Как это может быть?

[Serg_Klp]

Ситуация:

 

Есть клиентская сеть, разделенная на несколько подсетей как физически (на общем свиче подняты vlan`ы, чтобы одна не видела другую), так и по IP-адресации (каждая сеть имеет свой рендж).

Подсетей 10 штук. В каждой сети мин по 100 клиентов. Подсети построены на глупых свичах.

 

Есть фтп сервер, врубленный так же в свич, и для каждой подсети имеющий свой ИП.

 

 

Проблема:

 

Есть IP (клиент, единственный в своем роде), установив сессию с этим ФТП сервером и начав качать с него, создает поток траффика на ВСЕ остальные подсети. Т.е. забивает своим траффиков с фтпшкой всё без исключения. Ни с одним другим клиентом, ИП адресом таких проблем не было и нет.

 

Переполнение мас-адресов в свичах? Но почему только из-за одной и той же ИП-шки? Почему именно с ФТП? Почему стоит только прервать закачку всё нормализуется, а продолжив её снова - траффик снова прёт во всё, что физически соединено между собой?

 

Ваши размышления? Как ЭТО можно сделать?

[_Daemon_]

Странное явление, похожее на мультикаст. Вообще надо было ставить железку L3, а сервак в отдельную подсетку, тогда всё можно грамотно рулить.

[atomcity]

Странное явление, похожее на мультикаст. Вообще надо было ставить железку L3, а сервак в отдельную подсетку, тогда всё можно грамотно рулить.

а вот скажите как сделать чтобы этот сервак в отдельной подсетке, не пер через VPN канал который поднимает клиент для выхода в интернет? прописывать маршруты на клиентах не предлагать.

[Serg_Klp]

Странное явление, похожее на мультикаст. Вообще надо было ставить железку L3, а сервак в отдельную подсетку, тогда всё можно грамотно рулить.

На мультикаст то оно похоже, но что надо накуралесить (и главное с каким оборудованием) чтобы он так неуправляемо шел во все стороны? Может кто-нить сидит в сети в режиме сниффинга? Или же у кого-нить вместо gateway выставлен адрес броадкаста сети и наоборот? Или же может со стороны сервера копать (Фрибздшка 5.4..) ? Возможно ли это из-за, к примеру, неправильно выставленной маски со стороны клиента? Ума не приложу, как можно так заДОСить всю сеть невинной закачкой какого-нить фильма...

 

Еще интересный момент, наверняка каким-то боком связанный с этим глюком: при попытке трейсроута рандомной клиентской ИПшки со стороны сервака трейсроут выдает чуть-ли не с каждым новым хопом -новую ИПшку... Т.е. примерно так:

 

traceroute to 192.168.4.*1 (192.168.4.*1), 64 hops max, 44 byte packets

1 * 192.168.5.*3 5.966 ms 5.822 ms

2 * * *

3 * 192.168.3.*5 5.966 ms 5.822 ms

4 * * *

5 * 192.168.7.*9 5.966 ms 5.822 ms

 

Замечено, что все засветившиеся в трейсроуте ИПшки как правило принадлежат клиентским дешевым броадбанд роутерам, разделяющим у клиентов инет на несколько домашних компов.. (а-ля dlink di-604 и т.д.)

 

Согласен, если поменять во всех подсетях все оборудование на управляемое, то проблема исчезнет (вместо нее появятся уйма других). В наиболее нагруженых разветвлениях подсетей стоят управляемые железки, так же с поднятыми vlan'ами и всевозможными фичами ака арп-флуд протекшн - это не помогает.

 

Может кто-нибудь сталкивался с подобными проблемами раньше?

[itl2044]

А ИР у клиента случаем не хх.хх.хх.255 ?

[GateKeeper]

опять этот д-линк...

 

мнение: во избежание массовых заболеваний админов на психической почве следует запретить продукцию д-линк на территории РФ. И без них головняка много.

 

Это ж надо так укуриться, чтобы сделать РОУТЕР (так называется железка, хотя имя ей не более чем VPN-удлинитель), которая перестаёт маршрутизировать пакеты в WAN_Phys при поднятии WAN_PPP!!!

[Serg_Klp]

А ИР у клиента случаем не хх.хх.хх.255 ?

Нет. ИП нормальный.

[GateKeeper]

itl2044:

 

мой конфиг:

IP: 192.168.199.255

Mask: 192.168.192.0

 

Угадайте с трёх раз, правильная ли у меня конфигурация?

[Kuzmich]

itl2044:

 

мой конфиг:

IP: 192.168.199.255

Mask: 192.168.192.0

 

Угадайте с трёх раз, правильная ли у меня конфигурация?

Угадал. Неправильная :)

[itl2044]

2 Serg_Klp

Напишите здесь ип и маску клиента, и шлюз, который указан у клиента.

[Serg_Klp]

2 Serg_Klp

Напишите здесь ип и маску клиента, и шлюз, который указан у клиента.

Ок... отчего-ж не написать :-)

 

IP клиента: 192.168.4.38

Маска: 255.255.255.0

Шлюз: 192.168.4.254

ФТП: 192.168.4.250

 

Всё также, как и у остальных /24...

 

P.S.: Это, скажем так, оффициальные данные... А что у него на самом деле - один чёрт знает. Может он ваще через холодильник с IPv6 в сеть выходит.. (шутка).

Edited July 27, 2006 by Serg_Klp

[BETEPAH]

так может для начала попробовать до компа клиента добраться и посмотреть что у него творится?

[Serg_Klp]

так может для начала попробовать до компа клиента добраться и посмотреть что у него творится?

Вопрос в том, что можно сделать с компом, чтобы заблудить всю провайдерскую сеть?

Чисто теоретический вопрос, из серии "а вам слабо?".

Допустим таких клиентов появится не один, не два - сотни. До всех добираться, объяснять им что так делать нельзя (нельзя качать с ФТП)?

Предположим что клиент "плохой". Что с ним делать дальше в езернет сети?

"- Вы нам не подходите. У вас плохая аура."?

 

Согласен, надо начать с этого клиента. Но. Основываясь на всю теорию и практику, хоть одно логическое объяснение у кого-нибудь возникает? Что надо сделать клиенту не так, чтобы вызвать шторм мультикаста? Более чем уверен, что человек, который включает один раз в вечер свой компьютер не задается вопросом, как зафлудить сеть своего провайдера.

 

Тема была создана с надеждой на то, что кто-нибудь уже сталкивался с подобными проблемами. Раз уж никто и никогда, тогда попробую методом тыка разрешить эту проблему, о результатах решения которой и сообщу в последующих постах...

 

P.S.: видимо, как заметил GateKeeper, от эзернетовской продукции d-link'a придется отказаться. Разве что оставив в качестве радио-бриджей блинк-2100 - эти еще покаместь не подводили.

[Shiva]

А что снифер говорит?

[DR_]

у клиентской машины МАС-адрес видимо броадкаст или мультикаст,

и без снифера, первое что приходит в голову.

Например дорогой пользователь покопался в биосе мамы с встроенной сетевкой от NVidia и "совершенно случайно" выставил MAC из нулей.

[GateKeeper]

Угадайте с трёх раз, правильная ли у меня конфигурация?

Угадал. Неправильная :)

Садись, два. На пересдачу через год. Edited July 28, 2006 by GateKeeper

[ShumBor]

Угадайте с трёх раз, правильная ли у меня конфигурация?

Угадал. Неправильная :)

Садись, два. На пересдачу через год.

IP адрес допустимый, а вот маску ядро линуха не съест:

static __inline__ int bad_mask(u32 mask, u32 addr)
{
        if (addr & (mask = ~mask))
                return 1;
        mask = ntohl(mask);
        if (mask & (mask+1))
                return 1;
        return 0;
}

Edited July 28, 2006 by ShumBor

[Serg_Klp]

у клиентской машины МАС-адрес видимо броадкаст или мультикаст,

и без снифера, первое что приходит в голову.

Например дорогой пользователь покопался в биосе мамы с встроенной сетевкой от NVidia и "совершенно случайно" выставил MAC из нулей.

МАС адрес вроде как нормальный - 00:50:22:b1:5b:02.

Другой машины с таким же МАСом в сети нет.

[DR_]

МАС адрес вроде как нормальный - 00:50:22:b1:5b:02.

Другой машины с таким же МАСом в сети нет.

Значит придется запустить снифер, и посмотреть с какого приходят на какой MAC фактически отправляются пакеты, и почему этот МАC не восприниматся свичами как юникаст. Свичь не будет рассылать данные во все стороны, пока исправен и находится в штатном режиме. Поэтому:

Или машина клиента формирует пакеты таким образом, что сервер не может правильно разрешить ее MAC адрес ("сетевой мост", виртуальный сетевой адаптор, отсутствует/не правильный ARP ответ), а потому отвечает броадкастом;

Или это достижение сервера (на указанный IP адрес в ARP таблице написано что то иное);

Или свичей по какой то причине не считающих dst-mac юникастом (уникальный случай).

 

Если не хочется разбираться в подробностях можно "разбомбить" машину клиента: сменить сетевую карту (MAC) и перенастроить сеть с нуля, убрав мосты, виртуальные машины и т.д. и т.п.

PS При диагностике очень помогает патентованная методика: "Вспомнить с чего началась проблема и сделать ВЗАД" ®

[itl2044]

Угадайте с трёх раз, правильная ли у меня конфигурация?

Угадал. Неправильная :)

Садись, два. На пересдачу через год.

Если на приватный диапазон 192.168.ххх.ххх поставить маску 192.168.ххх.ххх, то простите, где компьютер будет искать шлюз и самое главное ДНС ?

Ну и естественно магистральный провайдер такой линк отключит сразу на корню.

Edited July 28, 2006 by itl2044

[EvilShadow]

Угадайте с трёх раз, правильная ли у меня конфигурация?

Угадал. Неправильная :)

Садись, два. На пересдачу через год.

е_р_у_н_д_а. Маска подсети по определению - кол-во установленных в адресе бит. Маска 192.168 - это 1100 0000 1010 1000, что опять же по определению должно означать 1100 0000 0000 0000. Поскольку уже третий слева бит установлен в ноль, остальные не должны приниматься во внимание. Так что еще неизвестно, кому два и кому на пересдачу ;)

[GateKeeper]

ай

прошу прощения

подразумевал 255.255.192.0

 

Приношу извинения всем, кого ввёл в заблуждение. Пора на отдых...

[ShumBor]

ай

прошу прощения

подразумевал 255.255.192.0

 

Приношу извинения всем, кого ввёл в заблуждение. Пора на отдых...

:)

Тогда конфиг верен на 100 % :)

Полный диаппазон адресов доступный через данный интерфейс: 192.168.192.0-192.168.255.255

Количество узлов в даннйо подсети: 16384

Edited July 29, 2006 by ShumBor

[jab]

:)

Количество узлов в даннйо подсети: 16384

А разве не 16382 ?

[ShumBor]

:)

Количество узлов в даннйо подсети: 16384

А разве не 16382 ?

Активных IP адресов 16382

Полное количество адресуемых 16384

первый и последний адреса уйдут соответсвено на границу подсети (не помню как 1 называется) и на широковещательный адрес.