[roofut]

При запуске tcpdump -n -i eth1 видим следубщее

14:39:12.190207 IP 10.0.101.3.3306 > 10.0.101.2.54621: P 322997518:322997527(9) ack 3480689246 win 46 <nop,nop,timestamp 763426561 763913476>

14:39:12.191584 IP 10.0.101.3.3306 > 10.0.101.2.54621: P 1520:1969(449) ack 177 win 46 <nop,nop,timestamp 763426561 763913477>

14:39:12.191590 IP 10.0.101.3.3306 > 10.0.101.2.54621: . 72:1520(1448) ack 177 win 46 <nop,nop,timestamp 763426561 763913477>

14:39:12.193396 IP 10.0.101.3.3306 > 10.0.101.2.54621: P 1969:2074(105) ack 316 win 54 <nop,nop,timestamp 763426562 763913477>

 

13:04:52.110591 IP 10.0.101.3.3306 > 10.0.101.2.40092: P 602:613(11) ack 440 win 46 <nop,nop,timestamp 632413613 632899796>

13:04:52.111067 IP 95.86.135.2.1985 > 224.0.0.2.1985: HSRPv0-hello 20: state=active group=1 addr=95.86.135.1

13:04:52.116532 IP 95.86.135.3.1985 > 224.0.0.2.1985: HSRPv0-hello 20: state=standby group=1 addr=95.86.135.1

13:04:52.127060 IP 95.86.135.2.1985 > 224.0.0.2.1985: HSRPv0-hello 20: state=active group=1 addr=95.86.135.1

 

то что связано с HSRP мы знаем что это наши роутеры общаются между собой, соединения mysql тоже понятны, но почему они отображатся на сервере который хоть и находится в том же свитче , но не какого отношения к этим пакетам не имеет.

Такое происходит обсалютно со всеми серверами в нашей сетке , как с внутренних так и с внешних интерфейсов. Все сервера HP (g6,g7).

[m0xf]

224.0.0.2.1985

Мультикаст же

[Zaqwr]

свитч наверное d-link , нет?

[s.lobanov]

По поводу мультикаста всё правильно. пришёл фрейм на 224.0.0.2, что по-вашему свитч должен с ним сделать? ну да, можно пофантазировать на предмет igmp snooping, но:

In general, addresses from 224.0.0.1 to 224.0.0.255 are reserved and used by various protocols (standard or proprietary, such as Hot Standby Router Protocol (HSRP)). Cisco recommends that you not use these for GDA in a multicast network. CGMP and IGMP snooping do not work with this reserved address range.

 

http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a00800b0871.shtml

 

По поводу лишнего юникаста - смотрите мак-адреса этих фреймов(опция -e в tcpdump) и есть ли они в таблице коммутации свитча. Если нет, то фреймы будут размножаться по причине неизестного dst mac

[Ilya Evseev]

Не пробовали запускать tcpdump с ключом "-p"? ;-))

[roofut]

чем лечить ? и надо ли лечитЬ ? :)

[ixi]

С одним сервером (сборщик netflow) возникала такая проблема, вроде было связано с ARP. В качестве быстрого решения помог пинг шлюза в кроне, так и осталось оно.

[Valaskor]

Часто такая проблема появляется по причине того, что время жизни arp дольше (например на циске, вроде, 4 часа по дефолту), чем в таблицах комутации свитчей (5 минут типично).