forum.opennet.ru

Составление сообщения

Исходное сообщение

"Перегрузка сети большим числом коротких пакетов."
Отправлено Nailer, 06-Апр-05 15:57

>>>Ситуация следующая:
>>>Имяется локальная сеть ~ 6000 компьютеров
>>>В центре роутер от него отходят свичи, к которым подключены клиенты.
>>>
>>>Иногда возникает следующая ситуация.
>>>Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов.
>>>Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже
>>>до полной недоступности роутера).
>>>На свичах эта нагрузка ни как не проявляется, поскольку они работает на
>>>2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания).
>>>
>>>Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP
>>>пакетов.
>>>
>>>Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов
>>>сети или компьютеров и т.д.).
>>>Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как
>>>бы быстро выявить источник "плохих" пакетов и быстро отреагировать.
>>
>>Как вариант, поменять роутер на хороший L3-свитч, который тянет максимальную загрузку, возможную
>>на Ethernet-портах, типа cisco 3550. И вирусы будут вам нипочем.
>
>У нас роутер HP 9308m (178 million pps ).
>Еще раз повторюсь. Эта ситуация (когда рассылается большое число коротких IP пакетов)характерна
>тем, что на уровне L2 ни какой нагрузки не видно, а
>на L3 все виснет.
>У нас была ситуация что 1 машина таким вот образом завесила роутер.
>
>Так что это не выход купить более мощный роутер. А если зараженных
>компов будет 10,100 то любой роутер не справится.
>
>>Второй вариант, который пока я не проверял, но двано просится в голову
>>- если клиенты в управляемых L2 типа 2950 или 3500XL, 2900XL
>>и т.д. - попробовать unicast storm control, который срезал бы пакеты
>>выше определенного количества в секунду. Только надо хорошо подбирать значения потока,
>>выше которого будет срезание. Детекировать такую машину будете по
>>жалбое юзера, что у него сеть не пашет.
>На втором уровне нагрузка не видна.
Соглашусь с mc несколькими постами ниже - у вас что-то не в порядке с самим роуетером. 178 million pps в сек. комп на 100 мегабитах сгенерировать просто не в состоянии.

Исходное сообщение
"Перегрузка сети большим числом коротких пакетов." Отправлено Nailer, 06-Апр-05 15:57
>>>Ситуация следующая: >>>Имяется локальная сеть ~ 6000 компьютеров >>>В центре роутер от него отходят свичи, к которым подключены клиенты. >>> >>>Иногда возникает следующая ситуация. >>>Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов. >>>Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже >>>до полной недоступности роутера). >>>На свичах эта нагрузка ни как не проявляется, поскольку они работает на >>>2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания). >>> >>>Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP >>>пакетов. >>> >>>Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов >>>сети или компьютеров и т.д.). >>>Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как >>>бы быстро выявить источник "плохих" пакетов и быстро отреагировать. >> >>Как вариант, поменять роутер на хороший L3-свитч, который тянет максимальную загрузку, возможную >>на Ethernet-портах, типа cisco 3550. И вирусы будут вам нипочем. > >У нас роутер HP 9308m (178 million pps ). >Еще раз повторюсь. Эта ситуация (когда рассылается большое число коротких IP пакетов)характерна >тем, что на уровне L2 ни какой нагрузки не видно, а >на L3 все виснет. >У нас была ситуация что 1 машина таким вот образом завесила роутер. > >Так что это не выход купить более мощный роутер. А если зараженных >компов будет 10,100 то любой роутер не справится. > >>Второй вариант, который пока я не проверял, но двано просится в голову >>- если клиенты в управляемых L2 типа 2950 или 3500XL, 2900XL >>и т.д. - попробовать unicast storm control, который срезал бы пакеты >>выше определенного количества в секунду. Только надо хорошо подбирать значения потока, >>выше которого будет срезание. Детекировать такую машину будете по >>жалбое юзера, что у него сеть не пашет. >На втором уровне нагрузка не видна. Соглашусь с mc несколькими постами ниже - у вас что-то не в порядке с самим роуетером. 178 million pps в сек. комп на 100 мегабитах сгенерировать просто не в состоянии.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру