объемов. Это все должно решаться поиском проблемного устройства, может где то по пути мак теряется. По схеме обычная сеть коих куча даже у меня, 7 лет и была только разовая проблема с багом софта Вставить ник Quote
tcup Posted August 29, 2025 Posted August 29, 2025 (edited) 8 hours ago, gard said: А вообще - вам бы очереди настроить, чтобы никто не мог съедать весь канал. От клиента, льющего в одну сторону наверх, навряд ли очередь поможет Edited August 29, 2025 by tcup Вставить ник Quote
gard Posted August 30, 2025 Posted August 30, 2025 Их можно в обе стороны настраивать.. почему не попробовать. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.