Jump to content
Калькуляторы

Откуда коммутатор узнает MAC адреса ?

В ядре (с6500<-->HP5412) настроена изоляция портов и списки доступа для блокировки IPv6 трафика.

В ядро сети включен коммутатор. В него уже ничего не подключено (пустой).

После включения коммутатора (минут через 5) этот коммутатор уже знает 300-500 мак адресов.

Напомню, что наверху (в ядре) настроена изоляция портов. И фреймы с других портов (соседей по вилану) приходить не должны.

Однако откуда то мак-адреса изучаются.... НАстраиваю на этом коммутаторе порт-мирроринг, смотрю какие фреймы приходят из ядра. wireshark-ом

И ровным счетом ничего не вижу. Как и должно быть при изоляции портов. В то время как свичт уверенно пополняет таблицу, мак адресами с других портов ядра.

Вопрос: Если wireshakr не видит пакетов от соседних хостов, как их мак адреса могут изучатся ?

Share this post


Link to post
Share on other sites

А маки чьи? Т.е. кому принадлежат? Нет, ли там часом, какого-нибудь cdp, lldp, да мало ли еще чего чем может заниматься свитч.

Share this post


Link to post
Share on other sites
Маки с соседних портов ядра. Абонентские. Не свичей.

и что вас удивляет???

 

если акцесс свитч знает мак то его будет знать и уровень агрегации и уровень ядра в приделах всего широковещательного домена

Edited by mukca

Share this post


Link to post
Share on other sites

автор нарисуйте схему пожалуйсто, так будет проще разобраться

 

mukca, ну так что-бы коммутатор узнал маки, к нему должен прийти хотябы например arp пакет

Share this post


Link to post
Share on other sites
mukca, ну так что-бы коммутатор узнал маки, к нему должен прийти хотябы например arp пакет

необязательно арп а любой пакет...

 

Ivan Rostovikov

так выдерните со свитча все патчкорды или по удаляйте все вланы и сделайте какой нибуть левый влан и добавьте его untag на все порты

и наверняка есть какой нибуть протокол который умнее всех и позволяет коммутаторам обмениваться таблицами коммутации

 

зы а может глючит

И фреймы с других портов (соседей по вилану) приходить не должны.
или вообще не работает или работает так как хочит производитель но не так как понимаете вы

и кстати "порт-мирроринг" тоже не факт что правильно работает

Edited by mukca

Share this post


Link to post
Share on other sites

>ну так что-бы коммутатор узнал маки, к нему должен прийти хотябы например arp пакет

Вот именно. и я про то же говорю.

А поскольку сеть сегментирована, пакеты от соседей по вилану приходить не могут. (их не видно на снифере)

Но в том же линке ходит еще управляющий вилан. он не сегментирован. там и могут ходить CDP, LLDP всякие....

 

vlan 2 - управляющий.

vlan 3 - абонентский.

 

свич доступа<--vlan 2,3<-- ядро -->vlan 2,3--> свич доступа

 

 

На свичах доступа видны маки абонентов (из влана 3) хотя влан3 - сегментирован (трафик ходит только до ядра и от ядра)

Возможно ли, что информация о маках в абонентском вилане поступает через служебные пакеты вилана 2(CDP,LLDP, может что то еще) ???

Share this post


Link to post
Share on other sites

Ivan Rostovikov

на свитче

sh arp

и думаю увидите все 500 ip адресов светящихся в влане управления

sh mac

увидите маки и в каком влане находится...

часть будет абонетская другая как сказал выше с влана управления...

или думаете что если в свитче нету клиентов то к нему пакетики не прибегают???

 

ps я за глючащию "изоляцию портов" или вообще не работающую или работающую так как понимает производитель, но не так как понимаете вы. Или за какой ниюуть протокол обмена таблицами коммутации соседних комутаторов

Edited by mukca

Share this post


Link to post
Share on other sites

>то к нему пакетики не прибегают???

Если б прибегали, их было б видно в снифере. И было б все ясно.

Снифер проверял. Если пакет посылается то его там видно.

Возможно маки приходят с какими ни будь "неверными фреймами", которых снифер не показывает.

Опять же непонятно откуда они берутся... если сегметация (изоляция портов) настроена.

 

>Или за какой ниюуть протокол обмена таблицами коммутации соседних комутаторов

Я тоже подумал про это, когда намекнули про LLDP. Может mesh какой нить работает....

Но опять же почему его не видно в снифере ???

Share this post


Link to post
Share on other sites

на всех коммутаторах native VLAN 1 запрещен ? Может, в VLAN 1 что-то передается ..

Share this post


Link to post
Share on other sites

а что если не на коммутаторе настраивать мирроринг, а напрямую воткнуться в ядро (если конечно есть возможность), и посмотреть что действительно приходит с порта, может зеркалирование просто не все зеркалит

Share this post


Link to post
Share on other sites

вытащите провод, который идёт в этот мистический свитч, и воткните его в сниффер напрямую

Share this post


Link to post
Share on other sites

Вы выписали: "ядро (с6500<-->HP5412)"

 

свитч доступа<--vlan 2,3<-- с6500 -->vlan 2,3--> свитч доступа
                             |
                           HP5412

 

У Вас так ?

где настроена изоляция ? Как это сделано ?

между с6500 и HP5412 один линк ?

Edited by g3fox

Share this post


Link to post
Share on other sites

>У Вас так ?

 

Скорее так:

 

свитч доступа<--vlan 2,3<-- с6500<-->HP5412 -->vlan 2,3--> свитч доступа

 

 

>где настроена изоляция ? Как это сделано ?

 

Изоляция на каждом коммутаторе.

c6506 - Private hosts

HP5412 - "filter source-port ..."

Свичи доступа(dlink) - Trafic segmentation

"Вершина" изолированного дерева - несколько портов на c6506. Там подключены PPPoE BRAS.

 

>между с6500 и HP5412 один линк ?

Да 1. 10G.

 

>может зеркалирование просто не все зеркалит.

 

Сомневаться в надежности "зеркалирования" врятли стоит. До сих пор это не подводило.

Другое дело если не зеркалятся "плохие" и "неверные" пакеты....

 

>вытащите провод, который идёт в этот мистический свитч, и воткните его в сниффер напрямую

 

Снифер - не свич. Он не умеет всякие "свичевые протоколы". Поэтому такой эксперимент будет не чистым.

Но спасибо за совет. Я попробую.

Share this post


Link to post
Share on other sites

Какая-то чушь у вас получилась. Добавьте тег 'code'

И где у вас всё-таки настроено сегментирование ?

Share this post


Link to post
Share on other sites

На брасах никакого проксиарпа нету ?

Share this post


Link to post
Share on other sites

На брасах никакого проксиарпа нету ?

proxyarp показал бы mac самого браса.

чтобы увидеть через брас настоящий мак, на брасе должен быть мост.

Share this post


Link to post
Share on other sites

Кажись нашел.

Если кому интересно... ЭТО БЫЛ SSDP !!! Мать его.

Оказывается цискина фича "Private hosts" не обрезает мультикаст и он поднявшись "вверх" от абонентских "windows" на циске успешно повторялся во всех портах и спускался "вниз".

А на снифере его не было видно потому, что на интерфейсе снифера был отвязан TCP/IPv4. Как только пропишеш сниферу любой адрес - сразу видно тонны SSDP и порожденных им UDP пакетов.

Вот так.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this