Топология сети:
Есть сетка из 40 коммутаторов, в основном это HP 2510, HP 2524 , Cisco 2950, они разбиты на 3 здания и по топологии звезда подключены к коммутатору здания, коммутатором здания является Cisco 3550. Коммутаторы здания в свою очередь сходятся на коммутатор Cisco 3550, где порты работают в режиме access и находятся в одном влане, объединяя эти 3-и здания в одну сеть (конфига главного превести не могу, у меня нет прав).Проблема:
Пользуясь снифером Wireshark обнаружил, что на портах гуляет трафик с других машин, не весь а только небольшая часть, но если умножить это на 40 коммутаторов то получается, что по сетке гуляет прилично левого трафика.Вопрос:
Из-за чего может гулять левый трафик, как устранить или хотя бы локализовать проблему.Конфиги коммутаторов:
(хх - замена инфы, там все точно правильно)
(up-link в режиме access без настроек)
Cisco 2950:
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
!
enable secret 5 xxxxxxxxxxxxxxxxx
!
clock timezone Kiev 2
clock summer-time Kiev recurring last Sun Mar 2:00 last Sun Oct 2:00
ip subnet-zero
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!!
interface FastEthernet0/1
description SHUTDOWN
switchport mode access
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky хххх.хххх.хххх.хххх
shutdown
storm-control broadcast level 90.00
no cdp enable
spanning-tree portfast...
interface Vlan1
ip address xx.xx.xx.xx 255.255.252.0
no ip route-cache
!
ip default-gateway xx.xx.xx.xx
no ip http server
logging xx.xx.xx.xx
access-list 5 permit xx.xx.xx.0 0.0.0.255
access-list 5 permit xx.xx.xx.0 0.0.0.255
access-list 5 deny any
snmp-server community xxxxxxx RO!
line con 0
exec-timeout 0 0
line vty 0 4
access-class 5 in
exec-timeout 15 0
password xxxxxxxx
login
line vty 5 15
access-class 5 in
exec-timeout 15 0
password xxxxxxx
login
!
ntp clock-period 17179983
ntp server xx.xx.xx.xx
!
endНР 2510/2524:
Running configuration:
; J9019A Configuration Editor; Created on release #Q.11.17
time timezone 120
time daylight-time-rule Middle-Europe-and-Portugal
console inactivity-timer 10
no web-management
interface 1
name "SHUTDOWN"
broadcast-limit 10
exit,,,
interface 26
name "trk_sw2/2(cisco2950-24)"
exitip default-gateway xx.xx.xx.xx
sntp server xx.xx.xx.xx
timesync sntp
sntp unicast
sntp 30
logging xx.xx.xx.xx
snmp-server community "xxxxxxxx"
snmp-server enable traps authentication
vlan 1
name "DEFAULT_VLAN"
untagged 1-26
ip address xx.xx.xx.xx 255.255.252.0
exit
ip authorized-managers xx.xx.xx.0 255.255.255.0no stack
port-security 3 learn-mode static action send-alarm xxxxxxxxxxxxlldp admin-status 1-19,21-25 disable
no cdp enable 1-19,21-25
ip ssh
no tftp client
password manager
password operator
Cisco 3550 (коммутаторы здания)
version 12.1
no service pad
service timestamps debug uptime
service timestamps log datetime localtime
service password-encryption
service sequence-numbers
no service dhcp
!
!
logging console critical
enable secret 5 xxxxxxxxxxxxxxxxxx
enable password 7 xxxxxxxxxxxxxxxxxxx
!
username xxxxxx password 7 xxxxxxxxxxxxxxxxxx
clock timezone DNEPR 2
clock summer-time DNEPR recurring last Sun Mar 2:00 last Sun Oct 2:00
ip subnet-zero
ip routing
!
ip domain-list xxxxxxxxxxxxxxxxx
ip domain-name xxxxxxxxxxxxxxxx
ip name-server xx.xx.xx.xx
ip name-server xx.xx.xx.xx
!
spanning-tree mode pvst
spanning-tree extend system-id
!
!
interface FastEthernet0/1
description SHUTDOWN
switchport mode access
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky
shutdown
!....
interface FastEthernet0/14
switchport trunk encapsulation dot1q
switchport mode trunk
interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode accessinterface Vlan1
ip address xx.xx.xx.xx 255.255.252.0
!
interface Vlan2
ip address xx.xx.xx.xx 255.255.255.0
!
interface Vlan3
ip address xx.xx.xx.xx 255.255.255.224
shutdown!
ip default-gateway xx.xx.xx.xx
ip classless
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.xx
ip route xx.xx.xx.xx 255.255.255.224 xx.xx.xx.xx
no ip http server
!
logging trap debugging
logging facility local0
logging source-interface Vlan1
logging xx.xx.xx.xxaccess-list 1 permit xx.xx.xx.0 0.0.0.255
access-list 1 deny any
access-list 2 remark -- ntp sinhronizaciya
access-list 2 permit xx.xx.xx.xx
access-list 2 deny any
access-list 60 permit xx.xx.xx.xx
access-list 60 remark -- Zapret dostupa SNMP
access-list 60 deny any
snmp-server community xxxxxxxxx RO 60
snmp-server enable traps snmp authentication linkdown linkup coldstart
snmp-server enable traps config
snmp-server enable traps entity
snmp-server enable traps rtr
snmp-server enable traps port-security
snmp-server enable traps vtp
snmp-server enable traps syslog
snmp-server host xx.xx.xx.xx xxxxxxxxx
!
line con 0
exec-timeout 0 0
line vty 0 4
access-class 1 in
exec-timeout 15 0
password 7 xxxxxxxxxxxxxxxxx
login
line vty 5 15
exec-timeout 15 0
password 7 xxxxxxxxxxxxxxxxx
login
transport input none
!
ntp clock-period 17180577
ntp access-group peer 2
ntp server xx.xx.xx.xx
!
1. А правда это трафик левый?
2. Нужно Нарисовать (в visio, а лучше в dia) схему сети, указать на ней виланы, транковые порты, ip-адресаСхему нарисуешь, станет понятнее что и где, глядишь в процессе и найдется то место где аксессые порты разных виланов стыкуются ;)
>1. А правда это трафик левый?
>2. Нужно Нарисовать (в visio, а лучше в dia) схему сети, указать
>на ней виланы, транковые порты, ip-адреса
>
>Схему нарисуешь, станет понятнее что и где, глядишь в процессе и найдется
>то место где аксессые порты разных виланов стыкуются ;)Схема до боли простая, топология звезда (к главному коммутатору подключены 3 коммутатора зданий, а от них в свою очередь подключены все остальные)
Вланы которые в кофиге одного из коммутаторов здания это служебные сети и они дальше этого коммутатора не пробрасываются, все остальные хосты находятся в одном влане
>[оверквотинг удален]
>звезда подключены к коммутатору здания, коммутатором здания является Cisco 3550. Коммутаторы
>здания в свою очередь сходятся на коммутатор Cisco 3550, где порты
>работают в режиме access и находятся в одном влане, объединяя эти
>3-и здания в одну сеть (конфига главного превести не могу, у
>меня нет прав).
>
>Проблема:
>Пользуясь снифером Wireshark обнаружил, что на портах гуляет трафик с других машин,
>не весь а только небольшая часть, но если умножить это на
>40 коммутаторов то получается, что по сетке гуляет прилично левого трафика.Учи мат.часть.
Если свитч не знает на каком порту находится хост, он форвардит фреймы на все порты кроме того откуда фрейм принят.ЗЫ: 40 коммутаторов - это слишком. Необходимо сегментировать сеть и роутить. Возможно что переполняется таблица MAC адресов на коммктаторах. Сколько хостов в сети?
>[оверквотинг удален]
>>не весь а только небольшая часть, но если умножить это на
>>40 коммутаторов то получается, что по сетке гуляет прилично левого трафика.
>
>Учи мат.часть.
>Если свитч не знает на каком порту находится хост, он форвардит фреймы
>на все порты кроме того откуда фрейм принят.
>
>ЗЫ: 40 коммутаторов - это слишком. Необходимо сегментировать сеть и роутить. Возможно
>что переполняется таблица MAC адресов на коммктаторах. Сколько хостов в сети?
>1. На сколько мне известно, то коммутатор заполняет ARP таблицу с помощью ARP-запросов, получая на них ответы, а не кидает проходящий по коммутатору трафик на все порты. От чужих машин ты можешь на своем порту видеть бродкасты, а я вижу на порту часть пакетов передающих от машины А к машине В
2. Возможно ты не читал характеристики коммутаторов, у них таблицы мак-адресов по 8000 , а на 3550 вроде 16 тыс., так, что переполнится она не могла, да и я эту гипотезу уже проверил, а атаку на свичи с помощью изменения мака провести невозможно, т. к. настроен port-security
3. И 40 коммутаторов это не много, вся сеть насчитывает больше 250 коммутаторов, и они сегментированы и между ними стоит ряд маршрутизаторов объединяющих всю сеть в кольцо, а это самая большая локация, в ней насчитывается 750 хостов.На других локациях такой проблемы нет, на портах только трафик той машины, которая за ним стоит
>1. На сколько мне известно, то коммутатор заполняет ARP таблицу с помощью
>ARP-запросов, получая на них ответыУ тебя в корне неверная информация. Протокол ARP никоим образом напрямую свичем не используется для целей форвардинга. Только если ему самому надо с кем-то по IP связаться. ARP это часть IP стека.
>На других локациях такой проблемы нет, на портах только трафик той машины, которая за ним стоит
Ты просто или не туда смотрел, или не в режиме promisc, или недостаточно долго.
Еще раз повторю: если у свича в таблице маков нет мака назначения, он рассылает фрейм во ВСЕ порты.
>[оверквотинг удален]
>не используется для целей форвардинга. Только если ему самому надо с
>кем-то по IP связаться. ARP это часть IP стека.
>
>>На других локациях такой проблемы нет, на портах только трафик той машины, которая за ним стоит
>
>Ты просто или не туда смотрел, или не в режиме promisc, или
>недостаточно долго.
>
>Еще раз повторю: если у свича в таблице маков нет мака назначения,
>он рассылает фрейм во ВСЕ порты.А разве не во все порты, относящиеся только к конкретной вилан?
p.s. особо не вникал в суть вопроса, просто фраза насторожила...
>А разве не во все порты, относящиеся только к конкретной вилан?
>p.s. особо не вникал в суть вопроса, просто фраза насторожила...да, конечно, я упростил
>>А разве не во все порты, относящиеся только к конкретной вилан?
>>p.s. особо не вникал в суть вопроса, просто фраза насторожила...
>
>да, конечно, я упростилИли я чего-то не понимаю или вы тупите. Вот инфа с разных сайтов
Полностью порядок преобразования адресов выглядит так:1. По сети передается широковещательный ARP-запрос.
2. Исходящий IP-пакет ставится в очередь.
3. Возвращается ARP-ответ, содержащий информацию о соответствии IP- и Ethernet-адресов. Эта информация заносится в ARP-таблицу.
4. Для преобразования IP-адреса в Ethernet-адрес у IP-пакета, постав ленного в очередь, используется ARP-таблица.
5. Ethernet-кадр передается по сети Ethernet.Вот ссылки:
http://www.mark-itt.ru/FWO/tcpip/arp.html
http://book.itep.ru/4/44/arp_446.htm
http://docstore.mik.ua/tcpip/arp.htm
еще таких многот. е. привожу пример:
Например у нас сеть 192.168.10.0 255.255.255.0
Машина А: 192.168.10.5 (к примеру моя машина)
Машина В: 192.168.10.6
Машина С: 192.168.10.7
Бродкаст: 192.168.10.255Как я понимаю АРП протокол, то хост если у него нет записи в АРП-таблице должен рассылать всем пакеты по бродкасту т. е. 192.168.10.255
тогда если я буду смотреть с помощью снифера (Wireshark) свой канал на машине 192.168.10.5 я буду видеть картину:
Source: Destination:
192.168.10.6 192.168.10.255
192.168.10.7 192.168.10.255
192.168.10.255 192.168.10.5
и это нормально, а у меня на порту я вижу трафик с следующими параметрами это на хосте 192.168.10.5
Source: Destination: Type
192.168.10.6 192.168.10.7 UDP
192.168.10.7 192.168.10.6 HTTP
192.168.10.7 10.20.140.56 HTTP (или вообще адрес из внешней сети)
и это не правильно.Сразу говорю порт не настроен не на мониторинг не на mirror
>[оверквотинг удален]
>192.168.10.6 192.168.10.7
> UDP
>192.168.10.7 192.168.10.6
> HTTP
>192.168.10.7 10.20.140.56
> HTTP (или вообще адрес из внешней
>сети)
>и это не правильно.
>
>Сразу говорю порт не настроен не на мониторинг не на mirrorУважаемый. Ты путаешь arp таблицу на хосте с таблицей mac на коммутаторе.
Знаешь, если в твоем примере, на хосте 192.168.10.7 будет просто включен интерфейс (можно даже и без кабеля) с ip из сети 10.20.140.0, то мусор может в сети возникнуть..
>
>Уважаемый. Ты путаешь arp таблицу на хосте с таблицей mac на коммутаторе.
>
>Знаешь, если в твоем примере, на хосте 192.168.10.7 будет просто включен интерфейс
>(можно даже и без кабеля) с ip из сети 10.20.140.0, то
>мусор может в сети возникнуть..Выше приводили пример, что мол коммутатор шлет проходящие по нему фреймы на все порты коммутатора, заполняя свою арп-таблицу записью, которой в ней нет.
Я с этим не согласился, т. к. в этом случае, по моему мнению коммутатор разошлет широковещательный (бродкаст) АРП-запрос, а это не тоже самое, что кидать фреймы проходящие по нему на все порты.
>Выше приводили пример, что мол коммутатор шлет проходящие по нему фреймы на
>все порты коммутатора, заполняя свою арп-таблицу записью, которой в ней нет.выше говорили, что коммутатор разошлет фрейм во все порты, если destination адреса нет в таблице форвардинга.
а arp таблицы у огромного количества неуправляемых коммутаторов нет вообще
у них есть forwarding table, куда они записывают (и обновляют таймеры по существующим записям) соответствие source адреса и порта, принявшего фрейм.
>Я с этим не согласился, т. к. в этом случае, по моему
>мнению коммутатор разошлет широковещательный (бродкаст) АРП-запрос, а это не тоже самое,
>что кидать фреймы проходящие по нему на все порты.ARP это часть протокола IP, еще раз повторю, многие коммутаторы понятия не имеют о протоколе IP, им это не зачем, они на 2 уровне работают.
>Или я чего-то не понимаю или вы тупите. Вот инфа с разных
>сайтов
>Полностью порядок преобразования адресов выглядит так::-х
Пожалуйста, если, что-то комментируете приводите ссылки на источники: книги, интернет-ссылки, т. к. манера изъяснятся у всех разная, иногда тяжело понять, что подразумевает тот или иной автор
>Пожалуйста, если, что-то комментируете приводите ссылки на источники: книги, интернет-ссылки, т. к.
>манера изъяснятся у всех разная, иногда тяжело понять, что подразумевает тот
>или иной авторКурс ICND вас устроит? Достаточно авторитетный источник?
Вас уже просили нарисовать рисунок сети, с указанием устройств, виланов и адресации в ней.
Лично я, например, прочитав все, так и не понял о каком левом трафике идет речь.
Единственное что я понял - это то, что есть 4 коммутатора 3-го уровня 3550, на которых, видимо, включена опция ip routing, и которые соединяются в звезду между собой. К 3-м из них подключаются коммутаторы 2-го уровня. А вот в каком месте обнаруживается "левый" трафик и из какого сегмента сети он, по Вашему, приходит, Вы так и не сказали. Да и без рисунка сети понять это будет трудно.
Теперь что касается широковещания. Компьютер, который хоть послать пакет, зная ip-адрес, должен указать в нем mac-адрес получателя, для этого он посылает широковещательный ARP-запрос, который распространиться по всему сегменту сети до коммутатора 3-го уровня, который по умолчанию не пропустит широковещание дальше. При этом это широковещание будет идти внутри сегмента внутри соответствующей вилан, если таковая вообще существует на свичах.
>Вас уже просили нарисовать рисунок сети, с указанием устройств, виланов и адресации
>в ней.
>Лично я, например, прочитав все, так и не понял о каком левом
>трафике идет речь.
>Единственное что я понял - это то, что есть 4 коммутатора 3-го
>уровня 3550, на которых, видимо, включена опция ip routing, и которые
>соединяются в звезду между собой. К 3-м из них подключаются коммутаторыВсе правильно вы поняли, только опция ip routing включена для маршрута по умолчаанию (направлен на главный коммутатор 3550, к которому подключены 3-и здания) и 2-х сервисных вланов, никакой маршрутизации между 3-я зданиями нет, это одна громадная сетка.
Ниже привожу схему сети
http://www.letitbit.ru/files/35974/shema.rarна схеме вместо HP 2824 реально стоят циски 3550, это схема из проекта модернизации.
Пунктиром обозначены границы здания.
Все коммутаторы, соответственно все хосты (повторяю еще раз) находятся в одном влане
и ТОЛЬКО НА 1 КОММУТАТОРЕ 3550 стоит 2-а дополнительных влана для сервисных сетей на нем же прописаны маршруты от них, дальше ЭТОГО коммутатора они не куда не идут, все остальные хосты из 3-х здания в одном влане 1 по умолчанию.>2-го уровня. А вот в каком месте обнаруживается "левый" трафик и
>из какого сегмента сети он, по Вашему, приходит, Вы так и
>не сказали. Да и без рисунка сети понять это будет трудно.Левый трафик я вижу на любом порту, любого коммутатора из этих 3-х зданий, делал замеры. Везде ситуация одинаковая. Т. е. я из одного здания находясь на своем коммутаторе могу видеть небольшую часть пакетов (различных протоколов UDP, HTTP ...) машины находящийся в совершенно другом здании.
P.S. разбить сетку и включить роутинг не представляется возможным, т. к. нужно оформить кучу бумажек через вышестоящее руководство и поменять айпишники в 2-х зданиях а это порядка 400-500 хостов, этого никто не даст сделать.
Сети подобных размеров есть еще в нескольких городах, связывался с коллегами они высылали образы с снифера, у них такой проблемы нет.
>Все коммутаторы, соответственно все хосты (повторяю еще раз) находятся в одном влане
>и ТОЛЬКО НА 1 КОММУТАТОРЕ 3550 стоит 2-а дополнительных влана для сервисных
>сетей на нем же прописаны маршруты от них, дальше ЭТОГО коммутатора
>они не куда не идут, все остальные хосты из 3-х здания
>в одном влане 1 по умолчанию.
>Левый трафик я вижу на любом порту, любого коммутатора из этих 3-х
>зданий, делал замеры. Везде ситуация одинаковая. Т. е. я из одного
>здания находясь на своем коммутаторе могу видеть небольшую часть пакетов (различных
>протоколов UDP, HTTP ...) машины находящийся в совершенно другом здании.Это НОРМАЛЬНО. Прочтите ЛЮБУЮ книгу по функционированию коммутаторов, посетите курс ICND или ознакомьтесь с любым CCNA Study Guide, в интернете их полно.
>Сети подобных размеров есть еще в нескольких городах, связывался с коллегами они
>высылали образы с снифера, у них такой проблемы нет.Еще раз повторяю, коллеги ваши либо не в promisc mode трафик смотрят, либо недостаточно долго.
Вот как эта опция выглядит в WireShark: http://s60.radikal.ru/i169/1004/f4/2509aa64564b.pngЕще возможно, что у коллеги сетевая карта или ее драйвер не умеют работать в этом режиме. Хотя такое сейчас редкость.
>[оверквотинг удален]
>зданий, делал замеры. Везде ситуация одинаковая. Т. е. я из одного
>здания находясь на своем коммутаторе могу видеть небольшую часть пакетов (различных
>протоколов UDP, HTTP ...) машины находящийся в совершенно другом здании.
>
>P.S. разбить сетку и включить роутинг не представляется возможным, т. к. нужно
>оформить кучу бумажек через вышестоящее руководство и поменять айпишники в 2-х
>зданиях а это порядка 400-500 хостов, этого никто не даст сделать.
>
>Сети подобных размеров есть еще в нескольких городах, связывался с коллегами они
>высылали образы с снифера, у них такой проблемы нет.А Вы не могли бы переконвертировать формат .vsd во что-нибудь читабельное? Просто мне формат визио в линуксе без бубна не открыть, а заморачиваться сильно не хочется...
Хорошо, допустим у Вас единая сеть и широковещание (любое) бегает по всей сети, т.е. между всеми 3-мя зданиями. Так что Вы хотите в итоге то получить? Ограничить вообще всю связь между зданиями (раз вы называете любой трафик из другого здания "левым") или что Вы хотите получить то?
>получить то?гражданин наблюдает НЕ-броадкаст пакеты, адресованые хосту, который живет на другом порту
Сетка была в очень запущенном состоянии, когда мы приняли ее на обслуживании, мониторинг никто не проводил и соответственно порядок тоже никто не наводил.
Кому интересно оказалось:
1. Сервера с NLB кластерами (почему они это делают так и не разобрался, но они как-то нехорошо формируют пакеты, что при явно заданном destination (пункте назначения) коммутаторы все равно воспринимают их как бродкасты.) Выделил в отдельный влан, а проходя через циску 7609 они там режуться
2. FreeBSD машины с поднятыми виртуалками, таких оказалось 3, отрубил от сетки
3. Еще было 5 машин с поднятыми виртуалками и разным сетевым софтом, снес все нафигВ итоге как и должно быть на портах только трафик конкретных машин и бродкасты
>разобрался, но они как-то нехорошо формируют пакеты, что при явно заданном
>destination (пункте назначения) коммутаторы все равно воспринимают их как бродкасты.)И какой же этот destination?
>Выделил в отдельный влан, а проходя через циску 7609 они там режуТСЯ
Если в 7600 есть DFC-шные карты, включите mac-sync.
>Сетка была в очень запущенном состоянии, когда мы приняли ее на обслуживании,
>мониторинг никто не проводил и соответственно порядок тоже никто не наводил.
>
>Кому интересно оказалось:
>1. Сервера с NLB кластерами (почему они это делают так и не
>разобрался, но они как-то нехорошо формируют пакеты, что при явно заданном
>destination (пункте назначения) коммутаторы все равно воспринимают их как бродкасты.) Выделил
>в отдельный влан, а проходя через циску 7609 они там режуться
>Сейчас точно не помню (на микрософте кажется попадалось описание работы NLB), вот оно кажется именно только так и работает - це ж мелкософт... :)
Поэтому от NLB мы отказались...
>В итоге как и должно быть на портах только трафик конкретных машин
>и бродкастыХочешь фокус?
на машине, которая ловила "левые" пакеты запускаешь WireShark.
На виртуальной машине ваершарк запускать бесполезно, ее трафик фильтруется гипервизором.Включаешь капчу, ставишь фильтр eth.dst == 00:0c:11:11:11:11
далее, на любой другой машине в то-же вилане
если винда
arp -s x.x.x.x 00-0c-11-11-11-11если юникс-подобное
arp -s x.x.x.x 00:0c:11:11:11:11где x.x.x.x любой свободный IP из сети, в которой хосты в этом вилане
дальше делаешь ping x.x.x.x и смотришь капчу на машине с ваершарком и удивляешься
можешь показать этот фокус своим коллегам, а потом пойти за книжкой в магазин.
>[оверквотинг удален]
>arp -s x.x.x.x 00:0c:11:11:11:11
>
>где x.x.x.x любой свободный IP из сети, в которой хосты в этом
>вилане
>
>дальше делаешь ping x.x.x.x и смотришь капчу на машине с ваершарком и
>удивляешься
>
>можешь показать этот фокус своим коллегам, а потом пойти за книжкой в
>магазин.то что ты говоришь это не фокус а атака называемая ARP spoofing.
А Виншарк я запуская не на виртуальной машине, а виртуальная машина запущенная на удаленном хосте генерит трафик, который воспринимается как бродкасты.
>то что ты говоришь это не фокус а атака называемая ARP spoofing.Серьезно говорю, почитай литературу, уже не смешно.
Вот тебе выдержка из Sybex CCNA Study Guide:
http://s40.radikal.ru/i089/1004/c7/11c9ec4394c4.pngНа каталистах aging timeout 300 секунд. Если от хоста нет трафика, что через 300 секунд свитч его мак забывает и предназначеные ему пакеты флудит во все порты, пока не увидит от него обратный фрейм. Такие ситуации вполне нормальны. "Победить" это ты никак не сможешь, максимум что можно сделать - увеличить таймаут до предельных величин.
>>то что ты говоришь это не фокус а атака называемая ARP spoofing.("Пациент скорее мёртв, чем жив.")
Не надо, не читайте никаких книжек от этого одни проблемы.>"Победить" это ты никак не сможешь, максимум
>что можно сделать - увеличить таймаут до предельных величин.Ну, почему же...
Вот тут http://www.opennet.me/openforum/vsluhforumID6/20886.html
один "победил" ;-)
>А Виншарк я запуская не на виртуальной машине, а виртуальная машина запущенная
>на удаленном хосте генерит трафик, который воспринимается как бродкасты.Трафик не может "восприниматься как бродкасты". Либо все биты в адресе назначения выставлены, либо нет.
для HP - не знаю, а для cisco:conf t
mac- ag 86400
inter ra fa 0/1 - 24
sw bl uniесть такая возможность, что на 48мипортовых блок не будет работать, если эта фишка присуща только enhanced образу, проверить не могу, а feature navigator говорит что 2950 вообще этого не умеет. Команда на нём такая есть, может она просто не работает?
>inter ra fa 0/1 - 24
>sw bl uni
> Команда на нём такая есть, может она просто не работает?Вы понимаете ЧТО советуете?
>>inter ra fa 0/1 - 24
>>sw bl uni
>> Команда на нём такая есть, может она просто не работает?
>
>Вы понимаете ЧТО советуете?поднять время хранения записей в таблице коммутации и запретить коммутатору распространять кадры для неизвестных мак-адресов в направлении пользователей. На порты используемые для соединения коммутаторов эту настройку растягивать не стоит, да.
>запретить коммутатору распространять кадры
>для неизвестных мак-адресов в направлении пользователей.Выше была дана ссылка на другое обсуждение. Сходите почитайте к чему это приводит.
>>запретить коммутатору распространять кадры
>>для неизвестных мак-адресов в направлении пользователей.
>
>Выше была дана ссылка на другое обсуждение. Сходите почитайте к чему это
>приводит.Берешь сниффер, ловишь левый кадр. Смотришь мак адрес отправителя, ищешь на свитче порт. Порт ложишь ;)
Дабы небыло подобных эксцессов более, настрой port-security.
"Всё чудесатее и чудесатее" (с)
Предложение spunky реализованное "как есть" нерационально, но для стендовых испытаний сойдёт.Ваше -- совершенно мимо денег. Нету там "левых" кадров.
>>запретить коммутатору распространять кадры
>>для неизвестных мак-адресов в направлении пользователей.
>
>Выше была дана ссылка на другое обсуждение. Сходите почитайте к чему это
>приводит.Смело предположил, что у ТС-а мало *nix-машин, которые в основном и способны создать подобную проблему за счёт своей молчаливости, плюс повышение времени хранения записи в таблице коммутации несколько оградит от подобных проблем (хотя, да - суток пожалуй маловато).
>(хотя, да - суток пожалуй маловато).Достаточно 4х часов с мелочью.
