Ivan Rostovikov Posted April 12, 2012 Posted April 12, 2012 В ядре (с6500<-->HP5412) настроена изоляция портов и списки доступа для блокировки IPv6 трафика. В ядро сети включен коммутатор. В него уже ничего не подключено (пустой). После включения коммутатора (минут через 5) этот коммутатор уже знает 300-500 мак адресов. Напомню, что наверху (в ядре) настроена изоляция портов. И фреймы с других портов (соседей по вилану) приходить не должны. Однако откуда то мак-адреса изучаются.... НАстраиваю на этом коммутаторе порт-мирроринг, смотрю какие фреймы приходят из ядра. wireshark-ом И ровным счетом ничего не вижу. Как и должно быть при изоляции портов. В то время как свичт уверенно пополняет таблицу, мак адресами с других портов ядра. Вопрос: Если wireshakr не видит пакетов от соседних хостов, как их мак адреса могут изучатся ? Вставить ник Quote
passer Posted April 12, 2012 Posted April 12, 2012 А маки чьи? Т.е. кому принадлежат? Нет, ли там часом, какого-нибудь cdp, lldp, да мало ли еще чего чем может заниматься свитч. Вставить ник Quote
Ivan Rostovikov Posted April 12, 2012 Author Posted April 12, 2012 Маки с соседних портов ядра. Абонентские. Не свичей. Вставить ник Quote
mukca Posted April 12, 2012 Posted April 12, 2012 (edited) Маки с соседних портов ядра. Абонентские. Не свичей. и что вас удивляет??? если акцесс свитч знает мак то его будет знать и уровень агрегации и уровень ядра в приделах всего широковещательного домена Edited April 12, 2012 by mukca Вставить ник Quote
mcdemon Posted April 12, 2012 Posted April 12, 2012 автор нарисуйте схему пожалуйсто, так будет проще разобраться mukca, ну так что-бы коммутатор узнал маки, к нему должен прийти хотябы например arp пакет Вставить ник Quote
mukca Posted April 12, 2012 Posted April 12, 2012 (edited) mukca, ну так что-бы коммутатор узнал маки, к нему должен прийти хотябы например arp пакет необязательно арп а любой пакет... Ivan Rostovikov так выдерните со свитча все патчкорды или по удаляйте все вланы и сделайте какой нибуть левый влан и добавьте его untag на все порты и наверняка есть какой нибуть протокол который умнее всех и позволяет коммутаторам обмениваться таблицами коммутации зы а может глючит И фреймы с других портов (соседей по вилану) приходить не должны. или вообще не работает или работает так как хочит производитель но не так как понимаете выи кстати "порт-мирроринг" тоже не факт что правильно работает Edited April 12, 2012 by mukca Вставить ник Quote
Ivan Rostovikov Posted April 12, 2012 Author Posted April 12, 2012 >ну так что-бы коммутатор узнал маки, к нему должен прийти хотябы например arp пакет Вот именно. и я про то же говорю. А поскольку сеть сегментирована, пакеты от соседей по вилану приходить не могут. (их не видно на снифере) Но в том же линке ходит еще управляющий вилан. он не сегментирован. там и могут ходить CDP, LLDP всякие.... vlan 2 - управляющий. vlan 3 - абонентский. свич доступа<--vlan 2,3<-- ядро -->vlan 2,3--> свич доступа На свичах доступа видны маки абонентов (из влана 3) хотя влан3 - сегментирован (трафик ходит только до ядра и от ядра) Возможно ли, что информация о маках в абонентском вилане поступает через служебные пакеты вилана 2(CDP,LLDP, может что то еще) ??? Вставить ник Quote
mukca Posted April 12, 2012 Posted April 12, 2012 (edited) Ivan Rostovikov на свитче sh arp и думаю увидите все 500 ip адресов светящихся в влане управления sh mac увидите маки и в каком влане находится... часть будет абонетская другая как сказал выше с влана управления... или думаете что если в свитче нету клиентов то к нему пакетики не прибегают??? ps я за глючащию "изоляцию портов" или вообще не работающую или работающую так как понимает производитель, но не так как понимаете вы. Или за какой ниюуть протокол обмена таблицами коммутации соседних комутаторов Edited April 12, 2012 by mukca Вставить ник Quote
Ivan Rostovikov Posted April 12, 2012 Author Posted April 12, 2012 >то к нему пакетики не прибегают??? Если б прибегали, их было б видно в снифере. И было б все ясно. Снифер проверял. Если пакет посылается то его там видно. Возможно маки приходят с какими ни будь "неверными фреймами", которых снифер не показывает. Опять же непонятно откуда они берутся... если сегметация (изоляция портов) настроена. >Или за какой ниюуть протокол обмена таблицами коммутации соседних комутаторов Я тоже подумал про это, когда намекнули про LLDP. Может mesh какой нить работает.... Но опять же почему его не видно в снифере ??? Вставить ник Quote
OlegStr Posted April 12, 2012 Posted April 12, 2012 на всех коммутаторах native VLAN 1 запрещен ? Может, в VLAN 1 что-то передается .. Вставить ник Quote
zi_rus Posted April 12, 2012 Posted April 12, 2012 а что если не на коммутаторе настраивать мирроринг, а напрямую воткнуться в ядро (если конечно есть возможность), и посмотреть что действительно приходит с порта, может зеркалирование просто не все зеркалит Вставить ник Quote
zurz Posted April 12, 2012 Posted April 12, 2012 вытащите провод, который идёт в этот мистический свитч, и воткните его в сниффер напрямую Вставить ник Quote
g3fox Posted April 13, 2012 Posted April 13, 2012 (edited) Вы выписали: "ядро (с6500<-->HP5412)" свитч доступа<--vlan 2,3<-- с6500 -->vlan 2,3--> свитч доступа | HP5412 У Вас так ? где настроена изоляция ? Как это сделано ? между с6500 и HP5412 один линк ? Edited April 13, 2012 by g3fox Вставить ник Quote
Ivan Rostovikov Posted April 13, 2012 Author Posted April 13, 2012 >У Вас так ? Скорее так: свитч доступа<--vlan 2,3<-- с6500<-->HP5412 -->vlan 2,3--> свитч доступа >где настроена изоляция ? Как это сделано ? Изоляция на каждом коммутаторе. c6506 - Private hosts HP5412 - "filter source-port ..." Свичи доступа(dlink) - Trafic segmentation "Вершина" изолированного дерева - несколько портов на c6506. Там подключены PPPoE BRAS. >между с6500 и HP5412 один линк ? Да 1. 10G. >может зеркалирование просто не все зеркалит. Сомневаться в надежности "зеркалирования" врятли стоит. До сих пор это не подводило. Другое дело если не зеркалятся "плохие" и "неверные" пакеты.... >вытащите провод, который идёт в этот мистический свитч, и воткните его в сниффер напрямую Снифер - не свич. Он не умеет всякие "свичевые протоколы". Поэтому такой эксперимент будет не чистым. Но спасибо за совет. Я попробую. Вставить ник Quote
g3fox Posted April 13, 2012 Posted April 13, 2012 Какая-то чушь у вас получилась. Добавьте тег 'code' И где у вас всё-таки настроено сегментирование ? Вставить ник Quote
g3fox Posted April 13, 2012 Posted April 13, 2012 На брасах никакого проксиарпа нету ? Вставить ник Quote
Ilya Evseev Posted April 13, 2012 Posted April 13, 2012 На брасах никакого проксиарпа нету ? proxyarp показал бы mac самого браса. чтобы увидеть через брас настоящий мак, на брасе должен быть мост. Вставить ник Quote
Ivan Rostovikov Posted April 13, 2012 Author Posted April 13, 2012 Кажись нашел. Если кому интересно... ЭТО БЫЛ SSDP !!! Мать его. Оказывается цискина фича "Private hosts" не обрезает мультикаст и он поднявшись "вверх" от абонентских "windows" на циске успешно повторялся во всех портах и спускался "вниз". А на снифере его не было видно потому, что на интерфейсе снифера был отвязан TCP/IPv4. Как только пропишеш сниферу любой адрес - сразу видно тонны SSDP и порожденных им UDP пакетов. Вот так. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.