umike Опубликовано 17 января, 2013 (изменено) · Жалоба есть "дерево" из коммутаторов, в одном из "листьев" находится пользователь с мак-адресом 20:cf:30:88:8a:19. Весь трафик идущий к данному пользователю, флудится во все порты "дерева". Во flood_fdb его нет :) Более того: номер vlan по дороге меняется с одного на другой, коммутаторы разных моделей и вендоров (DGS-3120, DES-3200 B/C, DES-3028, Edge-Core ES3528), на стороне пользователей есть неуправляемые также различных вендоров. Трафик на этот мак виден везде. Мак не броадкаст, не мультикаст, я что-то еще упустил? Изменено 17 января, 2013 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 17 января, 2013 · Жалоба гм. Изменили мак на 20:cf:30:88:8a:11, флуд прикратился. Всё-таки проблема хэша сразу у всех коммутаторов? Гм... any comments? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 17 января, 2013 · Жалоба Конечное звено в цепочке что? Во время синтетических тестов у меня было впечатление, что floob_fdb успевает обработать далеко не все. Мак адрес в конце цепочки есть на порту? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 17 января, 2013 (изменено) · Жалоба Конечное звено у пользователя какой-то роутер с неродной прошивкой, подключен к DES3200-28 C1. Да, на порту пользователя он виден как обычный мак. Сейчас посчитал - в схеме где всё это флудится 7 разных моделей/серий коммутаторов из которых два неуправляемых. Изменено 17 января, 2013 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 17 января, 2013 · Жалоба На DES3200-28 C1 нет flood fdb в принципе. Этот коммутатор также рассылает трафик по всем портам? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 18 января, 2013 · Жалоба айнанэ, посмотрел, действительно, 3200 оба-два B ревизии. В DGS-3120 тоже fllod_fdb нет и он тоже дублирует во все порты вилана. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 18 января, 2013 · Жалоба А снифером посмотреть что за флуд то там? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 18 января, 2013 · Жалоба обычный трафик из мира к пользователю - браузинг, закачки.... Суммарно порядка 30мбит. Но почему-то разлетающийся по всему ethernet-сегменту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 18 января, 2013 · Жалоба И дст мак и срц мак - валидные? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 18 января, 2013 (изменено) · Жалоба Что подразумевается под валидностью? Флудился трафик с src: 90:e2:ba:05:xx:xx (intel igb) dst: 20:cf:30:88:8a:19 по-моему вполне валидные Изменено 18 января, 2013 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 18 января, 2013 · Жалоба Подразумевал: не меняются ли они по ходу пакета и не мультикаст. src/dst местами не меняется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 18 января, 2013 · Жалоба не меняются, не мультикаст (насколько я вижу), трафик внешне по дампу вполне нормален, без явных аномалий. user->инет не флудится, инет->user флудится. Маки вышеприведенные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 18 января, 2013 · Жалоба А порт-миррор нигде попути случаем не настроен (бред конечно, но 1 раз у нас на сети такое было) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 18 января, 2013 · Жалоба А порт-миррор нигде попути случаем не настроен (бред конечно, но 1 раз у нас на сети такое было) нет. Я сколько не смотрел не увидел ничего особенного и очевидного, поэтому и написал сюда Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eLLIk1n Опубликовано 18 января, 2013 · Жалоба есть "дерево" из коммутаторов, в одном из "листьев" находится пользователь с мак-адресом 20:cf:30:88:8a:19. Весь трафик идущий к данному пользователю, флудится во все порты "дерева". DGS-3120, DES-3200 B/C, DES-3028, Edge-Core ES3528 Вижу что на "ветках" стоят DES-3028, рекомендую настроить traffic control config traffic control <номера портов> broadcast enable multicast enable action drop threshold 64 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 18 января, 2013 · Жалоба Вижу что на "ветках" стоят DES-3028, рекомендую настроить traffic control config traffic control <номера портов> broadcast enable multicast enable action drop threshold 64[ маки не броадкаст и не юникаст, этот трафик под tc не попал. Дальше? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eLLIk1n Опубликовано 18 января, 2013 · Жалоба маки не броадкаст и не юникаст, этот трафик под tc не попал. Дальше? :) запрещайте ACL'лами пакеты с данным MAC адресом на тех портах, где его быть не должно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 18 января, 2013 · Жалоба а что говорит sh fdb mac? мак лернится? а статичными arp вы не балуетесь? sh ip arp покажите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 18 января, 2013 · Жалоба sh fdb mac port X говорит что там этот мак Learned Да, на порту пользователя он виден как обычный мак. arp-статикой немного балуемся, но не на коммутаторах доступа. Для этого пользователя arp-статики не было. sh ip arp кого? Коммутаторов доступа? managment vlan отдельный, поэтому там ничего интересного нет. Маршрутизатора через который пользователь выходит в сеть? Там тоже ничего особенного нет, обычная динамическая запись, такая-же как и тысячи других. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 20 января, 2013 · Жалоба случаем ARP Proxy нигде не затесался? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 20 января, 2013 · Жалоба случаем не похоже и просто сменой мака прокси не лечится Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...