Ivan Rostovikov Опубликовано 12 апреля, 2012 · Жалоба В ядре (с6500<-->HP5412) настроена изоляция портов и списки доступа для блокировки IPv6 трафика. В ядро сети включен коммутатор. В него уже ничего не подключено (пустой). После включения коммутатора (минут через 5) этот коммутатор уже знает 300-500 мак адресов. Напомню, что наверху (в ядре) настроена изоляция портов. И фреймы с других портов (соседей по вилану) приходить не должны. Однако откуда то мак-адреса изучаются.... НАстраиваю на этом коммутаторе порт-мирроринг, смотрю какие фреймы приходят из ядра. wireshark-ом И ровным счетом ничего не вижу. Как и должно быть при изоляции портов. В то время как свичт уверенно пополняет таблицу, мак адресами с других портов ядра. Вопрос: Если wireshakr не видит пакетов от соседних хостов, как их мак адреса могут изучатся ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 12 апреля, 2012 · Жалоба А маки чьи? Т.е. кому принадлежат? Нет, ли там часом, какого-нибудь cdp, lldp, да мало ли еще чего чем может заниматься свитч. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 12 апреля, 2012 · Жалоба Маки с соседних портов ядра. Абонентские. Не свичей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 12 апреля, 2012 (изменено) · Жалоба Маки с соседних портов ядра. Абонентские. Не свичей. и что вас удивляет??? если акцесс свитч знает мак то его будет знать и уровень агрегации и уровень ядра в приделах всего широковещательного домена Изменено 12 апреля, 2012 пользователем mukca Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 12 апреля, 2012 · Жалоба автор нарисуйте схему пожалуйсто, так будет проще разобраться mukca, ну так что-бы коммутатор узнал маки, к нему должен прийти хотябы например arp пакет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 12 апреля, 2012 (изменено) · Жалоба mukca, ну так что-бы коммутатор узнал маки, к нему должен прийти хотябы например arp пакет необязательно арп а любой пакет... Ivan Rostovikov так выдерните со свитча все патчкорды или по удаляйте все вланы и сделайте какой нибуть левый влан и добавьте его untag на все порты и наверняка есть какой нибуть протокол который умнее всех и позволяет коммутаторам обмениваться таблицами коммутации зы а может глючит И фреймы с других портов (соседей по вилану) приходить не должны. или вообще не работает или работает так как хочит производитель но не так как понимаете выи кстати "порт-мирроринг" тоже не факт что правильно работает Изменено 12 апреля, 2012 пользователем mukca Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 12 апреля, 2012 · Жалоба >ну так что-бы коммутатор узнал маки, к нему должен прийти хотябы например arp пакет Вот именно. и я про то же говорю. А поскольку сеть сегментирована, пакеты от соседей по вилану приходить не могут. (их не видно на снифере) Но в том же линке ходит еще управляющий вилан. он не сегментирован. там и могут ходить CDP, LLDP всякие.... vlan 2 - управляющий. vlan 3 - абонентский. свич доступа<--vlan 2,3<-- ядро -->vlan 2,3--> свич доступа На свичах доступа видны маки абонентов (из влана 3) хотя влан3 - сегментирован (трафик ходит только до ядра и от ядра) Возможно ли, что информация о маках в абонентском вилане поступает через служебные пакеты вилана 2(CDP,LLDP, может что то еще) ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 12 апреля, 2012 (изменено) · Жалоба Ivan Rostovikov на свитче sh arp и думаю увидите все 500 ip адресов светящихся в влане управления sh mac увидите маки и в каком влане находится... часть будет абонетская другая как сказал выше с влана управления... или думаете что если в свитче нету клиентов то к нему пакетики не прибегают??? ps я за глючащию "изоляцию портов" или вообще не работающую или работающую так как понимает производитель, но не так как понимаете вы. Или за какой ниюуть протокол обмена таблицами коммутации соседних комутаторов Изменено 12 апреля, 2012 пользователем mukca Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 12 апреля, 2012 · Жалоба >то к нему пакетики не прибегают??? Если б прибегали, их было б видно в снифере. И было б все ясно. Снифер проверял. Если пакет посылается то его там видно. Возможно маки приходят с какими ни будь "неверными фреймами", которых снифер не показывает. Опять же непонятно откуда они берутся... если сегметация (изоляция портов) настроена. >Или за какой ниюуть протокол обмена таблицами коммутации соседних комутаторов Я тоже подумал про это, когда намекнули про LLDP. Может mesh какой нить работает.... Но опять же почему его не видно в снифере ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OlegStr Опубликовано 12 апреля, 2012 · Жалоба на всех коммутаторах native VLAN 1 запрещен ? Может, в VLAN 1 что-то передается .. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 12 апреля, 2012 · Жалоба а что если не на коммутаторе настраивать мирроринг, а напрямую воткнуться в ядро (если конечно есть возможность), и посмотреть что действительно приходит с порта, может зеркалирование просто не все зеркалит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 12 апреля, 2012 · Жалоба вытащите провод, который идёт в этот мистический свитч, и воткните его в сниффер напрямую Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 13 апреля, 2012 (изменено) · Жалоба Вы выписали: "ядро (с6500<-->HP5412)" свитч доступа<--vlan 2,3<-- с6500 -->vlan 2,3--> свитч доступа | HP5412 У Вас так ? где настроена изоляция ? Как это сделано ? между с6500 и HP5412 один линк ? Изменено 13 апреля, 2012 пользователем g3fox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 13 апреля, 2012 · Жалоба >У Вас так ? Скорее так: свитч доступа<--vlan 2,3<-- с6500<-->HP5412 -->vlan 2,3--> свитч доступа >где настроена изоляция ? Как это сделано ? Изоляция на каждом коммутаторе. c6506 - Private hosts HP5412 - "filter source-port ..." Свичи доступа(dlink) - Trafic segmentation "Вершина" изолированного дерева - несколько портов на c6506. Там подключены PPPoE BRAS. >между с6500 и HP5412 один линк ? Да 1. 10G. >может зеркалирование просто не все зеркалит. Сомневаться в надежности "зеркалирования" врятли стоит. До сих пор это не подводило. Другое дело если не зеркалятся "плохие" и "неверные" пакеты.... >вытащите провод, который идёт в этот мистический свитч, и воткните его в сниффер напрямую Снифер - не свич. Он не умеет всякие "свичевые протоколы". Поэтому такой эксперимент будет не чистым. Но спасибо за совет. Я попробую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 13 апреля, 2012 · Жалоба Какая-то чушь у вас получилась. Добавьте тег 'code' И где у вас всё-таки настроено сегментирование ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 13 апреля, 2012 · Жалоба На брасах никакого проксиарпа нету ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 13 апреля, 2012 · Жалоба На брасах никакого проксиарпа нету ? proxyarp показал бы mac самого браса. чтобы увидеть через брас настоящий мак, на брасе должен быть мост. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 13 апреля, 2012 · Жалоба Кажись нашел. Если кому интересно... ЭТО БЫЛ SSDP !!! Мать его. Оказывается цискина фича "Private hosts" не обрезает мультикаст и он поднявшись "вверх" от абонентских "windows" на циске успешно повторялся во всех портах и спускался "вниз". А на снифере его не было видно потому, что на интерфейсе снифера был отвязан TCP/IPv4. Как только пропишеш сниферу любой адрес - сразу видно тонны SSDP и порожденных им UDP пакетов. Вот так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...