Есть Catalyst 3560  , в него включено последовательно несколько свитчей Л2, и в конечном итоге клиент на 1000 мбит.с. Время от времени от клиента начинается флуд\атака, при которой цпу Каталисті прігает до 100% , что в свою очередь откладівает последсвтия на всю сеть и остальные объекты, доступ к которым начинает пропадать. Отключение порта на клиентском оборудовании дает знать что атака происходит от именно этого клиента.
Но понять в чем именно проблема, так и не удалось.. либо сетевая карта , которая начинает отражать входящий траффик, тем самым создавая петлю, либо намеряный флуд, либо вирусная атака, хотя при мониторинге tcpdump на интренет-шлюзе , ничего внеземного не обнаружилось... Исходя из этого я полагаю что флуд не выходит за границы сети... а распространяется в ней.

При чем во время загрузки Каталисты, загрузка всех транзитных свитчей, и свитча куда клиент включен, в норме.
Все оборудование в одной ВЛАНе, клиент в другой.  Клиент по 30/ , айпи у него на ПК, и tuj шлюз на Catalyst3560.

Если на Циске ввести команду - #spanning-tree loopguard default , это защитит от петли кривой клиентской сетевой ? Так же интересует, как правильно включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции.

• Catalyst 3560 , загрузка под 100% из-за клиента.,andrew_s, 15:15 , 14-Апр-13
  • Catalyst 3560 , загрузка под 100% из-за клиента.,TrEK, 15:59 , 14-Апр-13
    • Catalyst 3560 , загрузка под 100% из-за клиента.,anonymous, 16:03 , 14-Апр-13
      • Catalyst 3560 , загрузка под 100% из-за клиента.,TrEK, 22:43 , 14-Апр-13
    • Catalyst 3560 , загрузка под 100% из-за клиента.,andrew_s, 19:04 , 14-Апр-13
• Catalyst 3560 , загрузка под 100% из-за клиента.,Mr. Mistoffelees, 16:44 , 15-Апр-13
  • Catalyst 3560 , загрузка под 100% из-за клиента.,TrEK, 17:01 , 15-Апр-13

>[оверквотинг удален]
> карта , которая начинает отражать входящий траффик, тем самым создавая петлю,
> либо намеряный флуд, либо вирусная атака, хотя при мониторинге tcpdump на
> интренет-шлюзе , ничего внеземного не обнаружилось... Исходя из этого я полагаю
> что флуд не выходит за границы сети... а распространяется в ней.
> При чем во время загрузки Каталисты, загрузка всех транзитных свитчей, и свитча
> куда клиент включен, в норме.
> Все оборудование в одной ВЛАНе, клиент в другой.  Клиент по 30/
> , айпи у него на ПК, и tuj шлюз на Catalyst3560.
> Если на Циске ввести команду - #spanning-tree loopguard default , это защитит
> от петли кривой клиентской сетевой ?

нет
нужен rstp на свиче доступа
> включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции.

в общем, всё делается на свиче доступа l2 - storm control, acl и т.д.

>[оверквотинг удален]
>> куда клиент включен, в норме.
>> Все оборудование в одной ВЛАНе, клиент в другой.  Клиент по 30/
>> , айпи у него на ПК, и tuj шлюз на Catalyst3560.
>> Если на Циске ввести команду - #spanning-tree loopguard default , это защитит
>> от петли кривой клиентской сетевой ?
> нет
> нужен rstp на свиче доступа
>> включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции.
> в общем, всё делается на свиче доступа l2 - storm control, acl
> и т.д.

Тобишь мне это все надо отсекать еще до того, как оно попадет в ядро ?....

>[оверквотинг удален]
>>> , айпи у него на ПК, и tuj шлюз на Catalyst3560.
>>> Если на Циске ввести команду - #spanning-tree loopguard default , это защитит
>>> от петли кривой клиентской сетевой ?
>> нет
>> нужен rstp на свиче доступа
>>> включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции.
>> в общем, всё делается на свиче доступа l2 - storm control, acl
>> и т.д.
> Тобишь мне это все надо отсекать еще до того, как оно попадет
> в ядро ?....

Я правильно понял, что у клиента канал на гигабит? А на 3560 маршрутизация?
Вы проанализируйте, есть ли фрагментация пакетов, какой трафик ходит (например, с помощью нетфлоу / span(rspan)), чтобы было яснее, что это вам грузит процессор.

>[оверквотинг удален]
>>> нужен rstp на свиче доступа
>>>> включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции.
>>> в общем, всё делается на свиче доступа l2 - storm control, acl
>>> и т.д.
>> Тобишь мне это все надо отсекать еще до того, как оно попадет
>> в ядро ?....
> Я правильно понял, что у клиента канал на гигабит? А на 3560
> маршрутизация?
> Вы проанализируйте, есть ли фрагментация пакетов, какой трафик ходит (например, с помощью
> нетфлоу / span(rspan)), чтобы было яснее, что это вам грузит процессор.

У всех клиентов по гигабиту... 3560 - главный маршрутизирующий девайс. А как принудительно фрагментировать пакеты? Или это не всегда акутально?

>[оверквотинг удален]
>>> , айпи у него на ПК, и tuj шлюз на Catalyst3560.
>>> Если на Циске ввести команду - #spanning-tree loopguard default , это защитит
>>> от петли кривой клиентской сетевой ?
>> нет
>> нужен rstp на свиче доступа
>>> включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции.
>> в общем, всё делается на свиче доступа l2 - storm control, acl
>> и т.д.
> Тобишь мне это все надо отсекать еще до того, как оно попадет
> в ядро ?....

Совершенно верно, при таком раскладе cor sw у Вас будет работать а клиенты будут прикуривать.

Привет,

> Отключение порта на клиентском
> оборудовании дает знать что атака происходит от именно этого клиента.

Но еще никак не означает, что причиной проблемы является трафик. Вы на график порта до отключения смотрели? Сколько его там приходит/уходит?

Hint: дублирование IP адреса тоже может очень быстро свести 35-ую кошку с ума, при чем практически без трафика.

WWell,

> Привет,
>> Отключение порта на клиентском
>> оборудовании дает знать что атака происходит от именно этого клиента.
> Но еще никак не означает, что причиной проблемы является трафик. Вы на
> график порта до отключения смотрели? Сколько его там приходит/уходит?
> Hint: дублирование IP адреса тоже может очень быстро свести 35-ую кошку с
> ума, при чем практически без трафика.
> WWell,

Конфликт может вызвать такое на 3560?? а как избежать этого ?