roofut Posted August 16, 2011 Posted August 16, 2011 При запуске tcpdump -n -i eth1 видим следубщее 14:39:12.190207 IP 10.0.101.3.3306 > 10.0.101.2.54621: P 322997518:322997527(9) ack 3480689246 win 46 <nop,nop,timestamp 763426561 763913476> 14:39:12.191584 IP 10.0.101.3.3306 > 10.0.101.2.54621: P 1520:1969(449) ack 177 win 46 <nop,nop,timestamp 763426561 763913477> 14:39:12.191590 IP 10.0.101.3.3306 > 10.0.101.2.54621: . 72:1520(1448) ack 177 win 46 <nop,nop,timestamp 763426561 763913477> 14:39:12.193396 IP 10.0.101.3.3306 > 10.0.101.2.54621: P 1969:2074(105) ack 316 win 54 <nop,nop,timestamp 763426562 763913477> 13:04:52.110591 IP 10.0.101.3.3306 > 10.0.101.2.40092: P 602:613(11) ack 440 win 46 <nop,nop,timestamp 632413613 632899796> 13:04:52.111067 IP 95.86.135.2.1985 > 224.0.0.2.1985: HSRPv0-hello 20: state=active group=1 addr=95.86.135.1 13:04:52.116532 IP 95.86.135.3.1985 > 224.0.0.2.1985: HSRPv0-hello 20: state=standby group=1 addr=95.86.135.1 13:04:52.127060 IP 95.86.135.2.1985 > 224.0.0.2.1985: HSRPv0-hello 20: state=active group=1 addr=95.86.135.1 то что связано с HSRP мы знаем что это наши роутеры общаются между собой, соединения mysql тоже понятны, но почему они отображатся на сервере который хоть и находится в том же свитче , но не какого отношения к этим пакетам не имеет. Такое происходит обсалютно со всеми серверами в нашей сетке , как с внутренних так и с внешних интерфейсов. Все сервера HP (g6,g7). Вставить ник Quote
s.lobanov Posted August 16, 2011 Posted August 16, 2011 По поводу мультикаста всё правильно. пришёл фрейм на 224.0.0.2, что по-вашему свитч должен с ним сделать? ну да, можно пофантазировать на предмет igmp snooping, но: In general, addresses from 224.0.0.1 to 224.0.0.255 are reserved and used by various protocols (standard or proprietary, such as Hot Standby Router Protocol (HSRP)). Cisco recommends that you not use these for GDA in a multicast network. CGMP and IGMP snooping do not work with this reserved address range. http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a00800b0871.shtml По поводу лишнего юникаста - смотрите мак-адреса этих фреймов(опция -e в tcpdump) и есть ли они в таблице коммутации свитча. Если нет, то фреймы будут размножаться по причине неизестного dst mac Вставить ник Quote
Ilya Evseev Posted August 16, 2011 Posted August 16, 2011 Не пробовали запускать tcpdump с ключом "-p"? ;-)) Вставить ник Quote
roofut Posted August 17, 2011 Author Posted August 17, 2011 чем лечить ? и надо ли лечитЬ ? :) Вставить ник Quote
ixi Posted August 17, 2011 Posted August 17, 2011 С одним сервером (сборщик netflow) возникала такая проблема, вроде было связано с ARP. В качестве быстрого решения помог пинг шлюза в кроне, так и осталось оно. Вставить ник Quote
Valaskor Posted August 18, 2011 Posted August 18, 2011 Часто такая проблема появляется по причине того, что время жизни arp дольше (например на циске, вроде, 4 часа по дефолту), чем в таблицах комутации свитчей (5 минут типично). Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.