флудящий мак 20:cf:30:88:8a:19

[umike]

есть "дерево" из коммутаторов, в одном из "листьев" находится пользователь с мак-адресом 20:cf:30:88:8a:19. Весь трафик идущий к данному пользователю, флудится во все порты "дерева".

 

Во flood_fdb его нет :) Более того: номер vlan по дороге меняется с одного на другой, коммутаторы разных моделей и вендоров (DGS-3120, DES-3200 B/C, DES-3028, Edge-Core ES3528), на стороне пользователей есть неуправляемые также различных вендоров. Трафик на этот мак виден везде.

 

Мак не броадкаст, не мультикаст, я что-то еще упустил?

Edited January 17, 2013 by umike

[umike]

гм. Изменили мак на 20:cf:30:88:8a:11, флуд прикратился. Всё-таки проблема хэша сразу у всех коммутаторов? Гм... any comments?

[xcme]

Конечное звено в цепочке что?

Во время синтетических тестов у меня было впечатление, что floob_fdb успевает обработать далеко не все.

Мак адрес в конце цепочки есть на порту?

[umike]

Конечное звено у пользователя какой-то роутер с неродной прошивкой, подключен к DES3200-28 C1.

Да, на порту пользователя он виден как обычный мак.

Сейчас посчитал - в схеме где всё это флудится 7 разных моделей/серий коммутаторов из которых два неуправляемых.

Edited January 17, 2013 by umike

[xcme]

На DES3200-28 C1 нет flood fdb в принципе. Этот коммутатор также рассылает трафик по всем портам?

[umike]

айнанэ, посмотрел, действительно, 3200 оба-два B ревизии. В DGS-3120 тоже fllod_fdb нет и он тоже дублирует во все порты вилана.

[Butch3r]

А снифером посмотреть что за флуд то там?

[umike]

обычный трафик из мира к пользователю - браузинг, закачки.... Суммарно порядка 30мбит. Но почему-то разлетающийся по всему ethernet-сегменту.

[Ivan_83]

И дст мак и срц мак - валидные?

[umike]

Что подразумевается под валидностью?

Флудился трафик с

src: 90:e2:ba:05:xx:xx (intel igb)

dst: 20:cf:30:88:8a:19

 

по-моему вполне валидные

Edited January 18, 2013 by umike

[Ivan_83]

Подразумевал: не меняются ли они по ходу пакета и не мультикаст.

src/dst местами не меняется?

[umike]

не меняются, не мультикаст (насколько я вижу), трафик внешне по дампу вполне нормален, без явных аномалий.

user->инет не флудится, инет->user флудится. Маки вышеприведенные.

[Butch3r]

А порт-миррор нигде попути случаем не настроен (бред конечно, но 1 раз у нас на сети такое было)

[umike]

А порт-миррор нигде попути случаем не настроен (бред конечно, но 1 раз у нас на сети такое было)

нет. Я сколько не смотрел не увидел ничего особенного и очевидного, поэтому и написал сюда

[eLLIk1n]

есть "дерево" из коммутаторов, в одном из "листьев" находится пользователь с мак-адресом 20:cf:30:88:8a:19. Весь трафик идущий к данному пользователю, флудится во все порты "дерева".

 

DGS-3120, DES-3200 B/C, DES-3028, Edge-Core ES3528

 

Вижу что на "ветках" стоят DES-3028, рекомендую настроить traffic control

 

 

config traffic control <номера портов> broadcast enable multicast enable action drop threshold 64

 

[umike]

Вижу что на "ветках" стоят DES-3028, рекомендую настроить traffic control

 

config traffic control <номера портов> broadcast enable multicast enable action drop threshold 64[

 

маки не броадкаст и не юникаст, этот трафик под tc не попал. Дальше? :)

[eLLIk1n]

маки не броадкаст и не юникаст, этот трафик под tc не попал. Дальше? :)

 

запрещайте ACL'лами пакеты с данным MAC адресом на тех портах, где его быть не должно.

[dmvy]

а что говорит sh fdb mac? мак лернится? а статичными arp вы не балуетесь? sh ip arp покажите.

[umike]

sh fdb mac port X говорит что там этот мак Learned

Да, на порту пользователя он виден как обычный мак.

 

arp-статикой немного балуемся, но не на коммутаторах доступа. Для этого пользователя arp-статики не было.

 

sh ip arp кого? Коммутаторов доступа? managment vlan отдельный, поэтому там ничего интересного нет. Маршрутизатора через который пользователь выходит в сеть? Там тоже ничего особенного нет, обычная динамическая запись, такая-же как и тысячи других.

[zurz]

случаем ARP Proxy нигде не затесался?

[umike]

случаем не похоже и просто сменой мака прокси не лечится