URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1503
[ Назад ]

Исходное сообщение
"свитчинг"
Отправлено Damage , 15-Окт-14 15:22

Добрый день.
Банальный вопрос, но что-то всю голову сломал.
Есть Catalyst 6500, есть на нём Vlan 103.
Делаю
monitor session 1 source interface gi3/32
monitor session 1 destination remote vlan 131
В порт Gi3/32 включено оборудование с одним IP и одним mac адресом.
Смотрю в wireshark.
Почему-то на этот порт поступает трафик, который не предназначен для этого хоста.
Не широковещательный, а обычный уникаст трафик между другими хостами.
Причем периодами. То ничего нет, то вдруг посыпалось. До 40 мбит чужого трафика.
Т.е. получается свитч работает как хаб.
Почему так может происходить?

Содержание

свитчинг,Merridius, 21:36 , 15-Окт-14
свитчинг,ShyLion, 08:59 , 16-Окт-14
- свитчинг,sergjack, 10:00 , 16-Окт-14
- свитчинг,rusadmin, 10:01 , 16-Окт-14
  - свитчинг,sergjack, 10:47 , 16-Окт-14
    - свитчинг,ShyLion, 11:24 , 16-Окт-14
      - свитчинг,sergjack, 11:32 , 16-Окт-14
        
        свитчинг,ShyLion, 11:51 , 16-Окт-14
        
        свитчинг,sergjack, 12:08 , 16-Окт-14
        
        свитчинг,rusadmin, 12:45 , 16-Окт-14
        свитчинг,ShyLion, 12:47 , 16-Окт-14
    - свитчинг,rusadmin, 12:42 , 16-Окт-14
      - свитчинг,ShyLion, 13:10 , 16-Окт-14
        
        свитчинг,rusadmin, 13:18 , 16-Окт-14
свитчинг,vigogne, 12:26 , 16-Окт-14
- свитчинг,Merridius, 00:30 , 17-Окт-14
  - свитчинг,vigogne, 08:22 , 17-Окт-14
  - свитчинг,sergjack, 09:54 , 17-Окт-14
    - свитчинг,sergjack, 11:48 , 17-Окт-14
      - свитчинг,MACAddr, 05:53 , 20-Окт-14
      - свитчинг,MACAddr, 05:54 , 20-Окт-14
        
        свитчинг,sergjack, 09:40 , 20-Окт-14
        
        свитчинг,MACAddr, 11:07 , 20-Окт-14

Сообщения в этом обсуждении

"свитчинг"
Отправлено Merridius , 15-Окт-14 21:36

>[оверквотинг удален]
> monitor session 1 source interface gi3/32
> monitor session 1 destination remote vlan 131
> В порт Gi3/32 включено оборудование с одним IP и одним mac адресом.
> Смотрю в wireshark.
> Почему-то на этот порт поступает трафик, который не предназначен для этого хоста.
> Не широковещательный, а обычный уникаст трафик между другими хостами.
> Причем периодами. То ничего нет, то вдруг посыпалось. До 40 мбит чужого
> трафика.
> Т.е. получается свитч работает как хаб.
> Почему так может происходить?
Unknown unicast flooding.
Читаем до просветления:
http://www.cisco.com/c/en/us/support/docs/switches/catalyst-...

"свитчинг"
Отправлено ShyLion , 16-Окт-14 08:59

> Банальный вопрос, но что-то всю голову сломал.
Ответ тоже банальный: куда слать unicast траффик если в таблице МАКов такого еще пока или уже нет?
Такое очень часто случается со всякими видеокамерами с кривым софтом, которым клиент сказал слать RTP и сам уснул/отключился, а камера старается вовсю, не смотря на то, что от клиента давно ничего не приходило.
Особенно прекрасно когда в сети есть сегменты, подключенные низкоскоростными модемами. Таких лучще в отдельные виланы.

"свитчинг"
Отправлено sergjack , 16-Окт-14 10:00

>> Банальный вопрос, но что-то всю голову сломал.
> Ответ тоже банальный: куда слать unicast траффик если в таблице МАКов такого
> еще пока или уже нет?
> Такое очень часто случается со всякими видеокамерами с кривым софтом, которым клиент
> сказал слать RTP и сам уснул/отключился, а камера старается вовсю, не
> смотря на то, что от клиента давно ничего не приходило.
да не, там трафик постоянно активных хостов. типа web серверов и концентраторов vpn,
которые всегда онлайн.

"свитчинг"
Отправлено rusadmin , 16-Окт-14 10:01

>> Банальный вопрос, но что-то всю голову сломал.
> Ответ тоже банальный: куда слать unicast траффик если в таблице МАКов такого
> еще пока или уже нет?
> Такое очень часто случается со всякими видеокамерами с кривым софтом, которым клиент
> сказал слать RTP и сам уснул/отключился, а камера старается вовсю, не
> смотря на то, что от клиента давно ничего не приходило.
> Особенно прекрасно когда в сети есть сегменты, подключенные низкоскоростными модемами.
> Таких лучще в отдельные виланы.
Поддержу, встречал тонну shdsl и vdsl модемов, которые весь трафик пересылали обратно, образуя петлю.
Так же подобная ситуация возможна когда на роутере нет ARP записи о хосте, для которого предназначается этот unicast трафик, в связи с чем он шлет его бродкастом, и еще, возможно, на одном из центральных коммутаторов заполнилась таблица маков. В этом случае действия будут аналогичными, как при случае отсуствия ARP записи

"свитчинг"
Отправлено sergjack , 16-Окт-14 10:47

> Поддержу, встречал тонну shdsl и vdsl модемов, которые весь трафик пересылали обратно,
> образуя петлю.
хм, у меня, конечно, кабельных модемов нет, но есть удалённый сегмент сети, дотянутый l2 через wan
> Так же подобная ситуация возможна когда на роутере нет ARP записи о
> хосте, для которого предназначается этот unicast трафик, в связи с чем
> он шлет его бродкастом,
А не должен он в таком случае сначала узнать mac получателя?
там в пакетах виден мак получателя и он не 0000000000

"свитчинг"
Отправлено ShyLion , 16-Окт-14 11:24

>> Поддержу, встречал тонну shdsl и vdsl модемов, которые весь трафик пересылали обратно,
>> образуя петлю.
> хм, у меня, конечно, кабельных модемов нет, но есть удалённый сегмент сети,
> дотянутый l2 через wan
>> Так же подобная ситуация возможна когда на роутере нет ARP записи о
>> хосте, для которого предназначается этот unicast трафик, в связи с чем
>> он шлет его бродкастом,
> А не должен он в таком случае сначала узнать mac получателя?
> там в пакетах виден мак получателя и он не 0000000000
Кто он? Коммутатор? А если хост назначения вообще траффик не генерит? Он не обязан.

"свитчинг"
Отправлено sergjack , 16-Окт-14 11:32

>
> Кто он? Коммутатор? А если хост назначения вообще траффик не генерит? Он
> не обязан.
маршрутизатор
хост назначения - концентратор vpn, на нём сотня клиентов висит. не мог свитч его забыть.

"свитчинг"
Отправлено ShyLion , 16-Окт-14 11:51

>>
>> Кто он? Коммутатор? А если хост назначения вообще траффик не генерит? Он
>> не обязан.
> маршрутизатор
> хост назначения - концентратор vpn, на нём сотня клиентов висит. не мог
> свитч его забыть.
Ты с топологией сперва определись. То, что на порту есть какой-то МАК еще не означает что в него нельзя форвардить unicast flood. Флуд идет по всем портам в вилане и транкам.

"свитчинг"
Отправлено sergjack , 16-Окт-14 12:08

> Ты с топологией сперва определись. То, что на порту есть какой-то МАК
> еще не означает что в него нельзя форвардить unicast flood. Флуд
> идет по всем портам в вилане и транкам.
так а зачем флудить если мак-то известен коммутатору?

"свитчинг"
Отправлено rusadmin , 16-Окт-14 12:45

>> Ты с топологией сперва определись. То, что на порту есть какой-то МАК
>> еще не означает что в него нельзя форвардить unicast flood. Флуд
>> идет по всем портам в вилане и транкам.
> так а зачем флудить если мак-то известен коммутатору?
Читаем теорию по коммутации.
По-проще написано в ниже в моем комменте

"свитчинг"
Отправлено ShyLion , 16-Окт-14 12:47

>> Ты с топологией сперва определись. То, что на порту есть какой-то МАК
>> еще не означает что в него нельзя форвардить unicast flood. Флуд
>> идет по всем портам в вилане и транкам.
> так а зачем флудить если мак-то известен коммутатору?
Чтобы понять что к чему, нужно правильно сформулировать вопросы.
В исходном сообщении, почему-то от другого пользователя, спрашивалось "Почему-то на этот порт поступает трафик, который не предназначен для этого хоста."
О том, что в таблице маков присутствует/отсутствует МАК назначения - ни слова. Телепаты в отпуске. Нагадать можно что угодно.

"свитчинг"
Отправлено rusadmin , 16-Окт-14 12:42

>> Поддержу, встречал тонну shdsl и vdsl модемов, которые весь трафик пересылали обратно,
>> образуя петлю.
> хм, у меня, конечно, кабельных модемов нет, но есть удалённый сегмент сети,
> дотянутый l2 через wan
>> Так же подобная ситуация возможна когда на роутере нет ARP записи о
>> хосте, для которого предназначается этот unicast трафик, в связи с чем
>> он шлет его бродкастом,
> А не должен он в таком случае сначала узнать mac получателя?
> там в пакетах виден мак получателя и он не 0000000000
а причем тут 0000000000?
Бродкаст выглядит в назначении FFFFFFFFFFFF
Да и внимательно читаем мой пункт №2, но разжую: если таблица коммутации полна и/или мак назначения отсутствует в оной - коммутатор НЕ МЕНЯЯ АДРЕС НАЗНАЧЕНИЯ В ПАКЕТЕ рассылает бродкастом пакет во все линки, кроме исходного (данное утверждение не справедливо для говнокоммутаторов типа телесинов да длинков)

"свитчинг"
Отправлено ShyLion , 16-Окт-14 13:10

> бродкастом пакет во все линки, кроме
правильный термин - флуд (flood)

"свитчинг"
Отправлено rusadmin , 16-Окт-14 13:18

>> бродкастом пакет во все линки, кроме
> правильный термин - флуд (flood)
К*в, те же яйца, вид сбоку;)

"свитчинг"
Отправлено vigogne , 16-Окт-14 12:26

>[оверквотинг удален]
> monitor session 1 source interface gi3/32
> monitor session 1 destination remote vlan 131
> В порт Gi3/32 включено оборудование с одним IP и одним mac адресом.
> Смотрю в wireshark.
> Почему-то на этот порт поступает трафик, который не предназначен для этого хоста.
> Не широковещательный, а обычный уникаст трафик между другими хостами.
> Причем периодами. То ничего нет, то вдруг посыпалось. До 40 мбит чужого
> трафика.
> Т.е. получается свитч работает как хаб.
> Почему так может происходить?
Может что-то подобное? http://habrahabr.ru/post/155265/
В любом случае, такое необходимо отлавливать и пресекать.

"свитчинг"
Отправлено Merridius , 17-Окт-14 00:30

>[оверквотинг удален]
>> В порт Gi3/32 включено оборудование с одним IP и одним mac адресом.
>> Смотрю в wireshark.
>> Почему-то на этот порт поступает трафик, который не предназначен для этого хоста.
>> Не широковещательный, а обычный уникаст трафик между другими хостами.
>> Причем периодами. То ничего нет, то вдруг посыпалось. До 40 мбит чужого
>> трафика.
>> Т.е. получается свитч работает как хаб.
>> Почему так может происходить?
> Может что-то подобное? http://habrahabr.ru/post/155265/
> В любом случае, такое необходимо отлавливать и пресекать.
Ответил же еще в первом сообщении, что это Unknown unicast flooding.
Причин может быть несколько, но вы действительно думаете, что на C6500 с любым супом быть коллизия хэшей? Это же сколько маков он в него вдувает тогда.

"свитчинг"
Отправлено vigogne , 17-Окт-14 08:22

>[оверквотинг удален]
>>> Причем периодами. То ничего нет, то вдруг посыпалось. До 40 мбит чужого
>>> трафика.
>>> Т.е. получается свитч работает как хаб.
>>> Почему так может происходить?
>> Может что-то подобное? http://habrahabr.ru/post/155265/
>> В любом случае, такое необходимо отлавливать и пресекать.
> Ответил же еще в первом сообщении, что это Unknown unicast flooding.
> Причин может быть несколько, но вы действительно думаете, что на C6500 с
> любым супом быть коллизия хэшей? Это же сколько маков он в
> него вдувает тогда.
Так коллизия хешей может быть и при полупустой MAC-таблице.

"свитчинг"
Отправлено sergjack , 17-Окт-14 09:54

>
> Ответил же еще в первом сообщении, что это Unknown unicast flooding.
> Причин может быть несколько
Поясните, пожалуйста, если я правильно понимаю значение слова unknown, это значит, что в мак таблице свитча не должно быть маков узлов получателей для которых сыпется трафик.
т.е. они должны по каким-то причинам пропасть.
Насколько я понял, для хоста, который постоянно активен это может быть, например, событие TC от spanning tree?
А, если, всё-таки, маки в таблице свитча есть, то какие еще могут быть причины?

"свитчинг"
Отправлено sergjack , 17-Окт-14 11:48

> А, если, всё-таки, маки в таблице свитча есть, то какие еще могут
> быть причины?
Похоже я разобрался.
У меня два бордера, которые смотрят внутренним интерфейсом в этот VLAN.
Имеет место ассиметричный роутинг. И как вы правильно подсказали это один из сценариев возникновения unknown unicast flood.
Привёл в соответствие arp timeout на роутерах к aging-time на свитчах и флуд пропал.
Всем спасибо.

"свитчинг"
Отправлено MACAddr , 20-Окт-14 05:53

>> А, если, всё-таки, маки в таблице свитча есть, то какие еще могут
>> быть причины?
> Похоже я разобрался.
> У меня два бордера, которые смотрят внутренним интерфейсом в этот VLAN.
> Имеет место ассиметричный роутинг. И как вы правильно подсказали это один из
> сценариев возникновения unknown unicast flood.
> Привёл в соответствие arp timeout на роутерах к aging-time на свитчах и
> флуд пропал.
> Всем спасибо.
скажите пожалуйста, к чему привели? agging time сделали 4 часа или arp timeout 5 минут?
или какой-то свой интервал подобрали одинаковый для agging и arp timeout?

"свитчинг"
Отправлено MACAddr , 20-Окт-14 05:54

ну, и если можно, то почему именно тот или иной вариант выбрали?

"свитчинг"
Отправлено sergjack , 20-Окт-14 09:40

> ну, и если можно, то почему именно тот или иной вариант выбрали?
сделал 5 минут арп на роутерах.
основная причина - свитчей много, а роутеров всего два.
сеть не высоконагруженная, чуть больше арпа никак не скажется.

"свитчинг"
Отправлено MACAddr , 20-Окт-14 11:07

>> ну, и если можно, то почему именно тот или иной вариант выбрали?
> сделал 5 минут арп на роутерах.
> основная причина - свитчей много, а роутеров всего два.
> сеть не высоконагруженная, чуть больше арпа никак не скажется.
спасибо за ответ.