Здравствуйте!
Имеется следующая схема:
Router 2811 - Catalyst 2960 - точка доступа Wi-Fi (Linksys, модель не знаю) - LAN клиента (по sh arp вижу порядка 20 хостов, подключающиеся по вайфаю).
Под моим управлением находятся только роутер и свитч. С некоторого времени появилась проблема, на 11-й порт свитча (куда и подключен вай-фай модем) постоянно приходят бродкасты и мультикасты (периодичность - 2-3 в секунду), которые очень влияют на качество работы оборудования. Причем ночью и в обеденное время бродкасты и мультикасты прекращаются. Из этого я сделал вывод, что какой-то из хостов или завирусован, или гоняет какие-то игры, или ещё чего. Физическое передергивание порта на каталисте давало лишь кратковременный эффект.
Я прописал на порту:
storm-control broadcast 20
storm-control multicast 20
Ситуация значительно улучшилась, потери пакетов почти нет, правда в sh interf fa0/11 накапливание бродкастов и мультикастов не прекратилось и в sh storm-control в поле current стоит 0%. Так и должно быть?
Теперь задача стоит в том, чтобы идентифицировать хост, рассылающий бродкасты. Проблема в том, что каталист географически расположен очень далеко и админа там вменяемого нет, который смог бы тем же wireshark'ом посмотреть, что твориться. Можно ли как-то, имея в арсенале только роутер и свич, идентифицировать бродкастера?
Версия IOS на каталисте 12.2(50)SE5
>[оверквотинг удален]
> storm-control multicast 20
> Ситуация значительно улучшилась, потери пакетов почти нет, правда в sh interf fa0/11
> накапливание бродкастов и мультикастов не прекратилось и в sh storm-control в
> поле current стоит 0%. Так и должно быть?
> Теперь задача стоит в том, чтобы идентифицировать хост, рассылающий бродкасты. Проблема
> в том, что каталист географически расположен очень далеко и админа там
> вменяемого нет, который смог бы тем же wireshark'ом посмотреть, что твориться.
> Можно ли как-то, имея в арсенале только роутер и свич, идентифицировать
> бродкастера?
> Версия IOS на каталисте 12.2(50)SE5Через L2tpv3 как eth over IP догоняете через 2811 нужный влан к себе и смотрите, чтотам бегает.
Мультикаст можно попробовать вообще запретить...
>>[оверквотинг удален]
>> Теперь задача стоит в том, чтобы идентифицировать хост, рассылающий бродкасты. Проблема
>> в том, что каталист географически расположен очень далеко и админа там
>> вменяемого нет, который смог бы тем же wireshark'ом посмотреть, что твориться.
>> Можно ли как-то, имея в арсенале только роутер и свич, идентифицировать
>> бродкастера?
>> Версия IOS на каталисте 12.2(50)SE5
> Через L2tpv3 как eth over IP догоняете через 2811 нужный влан к
> себе и смотрите, чтотам бегает.
> Мультикаст можно попробовать вообще запретить...то есть если клиенту канал отдается по vlan 5, то мне нужно на том же подынтерфейсе с 5-ым виланом начать конфигурирование? или можно как-то другим виланом пробросить? и ещё, до нашего офиса всё бежит по mpls, нужны ли в этом плане какие-то дополнительные настройки и не будет ли какого-либо конфликта с mpls сетью? сильно не ругайтесь, а то раньше я про l2tpv3 разве что отдаленно слышал... может есть какой-нить пример конфигурации?
>[оверквотинг удален]
>> Через L2tpv3 как eth over IP догоняете через 2811 нужный влан к
>> себе и смотрите, чтотам бегает.
>> Мультикаст можно попробовать вообще запретить...
> то есть если клиенту канал отдается по vlan 5, то мне нужно
> на том же подынтерфейсе с 5-ым виланом начать конфигурирование? или можно
> как-то другим виланом пробросить? и ещё, до нашего офиса всё бежит
> по mpls, нужны ли в этом плане какие-то дополнительные настройки и
> не будет ли какого-либо конфликта с mpls сетью? сильно не ругайтесь,
> а то раньше я про l2tpv3 разве что отдаленно слышал... может
> есть какой-нить пример конфигурации?int loop 1
ip add 192.168.1.1 255.255.255.255pseudowire-class TST_1
encapsulation l2tpv3
protocol none
ip local interface Loopback1interface GigabitEthernet0/0.410
description TRS_01
encapsulation dot1Q 410
no cdp enable
xconnect 192.168.1.2 4100096 encapsulation l2tpv3 manual pw-class TST_1
l2tp id 410 96
l2tp cookie local 4 4100096
l2tp cookie remote 4 960410
l2tp hello l2tp-defaults
вторая циска
int loop 1
ip add 192.168.1.2 255.255.255.255pseudowire-class TST_1
encapsulation l2tpv3
protocol none
ip local interface Loopback1interface GigabitEthernet0/0.96
description TRS_01
encapsulation dot1Q 96
no cdp enable
xconnect 192.168.1.1 960410 encapsulation l2tpv3 manual pw-class TST_1
l2tp id 96 410
l2tp cookie local 4 960410
l2tp cookie remote 4 4100096
l2tp hello l2tp-defaults
410-й влан с одной циски перебрасывается поверх IP в 96-й на другой циске.
>>[оверквотинг удален]
> 410-й влан с одной циски перебрасывается поверх IP в 96-й на другой
> циске.благодарю. в понедельник буду пробовать
>[оверквотинг удален]
>> поле current стоит 0%. Так и должно быть?
>> Теперь задача стоит в том, чтобы идентифицировать хост, рассылающий бродкасты. Проблема
>> в том, что каталист географически расположен очень далеко и админа там
>> вменяемого нет, который смог бы тем же wireshark'ом посмотреть, что твориться.
>> Можно ли как-то, имея в арсенале только роутер и свич, идентифицировать
>> бродкастера?
>> Версия IOS на каталисте 12.2(50)SE5
> Через L2tpv3 как eth over IP догоняете через 2811 нужный влан к
> себе и смотрите, чтотам бегает.
> Мультикаст можно попробовать вообще запретить...Сорри, если вопрос глупый. Но что мешает посмотреть на роутере? Броудкаст то до него должен долетать...
>[оверквотинг удален]
>>> в том, что каталист географически расположен очень далеко и админа там
>>> вменяемого нет, который смог бы тем же wireshark'ом посмотреть, что твориться.
>>> Можно ли как-то, имея в арсенале только роутер и свич, идентифицировать
>>> бродкастера?
>>> Версия IOS на каталисте 12.2(50)SE5
>> Через L2tpv3 как eth over IP догоняете через 2811 нужный влан к
>> себе и смотрите, чтотам бегает.
>> Мультикаст можно попробовать вообще запретить...
> Сорри, если вопрос глупый. Но что мешает посмотреть на роутере? Броудкаст то
> до него должен долетать...tcpdump вроде как гораздо гибче сиськиного дебага, кроме того дебагом можно запросто уложить железку "на лопатки".
> Сорри, если вопрос глупый. Но что мешает посмотреть на роутере? Броудкаст то
> до него должен долетать...бродкаст-то долетает, а как хост идентифицировать? sh arp не вариант
>> Сорри, если вопрос глупый. Но что мешает посмотреть на роутере? Броудкаст то
>> до него должен долетать...
> бродкаст-то долетает, а как хост идентифицировать? sh arp не вариантclass-map match-any KOZEL
match source-address mac 1111.1111.1111
match source-address mac 2222.2222.2222
<Перечисляем ВСЕ маки из нужного ВЛАН-а, маки берем с коммутатора в который ключен роутер>
policy-map OTSTREL
class KOZELint fas0/0.<VLAN>
service-policy in OTSTRELsh policy-map OTSTREL int fas0/0.<VLAN> input
и смотрим где как счетчики тикают...
>> Сорри, если вопрос глупый. Но что мешает посмотреть на роутере? Броудкаст то
>> до него должен долетать...
> бродкаст-то долетает, а как хост идентифицировать? sh arp не вариантНу хост же когда отправляет броадкаст, он же свой сорс ставит! Хотите мак- смотрите арп!
Единственный момент, как тут правильно заметили, debug ip packet может положить роутер. Если роутер далеко- я бы не стал так делать...
Если порт точки доступа не в отдельном VLAN - засунуть ее в него. Настроит на этом порту ip dhcp snooping + arp inspection + ip source guard. С помощью ACL на порту коммутатора запретить не нужные мультикасты и т.д. (если не lan lite - он умеет это).debug ip packet xxx - где xxx - ACL описывающий интересующий трафик.
Настраивать RSPAN через VPN - занятие сомнительное. И зачем L2TP - если mpls есть? может тогда EoMPLS ? :) Проще к любому компу на месте по rdp подключиться.
> Если порт точки доступа не в отдельном VLAN - засунуть ее в
> него. Настроит на этом порту ip dhcp snooping + arp inspection
> + ip source guard. С помощью ACL на порту коммутатора
> запретить не нужные мультикасты и т.д. (если не lan lite -
> он умеет это).
> debug ip packet xxx - где xxx - ACL описывающий интересующий трафик.1 тыс PPSов, попадающая в ваш дебаг убьет 2811 почти насмерть, та же 1 тыс запихнутая в L2TPv3 нагрузки безусловно добавит, но шансы на выжывание железки бедет выше.
Кроме того - цель какраз и определить "интересующий трафик" ;)
еще момент - снифером я могу скинуть траф в файл, и затем крутить его и так и эдак, кошка этого не умеет (но это так - лирика)
> Настраивать RSPAN через VPN - занятие сомнительное. И зачем L2TP
> - если mpls есть? может тогда EoMPLS ? :) Проще
> к любому компу на месте по rdp подключиться.там выше сказано, что у них уже мплс... Ео_мплс через мплс занятие более, чем сомнительное.
> Если порт точки доступа не в отдельном VLAN - засунуть ее в
> него. Настроит на этом порту ip dhcp snooping + arp inspection
> + ip source guard. С помощью ACL на порту коммутатора
> запретить не нужные мультикасты и т.д. (если не lan lite -
> он умеет это).
> debug ip packet xxx - где xxx - ACL описывающий интересующий трафик.
> Настраивать RSPAN через VPN - занятие сомнительное. И зачем L2TP
> - если mpls есть? может тогда EoMPLS ? :) Проще
> к любому компу на месте по rdp подключиться.спасиб, про EoMPLS тоже думал... начальство пока дало "стоп", мол "работает - не трогай"