OpenForum RSS: Catalyst 3560 , загрузка под 100% из-за клиента. https://slinkov.ru/openforum/vsluhforumID6/687.html Есть Catalyst 3560 , в него включено последовательно несколько свитчей Л2, и в конечном итоге клиент на 1000 мбит.с. Время от времени от клиента начинается флуд\атака, при которой цпу Каталист&#1110; пр&#1110;гает до 100% , что в свою очередь отклад&#1110;вает последсвтия на всю сеть и остальные объекты, доступ к которым начинает пропадать. Отключение порта на клиентском оборудовании дает знать что атака происходит от именно этого клиента.<br>Но понять в чем именно проблема, так и не удалось.. либо сетевая карта , которая начинает отражать входящий траффик, тем самым создавая петлю, либо намеряный флуд, либо вирусная атака, хотя при мониторинге tcpdump на интренет-шлюзе , ничего внеземного не обнаружилось... Исходя из этого я полагаю что флуд не выходит за границы сети... а распространяется в ней.<br><br>При чем во время загрузки Каталисты, загрузка всех транзитных свитчей, и свитча куда клиент включен, в норме.<br>Все оборудование в одной ВЛАНе, клиент в другой. Клиент по 30/ , айпи у него на ПК, и tuj шлюз на Cat Catalyst 3560 , загрузка под 100% из-за клиента. (TrEK) https://slinkov.ru/openforum/vsluhforumID6/687.html#7 Mon, 15 Apr 2013 13:01:23 GMT &gt; Привет, <br>&gt;&gt; Отключение порта на клиентском <br>&gt;&gt; оборудовании дает знать что атака происходит от именно этого клиента.<br>&gt; Но еще никак не означает, что причиной проблемы является трафик. Вы на <br>&gt; график порта до отключения смотрели? Сколько его там приходит/уходит?<br>&gt; Hint: дублирование IP адреса тоже может очень быстро свести 35-ую кошку с <br>&gt; ума, при чем практически без трафика.<br>&gt; WWell, <br><br>Конфликт может вызвать такое на 3560?? а как избежать этого ? <br> Catalyst 3560 , загрузка под 100% из-за клиента. (Mr. Mistoffelees) https://slinkov.ru/openforum/vsluhforumID6/687.html#6 Mon, 15 Apr 2013 12:44:59 GMT Привет,<br><br>&gt; Отключение порта на клиентском <br>&gt; оборудовании дает знать что атака происходит от именно этого клиента.<br><br>Но еще никак не означает, что причиной проблемы является трафик. Вы на график порта до отключения смотрели? Сколько его там приходит/уходит? <br><br>Hint: дублирование IP адреса тоже может очень быстро свести 35-ую кошку с ума, при чем практически без трафика. <br><br>WWell,<br><br> Catalyst 3560 , загрузка под 100% из-за клиента. (TrEK) https://slinkov.ru/openforum/vsluhforumID6/687.html#5 Sun, 14 Apr 2013 18:43:18 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; нужен rstp на свиче доступа <br>&gt;&gt;&gt;&gt; включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции.<br>&gt;&gt;&gt; в общем, всё делается на свиче доступа l2 - storm control, acl <br>&gt;&gt;&gt; и т.д.<br>&gt;&gt; Тобишь мне это все надо отсекать еще до того, как оно попадет <br>&gt;&gt; в ядро ?....<br>&gt; Я правильно понял, что у клиента канал на гигабит? А на 3560 <br>&gt; маршрутизация?<br>&gt; Вы проанализируйте, есть ли фрагментация пакетов, какой трафик ходит (например, с помощью <br>&gt; нетфлоу / span(rspan)), чтобы было яснее, что это вам грузит процессор. <br><br>У всех клиентов по гигабиту... 3560 - главный маршрутизирующий девайс. А как принудительно фрагментировать пакеты? Или это не всегда акутально?<br><br> Catalyst 3560 , загрузка под 100% из-за клиента. (andrew_s) https://slinkov.ru/openforum/vsluhforumID6/687.html#4 Sun, 14 Apr 2013 15:04:21 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; , айпи у него на ПК, и tuj шлюз на Catalyst3560.<br>&gt;&gt;&gt; Если на Циске ввести команду - #spanning-tree loopguard default , это защитит <br>&gt;&gt;&gt; от петли кривой клиентской сетевой ?<br>&gt;&gt; нет <br>&gt;&gt; нужен rstp на свиче доступа <br>&gt;&gt;&gt; включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции.<br>&gt;&gt; в общем, всё делается на свиче доступа l2 - storm control, acl <br>&gt;&gt; и т.д.<br>&gt; Тобишь мне это все надо отсекать еще до того, как оно попадет <br>&gt; в ядро ?....<br><br>Совершенно верно, при таком раскладе cor sw у Вас будет работать а клиенты будут прикуривать.<br><br> Catalyst 3560 , загрузка под 100% из-за клиента. (anonymous) https://slinkov.ru/openforum/vsluhforumID6/687.html#3 Sun, 14 Apr 2013 12:03:54 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; , айпи у него на ПК, и tuj шлюз на Catalyst3560.<br>&gt;&gt;&gt; Если на Циске ввести команду - #spanning-tree loopguard default , это защитит <br>&gt;&gt;&gt; от петли кривой клиентской сетевой ?<br>&gt;&gt; нет <br>&gt;&gt; нужен rstp на свиче доступа <br>&gt;&gt;&gt; включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции.<br>&gt;&gt; в общем, всё делается на свиче доступа l2 - storm control, acl <br>&gt;&gt; и т.д.<br>&gt; Тобишь мне это все надо отсекать еще до того, как оно попадет <br>&gt; в ядро ?....<br><br>Я правильно понял, что у клиента канал на гигабит? А на 3560 маршрутизация?<br>Вы проанализируйте, есть ли фрагментация пакетов, какой трафик ходит (например, с помощью нетфлоу / span(rspan)), чтобы было яснее, что это вам грузит процессор.<br> Catalyst 3560 , загрузка под 100% из-за клиента. (TrEK) https://slinkov.ru/openforum/vsluhforumID6/687.html#2 Sun, 14 Apr 2013 11:59:26 GMT &gt;[оверквотинг удален]<br>&gt;&gt; куда клиент включен, в норме.<br>&gt;&gt; Все оборудование в одной ВЛАНе, клиент в другой. Клиент по 30/ <br>&gt;&gt; , айпи у него на ПК, и tuj шлюз на Catalyst3560.<br>&gt;&gt; Если на Циске ввести команду - #spanning-tree loopguard default , это защитит <br>&gt;&gt; от петли кривой клиентской сетевой ?<br>&gt; нет <br>&gt; нужен rstp на свиче доступа <br>&gt;&gt; включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции.<br>&gt; в общем, всё делается на свиче доступа l2 - storm control, acl <br>&gt; и т.д.<br><br>Тобишь мне это все надо отсекать еще до того, как оно попадет в ядро ?....<br> Catalyst 3560 , загрузка под 100% из-за клиента. (andrew_s) https://slinkov.ru/openforum/vsluhforumID6/687.html#1 Sun, 14 Apr 2013 11:15:43 GMT &gt;[оверквотинг удален]<br>&gt; карта , которая начинает отражать входящий траффик, тем самым создавая петлю, <br>&gt; либо намеряный флуд, либо вирусная атака, хотя при мониторинге tcpdump на <br>&gt; интренет-шлюзе , ничего внеземного не обнаружилось... Исходя из этого я полагаю <br>&gt; что флуд не выходит за границы сети... а распространяется в ней. <br>&gt; При чем во время загрузки Каталисты, загрузка всех транзитных свитчей, и свитча <br>&gt; куда клиент включен, в норме.<br>&gt; Все оборудование в одной ВЛАНе, клиент в другой. Клиент по 30/ <br>&gt; , айпи у него на ПК, и tuj шлюз на Catalyst3560. <br>&gt; Если на Циске ввести команду - #spanning-tree loopguard default , это защитит <br>&gt; от петли кривой клиентской сетевой ? <br><br>нет<br>нужен rstp на свиче доступа<br>&gt; включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции. <br><br>в общем, всё делается на свиче доступа l2 - storm control, acl и т.д.<br><br><br>