sirmax Опубликовано 15 февраля, 2009 · Жалоба Есть сабжевый свитч с загрузкой процессора 90-100% Предпологаю, что из-за вирусной активности на нем появляется куча записей arp incomplete которые забивают ему мозг.. на нем стерменировано порядка 10 000 потенциальнных клиентов (сетями /24) но естественно такого числа реальных маков там нет... Но если попробовать просканить весь диапазон этих сетей, то естественно на каждый хост он попробует послать запрос... Это пока мысли в слух... кто то сталкивался с таким? Симптомы CPU utilization for five seconds: 72%/20%; one minute: 89%; five minutes: 87% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 7 13545432 3450787 3925 24.28% 31.90% 28.60% 0 ARP Input sh mac-addres-table ... Total Mac Addresses for this criterion: 1082 sh ip traffic .... ARP statistics: Rcvd: 17927004 requests, 11195 replies, 0 reverse, 0 other Sent: 995403 requests, 2258268 replies (0 proxy), 0 reverse Drop due to input queue full: 100797221 [code] sh sdm prefer The current template is "desktop default" template. The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. number of unicast mac addresses: 6K number of IPv4 IGMP groups + multicast routes: 1K number of IPv4 unicast routes: 8K number of directly-connected IPv4 hosts: 6K number of indirect IPv4 routes: 2K number of IPv4 policy based routing aces: 0 number of IPv4/MAC qos aces: 512 number of IPv4/MAC security aces: 1K Ну естествено ни по ACE ни по routes нет превышений Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 15 февраля, 2009 · Жалоба что здесь сказать, сделайте 10к статичных записей, чтобы реквесты не посылались :) но тогда оно точно умрёт :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
username Опубликовано 15 февраля, 2009 (изменено) · Жалоба Mirror одного из каталистовских портов на юникс-сервер, на юниксе смотришь на этот трафик через tcpdump с аргументами '-vv arp', находишь мак вредителя, который флудит арпами, выключаешь вредителю порт, нагрузка на каталисте тут же падает. Изменено 15 февраля, 2009 пользователем username Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ktoto Опубликовано 15 февраля, 2009 · Жалоба Mirror одного из каталистовских портов на юникс-сервер,на юниксе смотришь на этот трафик через tcpdump с аргументами '-vv arp', находишь мак вредителя, который флудит арпами, выключаешь вредителю порт, нагрузка на каталисте тут же падает. Ну на крайний случай и мирорить никуда не надо.По очереди порты вырубать и смотреть загрузку проца. Найти линк откуда гадят и спускаясь по активке ниже найти злоумышленника уже проблем не составит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 15 февраля, 2009 · Жалоба Mirror одного из каталистовских портов на юникс-сервер,на юниксе смотришь на этот трафик через tcpdump с аргументами '-vv arp', находишь мак вредителя, который флудит арпами, выключаешь вредителю порт, нагрузка на каталисте тут же падает. Ну на крайний случай и мирорить никуда не надо.По очереди порты вырубать и смотреть загрузку проца. Найти линк откуда гадят и спускаясь по активке ниже найти злоумышленника уже проблем не составит. вы представляете что значит вырубать порты по очереди на железке, терминирующей 10к пользователей? :)ТП повесится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 15 февраля, 2009 · Жалоба Mirror одного из каталистовских портов на юникс-сервер,на юниксе смотришь на этот трафик через tcpdump с аргументами '-vv arp', находишь мак вредителя, который флудит арпами, выключаешь вредителю порт, нагрузка на каталисте тут же падает. Ну на крайний случай и мирорить никуда не надо.По очереди порты вырубать и смотреть загрузку проца. Найти линк откуда гадят и спускаясь по активке ниже найти злоумышленника уже проблем не составит. вы представляете что значит вырубать порты по очереди на железке, терминирующей 10к пользователей? :)ТП повесится. неверное не много не так. ИХ повесят. :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ktoto Опубликовано 15 февраля, 2009 · Жалоба Mirror одного из каталистовских портов на юникс-сервер,на юниксе смотришь на этот трафик через tcpdump с аргументами '-vv arp', находишь мак вредителя, который флудит арпами, выключаешь вредителю порт, нагрузка на каталисте тут же падает. Ну на крайний случай и мирорить никуда не надо.По очереди порты вырубать и смотреть загрузку проца. Найти линк откуда гадят и спускаясь по активке ниже найти злоумышленника уже проблем не составит. вы представляете что значит вырубать порты по очереди на железке, терминирующей 10к пользователей? :)ТП повесится. Я подозреваю что ТП и так не легко при лагающем каталисте?Можно порты мониторить заранее. Например видим загрузку cpu: И ищем порты с аномальной активностью: Соответственно за этим портом и ищем негодяя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 15 февраля, 2009 · Жалоба А броадкасты ограничить не пробовали? traffic-control broadcast limit XX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
f13 Опубликовано 16 февраля, 2009 · Жалоба sh platform tcam utilization Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 16 февраля, 2009 · Жалоба sh platform tcam utilization нет там превышений Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 17 февраля, 2009 · Жалоба sh platform tcam utilizationнет там превышений А там превышений и не будет. Если там близко к максимуму, значит уже превысили. еще надо посмотреть sh ip arp summary - если сильно больше чем активных маков, значит кто-то подбирает. Попробуйте временно включить ip arp inspection и почитать логи этой функции. Сразу будет видно кто может флудить арпами. Хотя я думаю, что дело всё-таки в ткаме. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 19 февраля, 2009 · Жалоба Ну, разнес нагрузку на 2 железки (вторая - МЕ-шка), отпустило. Конечно дело в том что ткама не хватает.. вопрос в том куда он вытек весь ) Но дебагать на боевой точке не хочется.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 20 февраля, 2009 · Жалоба Может так получилось, что за время разноса по двум железкам шторм из реквестов прекратился ? В этом случае, решение нужно искать в возможности установить ограничение на каждом порту коммутатора доступа для броадкаст трафика. Есть и другой вариант развития, когда у вас реальные адреса для клиентов и опрашивают со стороны интернета, такие сканы на весь блок адресов идут постоянно с разной интенсивностью. Если суммарно на железке висит большой блок, помогает только такое вот разделение как сделали Вы или умощение железки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 20 февраля, 2009 · Жалоба rus-p Я списал именно на такие сканы, куча incomplete записей... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...