форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Cisco Catalyst коммутаторы)
Изначальное сообщение		[ Отслеживать ]

"Чужой трафик на портах коммутатора"		+/–
Сообщение от Ufolog (ok) on 19-Апр-10, 17:42
Топология сети: Есть сетка из 40 коммутаторов, в основном это HP 2510, HP 2524 , Cisco 2950, они разбиты на 3 здания и по топологии звезда подключены к коммутатору здания, коммутатором здания является Cisco 3550. Коммутаторы здания в свою очередь сходятся на коммутатор Cisco 3550, где порты работают в режиме access и находятся в одном влане, объединяя эти 3-и здания в одну сеть (конфига главного превести не могу, у меня нет прав). Проблема: Пользуясь снифером Wireshark обнаружил, что на портах гуляет трафик с других машин, не весь а только небольшая часть, но если умножить это на 40 коммутаторов то получается, что по сетке гуляет прилично левого трафика. Вопрос: Из-за чего может гулять левый трафик, как устранить или хотя бы локализовать проблему. Конфиги коммутаторов: (хх - замена инфы, там все точно правильно) (up-link в режиме access без настроек) Cisco 2950: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! ! enable secret 5  xxxxxxxxxxxxxxxxx ! clock timezone Kiev 2 clock summer-time Kiev recurring last Sun Mar 2:00 last Sun Oct 2:00 ip subnet-zero ! ! spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id ! ! interface FastEthernet0/1 description SHUTDOWN switchport mode access switchport port-security switchport port-security violation restrict switchport port-security mac-address sticky хххх.хххх.хххх.хххх shutdown storm-control broadcast level 90.00 no cdp enable spanning-tree portfast ... interface Vlan1 ip address xx.xx.xx.xx 255.255.252.0 no ip route-cache ! ip default-gateway xx.xx.xx.xx no ip http server logging xx.xx.xx.xx access-list 5 permit xx.xx.xx.0 0.0.0.255 access-list 5 permit xx.xx.xx.0 0.0.0.255 access-list 5 deny   any snmp-server community xxxxxxx RO ! line con 0 exec-timeout 0 0 line vty 0 4 access-class 5 in exec-timeout 15 0 password xxxxxxxx login line vty 5 15 access-class 5 in exec-timeout 15 0 password xxxxxxx login ! ntp clock-period 17179983 ntp server xx.xx.xx.xx ! end НР 2510/2524: Running configuration: ; J9019A Configuration Editor; Created on release #Q.11.17 time timezone 120 time daylight-time-rule Middle-Europe-and-Portugal console inactivity-timer 10 no web-management interface 1    name "SHUTDOWN"    broadcast-limit 10 exit ,,, interface 26    name "trk_sw2/2(cisco2950-24)" exit ip default-gateway xx.xx.xx.xx sntp server xx.xx.xx.xx timesync sntp sntp unicast sntp 30 logging xx.xx.xx.xx snmp-server community "xxxxxxxx" snmp-server enable traps authentication vlan 1    name "DEFAULT_VLAN"    untagged 1-26    ip address xx.xx.xx.xx 255.255.252.0    exit ip authorized-managers xx.xx.xx.0 255.255.255.0 no stack port-security 3 learn-mode static action send-alarm xxxxxxxxxxxx lldp admin-status 1-19,21-25 disable no cdp enable 1-19,21-25 ip ssh no tftp client password manager password operator Cisco 3550 (коммутаторы здания) version 12.1 no service pad service timestamps debug uptime service timestamps log datetime localtime service password-encryption service sequence-numbers no service dhcp ! ! logging console critical enable secret 5 xxxxxxxxxxxxxxxxxx enable password 7 xxxxxxxxxxxxxxxxxxx ! username xxxxxx password 7 xxxxxxxxxxxxxxxxxx clock timezone DNEPR 2 clock summer-time DNEPR recurring last Sun Mar 2:00 last Sun Oct 2:00 ip subnet-zero ip routing ! ip domain-list xxxxxxxxxxxxxxxxx ip domain-name xxxxxxxxxxxxxxxx ip name-server xx.xx.xx.xx ip name-server xx.xx.xx.xx ! spanning-tree mode pvst spanning-tree extend system-id ! ! interface FastEthernet0/1 description SHUTDOWN switchport mode access switchport port-security switchport port-security violation restrict switchport port-security mac-address sticky shutdown ! .... interface FastEthernet0/14 switchport trunk encapsulation dot1q switchport mode trunk interface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport mode access interface Vlan1 ip address xx.xx.xx.xx 255.255.252.0 ! interface Vlan2 ip address xx.xx.xx.xx 255.255.255.0 ! interface Vlan3   ip address xx.xx.xx.xx 255.255.255.224 shutdown ! ip default-gateway xx.xx.xx.xx ip classless ip route 0.0.0.0 0.0.0.0 xx.xx.xx.xx ip route xx.xx.xx.xx 255.255.255.224 xx.xx.xx.xx no ip http server ! logging trap debugging logging facility local0 logging source-interface Vlan1 logging xx.xx.xx.xx access-list 1 permit xx.xx.xx.0 0.0.0.255 access-list 1 deny   any access-list 2 remark -- ntp sinhronizaciya access-list 2 permit xx.xx.xx.xx access-list 2 deny   any access-list 60 permit xx.xx.xx.xx access-list 60 remark -- Zapret dostupa SNMP access-list 60 deny   any snmp-server community xxxxxxxxx RO 60 snmp-server enable traps snmp authentication linkdown linkup coldstart snmp-server enable traps config snmp-server enable traps entity snmp-server enable traps rtr snmp-server enable traps port-security snmp-server enable traps vtp snmp-server enable traps syslog snmp-server host xx.xx.xx.xx xxxxxxxxx ! line con 0 exec-timeout 0 0 line vty 0 4 access-class 1 in exec-timeout 15 0 password 7 xxxxxxxxxxxxxxxxx login line vty 5 15 exec-timeout 15 0 password 7 xxxxxxxxxxxxxxxxx login transport input none ! ntp clock-period 17180577 ntp access-group peer 2 ntp server xx.xx.xx.xx !
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Чужой трафик на портах коммутатора"		+/–
Сообщение от Gbyte (ok) on 19-Апр-10, 20:12
1. А правда это трафик левый? 2. Нужно Нарисовать (в visio, а лучше в dia) схему сети, указать на ней виланы, транковые порты, ip-адреса Схему нарисуешь, станет понятнее что и где, глядишь в процессе и найдется то место где аксессые порты разных виланов стыкуются ;)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от Ufolog (ok) on 20-Апр-10, 14:29
	>1. А правда это трафик левый? >2. Нужно Нарисовать (в visio, а лучше в dia) схему сети, указать >на ней виланы, транковые порты, ip-адреса > >Схему нарисуешь, станет понятнее что и где, глядишь в процессе и найдется >то место где аксессые порты разных виланов стыкуются ;) Схема до боли простая, топология звезда (к главному коммутатору подключены 3 коммутатора зданий, а от них в свою очередь подключены все остальные) Вланы которые в кофиге одного из коммутаторов здания это служебные сети и они дальше этого коммутатора не пробрасываются, все остальные хосты находятся в одном влане
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Чужой трафик на портах коммутатора"		+/–
Сообщение от ShyLion (ok) on 20-Апр-10, 08:39
>[оверквотинг удален] >звезда подключены к коммутатору здания, коммутатором здания является Cisco 3550. Коммутаторы >здания в свою очередь сходятся на коммутатор Cisco 3550, где порты >работают в режиме access и находятся в одном влане, объединяя эти >3-и здания в одну сеть (конфига главного превести не могу, у >меня нет прав). > >Проблема: >Пользуясь снифером Wireshark обнаружил, что на портах гуляет трафик с других машин, >не весь а только небольшая часть, но если умножить это на >40 коммутаторов то получается, что по сетке гуляет прилично левого трафика. Учи мат.часть. Если свитч не знает на каком порту находится хост, он форвардит фреймы на все порты кроме того откуда фрейм принят. ЗЫ: 40 коммутаторов - это слишком. Необходимо сегментировать сеть и роутить. Возможно что переполняется таблица MAC адресов на коммктаторах. Сколько хостов в сети?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от Ufolog (ok) on 20-Апр-10, 14:41
	>[оверквотинг удален] >>не весь а только небольшая часть, но если умножить это на >>40 коммутаторов то получается, что по сетке гуляет прилично левого трафика. > >Учи мат.часть. >Если свитч не знает на каком порту находится хост, он форвардит фреймы >на все порты кроме того откуда фрейм принят. > >ЗЫ: 40 коммутаторов - это слишком. Необходимо сегментировать сеть и роутить. Возможно >что переполняется таблица MAC адресов на коммктаторах. Сколько хостов в сети? > 1. На сколько мне известно, то коммутатор заполняет ARP таблицу с помощью ARP-запросов, получая на них ответы, а не кидает проходящий по коммутатору трафик на все порты. От чужих машин ты можешь на своем порту видеть бродкасты, а я вижу на порту часть пакетов передающих от машины А к машине В 2. Возможно ты не читал характеристики коммутаторов, у них таблицы мак-адресов по 8000 , а на 3550 вроде 16 тыс., так, что переполнится она не могла, да и я эту гипотезу уже проверил, а атаку на свичи с помощью изменения мака провести невозможно, т. к. настроен port-security 3. И 40 коммутаторов это не много, вся сеть насчитывает больше 250 коммутаторов, и они сегментированы и между ними стоит ряд маршрутизаторов объединяющих всю сеть в кольцо,  а это самая большая локация, в ней насчитывается 750 хостов. На других локациях такой проблемы нет, на портах только трафик той машины, которая за ним стоит
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от ShyLion (ok) on 20-Апр-10, 15:55
	>1. На сколько мне известно, то коммутатор заполняет ARP таблицу с помощью >ARP-запросов, получая на них ответы У тебя в корне неверная информация. Протокол ARP никоим образом напрямую свичем не используется для целей форвардинга. Только если ему самому надо с кем-то по IP связаться. ARP это часть IP стека. >На других локациях такой проблемы нет, на портах только трафик той машины, которая за ним стоит Ты просто или не туда смотрел, или не в режиме promisc, или недостаточно долго. Еще раз повторю: если у свича в таблице маков нет мака назначения, он рассылает фрейм во ВСЕ порты.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от alex (??) on 20-Апр-10, 16:17
	>[оверквотинг удален] >не используется для целей форвардинга. Только если ему самому надо с >кем-то по IP связаться. ARP это часть IP стека. > >>На других локациях такой проблемы нет, на портах только трафик той машины, которая за ним стоит > >Ты просто или не туда смотрел, или не в режиме promisc, или >недостаточно долго. > >Еще раз повторю: если у свича в таблице маков нет мака назначения, >он рассылает фрейм во ВСЕ порты. А разве не во все порты, относящиеся только к конкретной вилан? p.s. особо не вникал в суть вопроса, просто фраза насторожила...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от ShyLion (ok) on 20-Апр-10, 16:40
	>А разве не во все порты, относящиеся только к конкретной вилан? >p.s. особо не вникал в суть вопроса, просто фраза насторожила... да, конечно, я упростил
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от Ufolog (ok) on 21-Апр-10, 09:44
	>>А разве не во все порты, относящиеся только к конкретной вилан? >>p.s. особо не вникал в суть вопроса, просто фраза насторожила... > >да, конечно, я упростил Или я чего-то не понимаю или вы тупите. Вот инфа с разных сайтов Полностью порядок преобразования адресов выглядит так:    1. По сети передается широковещательный ARP-запрос.    2. Исходящий IP-пакет ставится в очередь.    3. Возвращается ARP-ответ, содержащий информацию о соответствии IP- и Ethernet-адресов. Эта информация заносится в ARP-таблицу.    4. Для преобразования IP-адреса в Ethernet-адрес у IP-пакета, постав ленного в очередь, используется ARP-таблица.    5. Ethernet-кадр передается по сети Ethernet. Вот ссылки: http://www.mark-itt.ru/FWO/tcpip/arp.html http://book.itep.ru/4/44/arp_446.htm http://docstore.mik.ua/tcpip/arp.htm еще таких много т. е. привожу пример: Например у нас сеть 192.168.10.0 255.255.255.0 Машина А: 192.168.10.5 (к примеру моя машина) Машина В: 192.168.10.6 Машина С: 192.168.10.7 Бродкаст: 192.168.10.255 Как я понимаю АРП протокол, то хост если у него нет записи в АРП-таблице должен рассылать всем пакеты по бродкасту т. е. 192.168.10.255 тогда если я буду смотреть с помощью снифера (Wireshark) свой канал на машине 192.168.10.5 я буду видеть картину: Source:              Destination: 192.168.10.6         192.168.10.255 192.168.10.7         192.168.10.255 192.168.10.255       192.168.10.5 и это нормально, а у меня на порту я вижу трафик с следующими параметрами это на хосте 192.168.10.5 Source:              Destination:        Type 192.168.10.6         192.168.10.7        UDP 192.168.10.7         192.168.10.6        HTTP 192.168.10.7         10.20.140.56        HTTP (или вообще адрес из внешней сети) и это не правильно. Сразу говорю порт не настроен не на мониторинг не на mirror
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от Кирилл (??) on 21-Апр-10, 10:14
	>[оверквотинг удален] >192.168.10.6         192.168.10.7   >     UDP >192.168.10.7         192.168.10.6   >     HTTP >192.168.10.7         10.20.140.56   >     HTTP (или вообще адрес из внешней >сети) >и это не правильно. > >Сразу говорю порт не настроен не на мониторинг не на mirror Уважаемый. Ты путаешь arp таблицу на хосте с таблицей mac на коммутаторе. Знаешь, если в твоем примере, на хосте 192.168.10.7 будет просто включен интерфейс (можно даже и без кабеля) с ip из сети 10.20.140.0, то мусор может в сети возникнуть..
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от Ufolog (ok) on 21-Апр-10, 10:47
	> >Уважаемый. Ты путаешь arp таблицу на хосте с таблицей mac на коммутаторе. > >Знаешь, если в твоем примере, на хосте 192.168.10.7 будет просто включен интерфейс >(можно даже и без кабеля) с ip из сети 10.20.140.0, то >мусор может в сети возникнуть.. Выше приводили пример, что мол коммутатор шлет проходящие по нему фреймы на все порты коммутатора, заполняя свою арп-таблицу записью, которой в ней нет. Я с этим не согласился, т. к. в этом случае, по моему мнению коммутатор разошлет широковещательный (бродкаст) АРП-запрос, а это не тоже самое, что кидать фреймы проходящие по нему на все порты.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	14. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от ShyLion (ok) on 21-Апр-10, 12:08
	>Выше приводили пример, что мол коммутатор шлет проходящие по нему фреймы на >все порты коммутатора, заполняя свою арп-таблицу записью, которой в ней нет. выше говорили, что коммутатор разошлет фрейм во все порты, если destination адреса нет в таблице форвардинга. а arp таблицы у огромного количества неуправляемых коммутаторов нет вообще у них есть forwarding table, куда они записывают (и обновляют таймеры по существующим записям) соответствие source адреса и порта, принявшего фрейм. >Я с этим не согласился, т. к. в этом случае, по моему >мнению коммутатор разошлет широковещательный (бродкаст) АРП-запрос, а это не тоже самое, >что кидать фреймы проходящие по нему на все порты. ARP это часть протокола IP, еще раз повторю, многие коммутаторы понятия не имеют о протоколе IP, им это не зачем, они на 2 уровне работают.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от ShyLion (ok) on 21-Апр-10, 10:42
	>Или я чего-то не понимаю или вы тупите. Вот инфа с разных >сайтов >Полностью порядок преобразования адресов выглядит так: :-х
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от Ufolog (ok) on 21-Апр-10, 11:00
	Пожалуйста, если, что-то комментируете приводите ссылки на источники: книги, интернет-ссылки, т. к. манера изъяснятся у всех разная, иногда тяжело понять, что подразумевает тот или иной автор
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	13. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от ShyLion (ok) on 21-Апр-10, 11:56
	>Пожалуйста, если, что-то комментируете приводите ссылки на источники: книги, интернет-ссылки, т. к. >манера изъяснятся у всех разная, иногда тяжело понять, что подразумевает тот >или иной автор Курс ICND вас устроит? Достаточно авторитетный источник?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	15. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от alex (??) on 21-Апр-10, 12:18
	Вас уже просили нарисовать рисунок сети, с указанием устройств, виланов и адресации в ней. Лично я, например, прочитав все, так и не понял о каком левом трафике идет речь. Единственное что я понял - это то, что есть 4 коммутатора 3-го уровня 3550, на которых, видимо, включена опция ip routing, и которые соединяются в звезду между собой. К 3-м из них подключаются коммутаторы 2-го уровня. А вот в каком месте обнаруживается "левый" трафик и из какого сегмента сети он, по Вашему, приходит, Вы так и не сказали. Да и без рисунка сети понять это будет трудно. Теперь что касается широковещания. Компьютер, который хоть послать пакет, зная ip-адрес, должен указать в нем mac-адрес получателя, для этого он посылает широковещательный ARP-запрос, который распространиться по всему сегменту сети до коммутатора 3-го уровня, который по умолчанию не пропустит широковещание дальше. При этом это широковещание будет идти внутри сегмента внутри соответствующей вилан, если таковая вообще существует на свичах.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	16. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от Ufolog (ok) on 21-Апр-10, 13:34
	>Вас уже просили нарисовать рисунок сети, с указанием устройств, виланов и адресации >в ней. >Лично я, например, прочитав все, так и не понял о каком левом >трафике идет речь. >Единственное что я понял - это то, что есть 4 коммутатора 3-го >уровня 3550, на которых, видимо, включена опция ip routing, и которые >соединяются в звезду между собой. К 3-м из них подключаются коммутаторы Все правильно вы поняли, только опция ip routing включена для маршрута по умолчаанию (направлен на главный коммутатор 3550, к которому подключены 3-и здания) и 2-х сервисных вланов, никакой маршрутизации между 3-я зданиями нет, это одна громадная сетка. Ниже привожу схему сети http://www.letitbit.ru/files/35974/shema.rar на схеме вместо HP 2824 реально стоят циски 3550, это схема из проекта модернизации. Пунктиром обозначены границы здания. Все коммутаторы, соответственно все хосты (повторяю еще раз) находятся в одном влане и ТОЛЬКО НА 1 КОММУТАТОРЕ 3550 стоит 2-а дополнительных влана для сервисных сетей на нем же прописаны маршруты от них, дальше ЭТОГО коммутатора они не куда не идут, все остальные хосты из 3-х здания в одном влане 1 по умолчанию. >2-го уровня. А вот в каком месте обнаруживается "левый" трафик и >из какого сегмента сети он, по Вашему, приходит, Вы так и >не сказали. Да и без рисунка сети понять это будет трудно. Левый трафик я вижу на любом порту, любого коммутатора из этих 3-х зданий, делал замеры. Везде ситуация одинаковая. Т. е. я из одного здания находясь на своем коммутаторе могу видеть небольшую часть пакетов (различных протоколов UDP, HTTP ...) машины находящийся в совершенно другом здании. P.S. разбить сетку и включить роутинг не представляется возможным, т. к. нужно оформить кучу бумажек через вышестоящее руководство и поменять айпишники в 2-х зданиях а это порядка 400-500 хостов, этого никто не даст сделать. Сети подобных размеров есть еще в нескольких городах, связывался с коллегами они высылали образы с снифера, у них такой проблемы нет.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	17. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от ShyLion (ok) on 21-Апр-10, 14:38
	>Все коммутаторы, соответственно все хосты (повторяю еще раз) находятся в одном влане >и ТОЛЬКО НА 1 КОММУТАТОРЕ 3550 стоит 2-а дополнительных влана для сервисных >сетей на нем же прописаны маршруты от них, дальше ЭТОГО коммутатора >они не куда не идут, все остальные хосты из 3-х здания >в одном влане 1 по умолчанию. >Левый трафик я вижу на любом порту, любого коммутатора из этих 3-х >зданий, делал замеры. Везде ситуация одинаковая. Т. е. я из одного >здания находясь на своем коммутаторе могу видеть небольшую часть пакетов (различных >протоколов UDP, HTTP ...) машины находящийся в совершенно другом здании. Это НОРМАЛЬНО. Прочтите ЛЮБУЮ книгу по функционированию коммутаторов, посетите курс ICND или ознакомьтесь с любым CCNA Study Guide, в интернете их полно. >Сети подобных размеров есть еще в нескольких городах, связывался с коллегами они >высылали образы с снифера, у них такой проблемы нет. Еще раз повторяю, коллеги ваши либо не в promisc mode трафик смотрят, либо недостаточно долго. Вот как эта опция выглядит в WireShark: http://s60.radikal.ru/i169/1004/f4/2509aa64564b.png Еще возможно, что у коллеги сетевая карта или ее драйвер не умеют работать в этом режиме. Хотя такое сейчас редкость.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	18. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от alex (??) on 21-Апр-10, 14:44
	>[оверквотинг удален] >зданий, делал замеры. Везде ситуация одинаковая. Т. е. я из одного >здания находясь на своем коммутаторе могу видеть небольшую часть пакетов (различных >протоколов UDP, HTTP ...) машины находящийся в совершенно другом здании. > >P.S. разбить сетку и включить роутинг не представляется возможным, т. к. нужно >оформить кучу бумажек через вышестоящее руководство и поменять айпишники в 2-х >зданиях а это порядка 400-500 хостов, этого никто не даст сделать. > >Сети подобных размеров есть еще в нескольких городах, связывался с коллегами они >высылали образы с снифера, у них такой проблемы нет. А Вы не могли бы переконвертировать формат .vsd во что-нибудь читабельное? Просто мне формат визио в линуксе без бубна не открыть, а заморачиваться сильно не хочется... Хорошо, допустим у Вас единая сеть и широковещание (любое) бегает по всей сети, т.е. между всеми 3-мя зданиями. Так что Вы хотите в итоге то получить? Ограничить вообще всю связь между зданиями (раз вы называете любой трафик из другого здания "левым") или что Вы хотите получить то?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	19. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от ShyLion (ok) on 21-Апр-10, 14:52
	>получить то? гражданин наблюдает НЕ-броадкаст пакеты, адресованые хосту, который живет на другом порту
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	20. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от Ufolog (ok) on 21-Апр-10, 16:32
	Сетка была в очень запущенном состоянии, когда мы приняли ее на обслуживании, мониторинг никто не проводил и соответственно порядок тоже никто не наводил. Кому интересно оказалось: 1. Сервера с NLB кластерами (почему они это делают так и не разобрался, но они как-то нехорошо формируют пакеты, что при явно заданном destination (пункте назначения) коммутаторы все равно воспринимают их как бродкасты.) Выделил в отдельный влан, а проходя через циску 7609 они там режуться 2. FreeBSD машины с поднятыми виртуалками, таких оказалось 3, отрубил от сетки 3. Еще было 5 машин с поднятыми виртуалками и разным сетевым софтом, снес все нафиг В итоге как и должно быть на портах только трафик конкретных машин и бродкасты
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	21. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от frob (ok) on 21-Апр-10, 22:56
	>разобрался, но они как-то нехорошо формируют пакеты, что при явно заданном >destination (пункте назначения) коммутаторы все равно воспринимают их как бродкасты.) И какой же этот destination? >Выделил в отдельный влан, а проходя через циску 7609 они там режуТСЯ Если в 7600 есть DFC-шные карты, включите mac-sync.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	22. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от Gbyte (ok) on 22-Апр-10, 07:13
	>Сетка была в очень запущенном состоянии, когда мы приняли ее на обслуживании, >мониторинг никто не проводил и соответственно порядок тоже никто не наводил. > >Кому интересно оказалось: >1. Сервера с NLB кластерами (почему они это делают так и не >разобрался, но они как-то нехорошо формируют пакеты, что при явно заданном >destination (пункте назначения) коммутаторы все равно воспринимают их как бродкасты.) Выделил >в отдельный влан, а проходя через циску 7609 они там режуться > Сейчас точно не помню (на микрософте кажется попадалось описание работы NLB), вот оно кажется именно только так и работает - це ж мелкософт... :) Поэтому от NLB мы отказались...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	23. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от ShyLion (ok) on 22-Апр-10, 07:29
	>В итоге как и должно быть на портах только трафик конкретных машин >и бродкасты Хочешь фокус? на машине, которая ловила "левые" пакеты запускаешь WireShark. На виртуальной машине ваершарк запускать бесполезно, ее трафик фильтруется гипервизором. Включаешь капчу, ставишь фильтр eth.dst == 00:0c:11:11:11:11 далее, на любой другой машине в то-же вилане если винда arp -s x.x.x.x 00-0c-11-11-11-11 если юникс-подобное arp -s x.x.x.x 00:0c:11:11:11:11 где x.x.x.x любой свободный IP из сети, в которой хосты в этом вилане дальше делаешь ping x.x.x.x и смотришь капчу на машине с ваершарком и удивляешься можешь показать этот фокус своим коллегам, а потом пойти за книжкой в магазин.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	24. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от Ufolog (ok) on 22-Апр-10, 14:23
	>[оверквотинг удален] >arp -s x.x.x.x 00:0c:11:11:11:11 > >где x.x.x.x любой свободный IP из сети, в которой хосты в этом >вилане > >дальше делаешь ping x.x.x.x и смотришь капчу на машине с ваершарком и >удивляешься > >можешь показать этот фокус своим коллегам, а потом пойти за книжкой в >магазин. то что ты говоришь это не фокус а атака называемая ARP spoofing. А Виншарк я запуская не на виртуальной машине, а виртуальная машина запущенная на удаленном хосте генерит трафик, который воспринимается как бродкасты.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	25. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от ShyLion (ok) on 22-Апр-10, 14:44
	>то что ты говоришь это не фокус а атака называемая ARP spoofing. Серьезно говорю, почитай литературу, уже не смешно. Вот тебе выдержка из Sybex CCNA Study Guide: http://s40.radikal.ru/i089/1004/c7/11c9ec4394c4.png На каталистах aging timeout 300 секунд. Если от хоста нет трафика, что через 300 секунд свитч его мак забывает и предназначеные ему пакеты флудит во все порты, пока не увидит от него обратный фрейм. Такие ситуации вполне нормальны. "Победить" это ты никак не сможешь, максимум что можно сделать - увеличить таймаут до предельных величин.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	26. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от frob (ok) on 22-Апр-10, 17:07
	>>то что ты говоришь это не фокус а атака называемая ARP spoofing. ("Пациент скорее мёртв, чем жив.") Не надо, не читайте никаких книжек от этого одни проблемы. >"Победить" это ты никак не сможешь, максимум >что можно сделать - увеличить таймаут до предельных величин. Ну, почему же... Вот тут http://www.opennet.dev/openforum/vsluhforumID6/20886.html один "победил" ;-)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	27. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от frob (ok) on 22-Апр-10, 17:09
	>А Виншарк я запуская не на виртуальной машине, а виртуальная машина запущенная >на удаленном хосте генерит трафик, который воспринимается как бродкасты. Трафик не может "восприниматься как бродкасты". Либо все биты в адресе назначения выставлены, либо нет.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "Чужой трафик на портах коммутатора"		+/–
Сообщение от spunky (ok) on 22-Апр-10, 18:17
для HP - не знаю, а для cisco: conf t mac- ag 86400 inter ra fa 0/1 - 24 sw bl uni есть такая возможность, что на 48мипортовых блок не будет работать, если эта фишка присуща только enhanced образу, проверить не могу, а feature navigator говорит что 2950 вообще этого не умеет. Команда на нём такая есть, может она просто не работает?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	29. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от frob (ok) on 22-Апр-10, 19:26
	>inter ra fa 0/1 - 24 >sw bl uni > Команда на нём такая есть, может она просто не работает? Вы понимаете ЧТО советуете?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	30. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от spunky (ok) on 23-Апр-10, 06:35
	>>inter ra fa 0/1 - 24 >>sw bl uni >> Команда на нём такая есть, может она просто не работает? > >Вы понимаете ЧТО советуете? поднять время хранения записей в таблице коммутации и запретить коммутатору распространять кадры для неизвестных мак-адресов в направлении пользователей. На порты используемые для соединения коммутаторов эту настройку растягивать не стоит, да.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	31. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от frob (ok) on 23-Апр-10, 07:03
	>запретить коммутатору распространять кадры >для неизвестных мак-адресов в направлении пользователей. Выше была дана ссылка на другое обсуждение. Сходите почитайте к чему это приводит.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	32. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от pliskinsad on 23-Апр-10, 07:07
	>>запретить коммутатору распространять кадры >>для неизвестных мак-адресов в направлении пользователей. > >Выше была дана ссылка на другое обсуждение. Сходите почитайте к чему это >приводит. Берешь сниффер, ловишь левый кадр. Смотришь мак адрес отправителя, ищешь на свитче порт. Порт ложишь ;) Дабы небыло подобных эксцессов более, настрой port-security.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	33. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от frob (ok) on 23-Апр-10, 09:04
	"Всё чудесатее и чудесатее" (с) Предложение spunky реализованное "как есть" нерационально, но для стендовых испытаний сойдёт. Ваше -- совершенно мимо денег. Нету там "левых" кадров.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	34. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от spunky (ok) on 26-Апр-10, 13:40
	>>запретить коммутатору распространять кадры >>для неизвестных мак-адресов в направлении пользователей. > >Выше была дана ссылка на другое обсуждение. Сходите почитайте к чему это >приводит. Смело предположил, что у ТС-а мало *nix-машин, которые в основном и способны создать подобную проблему за счёт своей молчаливости, плюс повышение времени хранения записи в таблице коммутации несколько оградит от подобных проблем (хотя, да - суток пожалуй маловато).
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	35. "Чужой трафик на портах коммутатора"		+/–
	Сообщение от frob (ok) on 26-Апр-10, 15:45
	>(хотя, да - суток пожалуй маловато). Достаточно 4х часов с мелочью.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема