Исходное сообщение
"Перегрузка сети большим числом коротких пакетов." Отправлено kos, 05-Апр-05 16:39
>>Ситуация следующая: >>Имяется локальная сеть ~ 6000 компьютеров >>В центре роутер от него отходят свичи, к которым подключены клиенты. >> >>Иногда возникает следующая ситуация. >>Компьютер заражается вирусом и начинает рассылать больше число коротких IP пакетов. >>Это приводит к тому, что резко возрастает нагрузка на роутере(дело доходит даже >>до полной недоступности роутера). >>На свичах эта нагрузка ни как не проявляется, поскольку они работает на >>2 уровне(большое число коротких IP пакетов не задействуют широкую полосу пропускания). >> >>Для роутера эта нагрузка является критическй, т.к. он должен смаршрутизировать много IP >>пакетов. >> >>Сейчас мы боремся с даной проблеммой только после ее возникновения(сниферы, отключение сегментов >>сети или компьютеров и т.д.). >>Можно ли как нибудь предотвратить описанную выше ситуацию, или хотя бы как >>бы быстро выявить источник "плохих" пакетов и быстро отреагировать. > >Как вариант, поменять роутер на хороший L3-свитч, который тянет максимальную загрузку, возможную >на Ethernet-портах, типа cisco 3550. И вирусы будут вам нипочем. У нас роутер HP 9308m (178 million pps ). Еще раз повторюсь. Эта ситуация (когда рассылается большое число коротких IP пакетов)характерна тем, что на уровне L2 ни какой нагрузки не видно, а на L3 все виснет. У нас была ситуация что 1 машина таким вот образом завесила роутер. Так что это не выход купить более мощный роутер. А если зараженных компов будет 10,100 то любой роутер не справится. >Второй вариант, который пока я не проверял, но двано просится в голову >- если клиенты в управляемых L2 типа 2950 или 3500XL, 2900XL >и т.д. - попробовать unicast storm control, который срезал бы пакеты >выше определенного количества в секунду. Только надо хорошо подбирать значения потока, >выше которого будет срезание. Детекировать такую машину будете по >жалбое юзера, что у него сеть не пашет. На втором уровне нагрузка не видна.