The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Чужой трафик на портах коммутатора"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Cisco Catalyst коммутаторы)
Изначальное сообщение [ Отслеживать ]

"Чужой трафик на портах коммутатора"  +/
Сообщение от Ufolog (ok) on 19-Апр-10, 17:42 
Топология сети:
Есть сетка из 40 коммутаторов, в основном это HP 2510, HP 2524 , Cisco 2950, они разбиты на 3 здания и по топологии звезда подключены к коммутатору здания, коммутатором здания является Cisco 3550. Коммутаторы здания в свою очередь сходятся на коммутатор Cisco 3550, где порты работают в режиме access и находятся в одном влане, объединяя эти 3-и здания в одну сеть (конфига главного превести не могу, у меня нет прав).

Проблема:
Пользуясь снифером Wireshark обнаружил, что на портах гуляет трафик с других машин, не весь а только небольшая часть, но если умножить это на 40 коммутаторов то получается, что по сетке гуляет прилично левого трафика.

Вопрос:
Из-за чего может гулять левый трафик, как устранить или хотя бы локализовать проблему.

Конфиги коммутаторов:
(хх - замена инфы, там все точно правильно)
(up-link в режиме access без настроек)
Cisco 2950:
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
!
enable secret 5  xxxxxxxxxxxxxxxxx
!
clock timezone Kiev 2
clock summer-time Kiev recurring last Sun Mar 2:00 last Sun Oct 2:00
ip subnet-zero
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!

!
interface FastEthernet0/1
description SHUTDOWN
switchport mode access
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky хххх.хххх.хххх.хххх
shutdown
storm-control broadcast level 90.00
no cdp enable
spanning-tree portfast

...

interface Vlan1
ip address xx.xx.xx.xx 255.255.252.0
no ip route-cache
!
ip default-gateway xx.xx.xx.xx
no ip http server
logging xx.xx.xx.xx
access-list 5 permit xx.xx.xx.0 0.0.0.255
access-list 5 permit xx.xx.xx.0 0.0.0.255
access-list 5 deny   any
snmp-server community xxxxxxx RO

!
line con 0
exec-timeout 0 0
line vty 0 4
access-class 5 in
exec-timeout 15 0
password xxxxxxxx
login
line vty 5 15
access-class 5 in
exec-timeout 15 0
password xxxxxxx
login
!
ntp clock-period 17179983
ntp server xx.xx.xx.xx
!
end

НР 2510/2524:

Running configuration:

; J9019A Configuration Editor; Created on release #Q.11.17

time timezone 120
time daylight-time-rule Middle-Europe-and-Portugal
console inactivity-timer 10
no web-management
interface 1
   name "SHUTDOWN"
   broadcast-limit 10
exit

,,,

interface 26
   name "trk_sw2/2(cisco2950-24)"
exit

ip default-gateway xx.xx.xx.xx
sntp server xx.xx.xx.xx
timesync sntp
sntp unicast
sntp 30
logging xx.xx.xx.xx
snmp-server community "xxxxxxxx"
snmp-server enable traps authentication
vlan 1
   name "DEFAULT_VLAN"
   untagged 1-26
   ip address xx.xx.xx.xx 255.255.252.0
   exit
ip authorized-managers xx.xx.xx.0 255.255.255.0

no stack
port-security 3 learn-mode static action send-alarm xxxxxxxxxxxx

lldp admin-status 1-19,21-25 disable
no cdp enable 1-19,21-25
ip ssh
no tftp client
password manager
password operator


Cisco 3550 (коммутаторы здания)
version 12.1
no service pad
service timestamps debug uptime
service timestamps log datetime localtime
service password-encryption
service sequence-numbers
no service dhcp
!
!
logging console critical
enable secret 5 xxxxxxxxxxxxxxxxxx
enable password 7 xxxxxxxxxxxxxxxxxxx
!
username xxxxxx password 7 xxxxxxxxxxxxxxxxxx
clock timezone DNEPR 2
clock summer-time DNEPR recurring last Sun Mar 2:00 last Sun Oct 2:00
ip subnet-zero
ip routing
!
ip domain-list xxxxxxxxxxxxxxxxx
ip domain-name xxxxxxxxxxxxxxxx
ip name-server xx.xx.xx.xx
ip name-server xx.xx.xx.xx
!
spanning-tree mode pvst
spanning-tree extend system-id
!
!
interface FastEthernet0/1
description SHUTDOWN
switchport mode access
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky
shutdown
!

....

interface FastEthernet0/14
switchport trunk encapsulation dot1q
switchport mode trunk


interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode access

interface Vlan1
ip address xx.xx.xx.xx 255.255.252.0
!
interface Vlan2
ip address xx.xx.xx.xx 255.255.255.0
!
interface Vlan3
  ip address xx.xx.xx.xx 255.255.255.224
shutdown

!
ip default-gateway xx.xx.xx.xx
ip classless
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.xx
ip route xx.xx.xx.xx 255.255.255.224 xx.xx.xx.xx
no ip http server
!
logging trap debugging
logging facility local0
logging source-interface Vlan1
logging xx.xx.xx.xx

access-list 1 permit xx.xx.xx.0 0.0.0.255
access-list 1 deny   any
access-list 2 remark -- ntp sinhronizaciya
access-list 2 permit xx.xx.xx.xx
access-list 2 deny   any
access-list 60 permit xx.xx.xx.xx
access-list 60 remark -- Zapret dostupa SNMP
access-list 60 deny   any
snmp-server community xxxxxxxxx RO 60


snmp-server enable traps snmp authentication linkdown linkup coldstart
snmp-server enable traps config
snmp-server enable traps entity
snmp-server enable traps rtr
snmp-server enable traps port-security
snmp-server enable traps vtp
snmp-server enable traps syslog
snmp-server host xx.xx.xx.xx xxxxxxxxx
!
line con 0
exec-timeout 0 0
line vty 0 4
access-class 1 in
exec-timeout 15 0
password 7 xxxxxxxxxxxxxxxxx
login
line vty 5 15
exec-timeout 15 0
password 7 xxxxxxxxxxxxxxxxx
login
transport input none
!
ntp clock-period 17180577
ntp access-group peer 2
ntp server xx.xx.xx.xx
!


Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Чужой трафик на портах коммутатора"  +/
Сообщение от Gbyte email(ok) on 19-Апр-10, 20:12 
1. А правда это трафик левый?
2. Нужно Нарисовать (в visio, а лучше в dia) схему сети, указать на ней виланы, транковые порты, ip-адреса

Схему нарисуешь, станет понятнее что и где, глядишь в процессе и найдется то место где аксессые порты разных виланов стыкуются ;)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Чужой трафик на портах коммутатора"  +/
Сообщение от Ufolog (ok) on 20-Апр-10, 14:29 
>1. А правда это трафик левый?
>2. Нужно Нарисовать (в visio, а лучше в dia) схему сети, указать
>на ней виланы, транковые порты, ip-адреса
>
>Схему нарисуешь, станет понятнее что и где, глядишь в процессе и найдется
>то место где аксессые порты разных виланов стыкуются ;)

Схема до боли простая, топология звезда (к главному коммутатору подключены 3 коммутатора зданий, а от них в свою очередь подключены все остальные)
Вланы которые в кофиге одного из коммутаторов здания это служебные сети и они дальше этого коммутатора не пробрасываются, все остальные хосты находятся в одном влане

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Чужой трафик на портах коммутатора"  +/
Сообщение от ShyLion (ok) on 20-Апр-10, 08:39 
>[оверквотинг удален]
>звезда подключены к коммутатору здания, коммутатором здания является Cisco 3550. Коммутаторы
>здания в свою очередь сходятся на коммутатор Cisco 3550, где порты
>работают в режиме access и находятся в одном влане, объединяя эти
>3-и здания в одну сеть (конфига главного превести не могу, у
>меня нет прав).
>
>Проблема:
>Пользуясь снифером Wireshark обнаружил, что на портах гуляет трафик с других машин,
>не весь а только небольшая часть, но если умножить это на
>40 коммутаторов то получается, что по сетке гуляет прилично левого трафика.

Учи мат.часть.
Если свитч не знает на каком порту находится хост, он форвардит фреймы на все порты кроме того откуда фрейм принят.

ЗЫ: 40 коммутаторов - это слишком. Необходимо сегментировать сеть и роутить. Возможно что переполняется таблица MAC адресов на коммктаторах. Сколько хостов в сети?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Чужой трафик на портах коммутатора"  +/
Сообщение от Ufolog (ok) on 20-Апр-10, 14:41 
>[оверквотинг удален]
>>не весь а только небольшая часть, но если умножить это на
>>40 коммутаторов то получается, что по сетке гуляет прилично левого трафика.
>
>Учи мат.часть.
>Если свитч не знает на каком порту находится хост, он форвардит фреймы
>на все порты кроме того откуда фрейм принят.
>
>ЗЫ: 40 коммутаторов - это слишком. Необходимо сегментировать сеть и роутить. Возможно
>что переполняется таблица MAC адресов на коммктаторах. Сколько хостов в сети?
>

1. На сколько мне известно, то коммутатор заполняет ARP таблицу с помощью ARP-запросов, получая на них ответы, а не кидает проходящий по коммутатору трафик на все порты. От чужих машин ты можешь на своем порту видеть бродкасты, а я вижу на порту часть пакетов передающих от машины А к машине В

2. Возможно ты не читал характеристики коммутаторов, у них таблицы мак-адресов по 8000 , а на 3550 вроде 16 тыс., так, что переполнится она не могла, да и я эту гипотезу уже проверил, а атаку на свичи с помощью изменения мака провести невозможно, т. к. настроен port-security
3. И 40 коммутаторов это не много, вся сеть насчитывает больше 250 коммутаторов, и они сегментированы и между ними стоит ряд маршрутизаторов объединяющих всю сеть в кольцо,  а это самая большая локация, в ней насчитывается 750 хостов.

На других локациях такой проблемы нет, на портах только трафик той машины, которая за ним стоит

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Чужой трафик на портах коммутатора"  +/
Сообщение от ShyLion (ok) on 20-Апр-10, 15:55 
>1. На сколько мне известно, то коммутатор заполняет ARP таблицу с помощью
>ARP-запросов, получая на них ответы

У тебя в корне неверная информация. Протокол ARP никоим образом напрямую свичем не используется для целей форвардинга. Только если ему самому надо с кем-то по IP связаться. ARP это часть IP стека.

>На других локациях такой проблемы нет, на портах только трафик той машины, которая за ним стоит

Ты просто или не туда смотрел, или не в режиме promisc, или недостаточно долго.

Еще раз повторю: если у свича в таблице маков нет мака назначения, он рассылает фрейм во ВСЕ порты.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Чужой трафик на портах коммутатора"  +/
Сообщение от alex (??) on 20-Апр-10, 16:17 
>[оверквотинг удален]
>не используется для целей форвардинга. Только если ему самому надо с
>кем-то по IP связаться. ARP это часть IP стека.
>
>>На других локациях такой проблемы нет, на портах только трафик той машины, которая за ним стоит
>
>Ты просто или не туда смотрел, или не в режиме promisc, или
>недостаточно долго.
>
>Еще раз повторю: если у свича в таблице маков нет мака назначения,
>он рассылает фрейм во ВСЕ порты.

А разве не во все порты, относящиеся только к конкретной вилан?
p.s. особо не вникал в суть вопроса, просто фраза насторожила...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Чужой трафик на портах коммутатора"  +/
Сообщение от ShyLion (ok) on 20-Апр-10, 16:40 
>А разве не во все порты, относящиеся только к конкретной вилан?
>p.s. особо не вникал в суть вопроса, просто фраза насторожила...

да, конечно, я упростил

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Чужой трафик на портах коммутатора"  +/
Сообщение от Ufolog (ok) on 21-Апр-10, 09:44 
>>А разве не во все порты, относящиеся только к конкретной вилан?
>>p.s. особо не вникал в суть вопроса, просто фраза насторожила...
>
>да, конечно, я упростил

Или я чего-то не понимаю или вы тупите. Вот инфа с разных сайтов
Полностью порядок преобразования адресов выглядит так:

   1. По сети передается широковещательный ARP-запрос.
   2. Исходящий IP-пакет ставится в очередь.
   3. Возвращается ARP-ответ, содержащий информацию о соответствии IP- и Ethernet-адресов. Эта информация заносится в ARP-таблицу.
   4. Для преобразования IP-адреса в Ethernet-адрес у IP-пакета, постав ленного в очередь, используется ARP-таблица.
   5. Ethernet-кадр передается по сети Ethernet.

Вот ссылки:
http://www.mark-itt.ru/FWO/tcpip/arp.html
http://book.itep.ru/4/44/arp_446.htm
http://docstore.mik.ua/tcpip/arp.htm
еще таких много

т. е. привожу пример:
Например у нас сеть 192.168.10.0 255.255.255.0
Машина А: 192.168.10.5 (к примеру моя машина)
Машина В: 192.168.10.6
Машина С: 192.168.10.7
Бродкаст: 192.168.10.255

Как я понимаю АРП протокол, то хост если у него нет записи в АРП-таблице должен рассылать всем пакеты по бродкасту т. е. 192.168.10.255
тогда если я буду смотреть с помощью снифера (Wireshark) свой канал на машине 192.168.10.5 я буду видеть картину:
Source:              Destination:
192.168.10.6         192.168.10.255
192.168.10.7         192.168.10.255
192.168.10.255       192.168.10.5
и это нормально, а у меня на порту я вижу трафик с следующими параметрами это на хосте 192.168.10.5
Source:              Destination:        Type
192.168.10.6         192.168.10.7        UDP
192.168.10.7         192.168.10.6        HTTP
192.168.10.7         10.20.140.56        HTTP (или вообще адрес из внешней сети)
и это не правильно.

Сразу говорю порт не настроен не на мониторинг не на mirror

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Чужой трафик на портах коммутатора"  +/
Сообщение от Кирилл email(??) on 21-Апр-10, 10:14 
>[оверквотинг удален]
>192.168.10.6         192.168.10.7  
>     UDP
>192.168.10.7         192.168.10.6  
>     HTTP
>192.168.10.7         10.20.140.56  
>     HTTP (или вообще адрес из внешней
>сети)
>и это не правильно.
>
>Сразу говорю порт не настроен не на мониторинг не на mirror

Уважаемый. Ты путаешь arp таблицу на хосте с таблицей mac на коммутаторе.
Знаешь, если в твоем примере, на хосте 192.168.10.7 будет просто включен интерфейс (можно даже и без кабеля) с ip из сети 10.20.140.0, то мусор может в сети возникнуть..

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Чужой трафик на портах коммутатора"  +/
Сообщение от Ufolog (ok) on 21-Апр-10, 10:47 
>
>Уважаемый. Ты путаешь arp таблицу на хосте с таблицей mac на коммутаторе.
>
>Знаешь, если в твоем примере, на хосте 192.168.10.7 будет просто включен интерфейс
>(можно даже и без кабеля) с ip из сети 10.20.140.0, то
>мусор может в сети возникнуть..

Выше приводили пример, что мол коммутатор шлет проходящие по нему фреймы на все порты коммутатора, заполняя свою арп-таблицу записью, которой в ней нет.
Я с этим не согласился, т. к. в этом случае, по моему мнению коммутатор разошлет широковещательный (бродкаст) АРП-запрос, а это не тоже самое, что кидать фреймы проходящие по нему на все порты.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Чужой трафик на портах коммутатора"  +/
Сообщение от ShyLion (ok) on 21-Апр-10, 12:08 
>Выше приводили пример, что мол коммутатор шлет проходящие по нему фреймы на
>все порты коммутатора, заполняя свою арп-таблицу записью, которой в ней нет.

выше говорили, что коммутатор разошлет фрейм во все порты, если destination адреса нет в таблице форвардинга.
а arp таблицы у огромного количества неуправляемых коммутаторов нет вообще
у них есть forwarding table, куда они записывают (и обновляют таймеры по существующим записям) соответствие source адреса и порта, принявшего фрейм.


>Я с этим не согласился, т. к. в этом случае, по моему
>мнению коммутатор разошлет широковещательный (бродкаст) АРП-запрос, а это не тоже самое,
>что кидать фреймы проходящие по нему на все порты.

ARP это часть протокола IP, еще раз повторю, многие коммутаторы понятия не имеют о протоколе IP, им это не зачем, они на 2 уровне работают.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Чужой трафик на портах коммутатора"  +/
Сообщение от ShyLion (ok) on 21-Апр-10, 10:42 
>Или я чего-то не понимаю или вы тупите. Вот инфа с разных
>сайтов
>Полностью порядок преобразования адресов выглядит так:

:-х

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Чужой трафик на портах коммутатора"  +/
Сообщение от Ufolog (ok) on 21-Апр-10, 11:00 
Пожалуйста, если, что-то комментируете приводите ссылки на источники: книги, интернет-ссылки, т. к. манера изъяснятся у всех разная, иногда тяжело понять, что подразумевает тот или иной автор
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Чужой трафик на портах коммутатора"  +/
Сообщение от ShyLion (ok) on 21-Апр-10, 11:56 
>Пожалуйста, если, что-то комментируете приводите ссылки на источники: книги, интернет-ссылки, т. к.
>манера изъяснятся у всех разная, иногда тяжело понять, что подразумевает тот
>или иной автор

Курс ICND вас устроит? Достаточно авторитетный источник?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Чужой трафик на портах коммутатора"  +/
Сообщение от alex (??) on 21-Апр-10, 12:18 
Вас уже просили нарисовать рисунок сети, с указанием устройств, виланов и адресации в ней.
Лично я, например, прочитав все, так и не понял о каком левом трафике идет речь.
Единственное что я понял - это то, что есть 4 коммутатора 3-го уровня 3550, на которых, видимо, включена опция ip routing, и которые соединяются в звезду между собой. К 3-м из них подключаются коммутаторы 2-го уровня. А вот в каком месте обнаруживается "левый" трафик и из какого сегмента сети он, по Вашему, приходит, Вы так и не сказали. Да и без рисунка сети понять это будет трудно.
Теперь что касается широковещания. Компьютер, который хоть послать пакет, зная ip-адрес, должен указать в нем mac-адрес получателя, для этого он посылает широковещательный ARP-запрос, который распространиться по всему сегменту сети до коммутатора 3-го уровня, который по умолчанию не пропустит широковещание дальше. При этом это широковещание будет идти внутри сегмента внутри соответствующей вилан, если таковая вообще существует на свичах.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Чужой трафик на портах коммутатора"  +/
Сообщение от Ufolog (ok) on 21-Апр-10, 13:34 
>Вас уже просили нарисовать рисунок сети, с указанием устройств, виланов и адресации
>в ней.
>Лично я, например, прочитав все, так и не понял о каком левом
>трафике идет речь.
>Единственное что я понял - это то, что есть 4 коммутатора 3-го
>уровня 3550, на которых, видимо, включена опция ip routing, и которые
>соединяются в звезду между собой. К 3-м из них подключаются коммутаторы

Все правильно вы поняли, только опция ip routing включена для маршрута по умолчаанию (направлен на главный коммутатор 3550, к которому подключены 3-и здания) и 2-х сервисных вланов, никакой маршрутизации между 3-я зданиями нет, это одна громадная сетка.

Ниже привожу схему сети
http://www.letitbit.ru/files/35974/shema.rar

на схеме вместо HP 2824 реально стоят циски 3550, это схема из проекта модернизации.
Пунктиром обозначены границы здания.
Все коммутаторы, соответственно все хосты (повторяю еще раз) находятся в одном влане
и ТОЛЬКО НА 1 КОММУТАТОРЕ 3550 стоит 2-а дополнительных влана для сервисных сетей на нем же прописаны маршруты от них, дальше ЭТОГО коммутатора они не куда не идут, все остальные хосты из 3-х здания в одном влане 1 по умолчанию.

>2-го уровня. А вот в каком месте обнаруживается "левый" трафик и
>из какого сегмента сети он, по Вашему, приходит, Вы так и
>не сказали. Да и без рисунка сети понять это будет трудно.

Левый трафик я вижу на любом порту, любого коммутатора из этих 3-х зданий, делал замеры. Везде ситуация одинаковая. Т. е. я из одного здания находясь на своем коммутаторе могу видеть небольшую часть пакетов (различных протоколов UDP, HTTP ...) машины находящийся в совершенно другом здании.

P.S. разбить сетку и включить роутинг не представляется возможным, т. к. нужно оформить кучу бумажек через вышестоящее руководство и поменять айпишники в 2-х зданиях а это порядка 400-500 хостов, этого никто не даст сделать.
Сети подобных размеров есть еще в нескольких городах, связывался с коллегами они высылали образы с снифера, у них такой проблемы нет.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Чужой трафик на портах коммутатора"  +/
Сообщение от ShyLion (ok) on 21-Апр-10, 14:38 
>Все коммутаторы, соответственно все хосты (повторяю еще раз) находятся в одном влане
>и ТОЛЬКО НА 1 КОММУТАТОРЕ 3550 стоит 2-а дополнительных влана для сервисных
>сетей на нем же прописаны маршруты от них, дальше ЭТОГО коммутатора
>они не куда не идут, все остальные хосты из 3-х здания
>в одном влане 1 по умолчанию.
>Левый трафик я вижу на любом порту, любого коммутатора из этих 3-х
>зданий, делал замеры. Везде ситуация одинаковая. Т. е. я из одного
>здания находясь на своем коммутаторе могу видеть небольшую часть пакетов (различных
>протоколов UDP, HTTP ...) машины находящийся в совершенно другом здании.

Это НОРМАЛЬНО. Прочтите ЛЮБУЮ книгу по функционированию коммутаторов, посетите курс ICND или ознакомьтесь с любым CCNA Study Guide, в интернете их полно.

>Сети подобных размеров есть еще в нескольких городах, связывался с коллегами они
>высылали образы с снифера, у них такой проблемы нет.

Еще раз повторяю, коллеги ваши либо не в promisc mode трафик смотрят, либо недостаточно долго.
Вот как эта опция выглядит в WireShark: http://s60.radikal.ru/i169/1004/f4/2509aa64564b.png

Еще возможно, что у коллеги сетевая карта или ее драйвер не умеют работать в этом режиме. Хотя такое сейчас редкость.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Чужой трафик на портах коммутатора"  +/
Сообщение от alex (??) on 21-Апр-10, 14:44 
>[оверквотинг удален]
>зданий, делал замеры. Везде ситуация одинаковая. Т. е. я из одного
>здания находясь на своем коммутаторе могу видеть небольшую часть пакетов (различных
>протоколов UDP, HTTP ...) машины находящийся в совершенно другом здании.
>
>P.S. разбить сетку и включить роутинг не представляется возможным, т. к. нужно
>оформить кучу бумажек через вышестоящее руководство и поменять айпишники в 2-х
>зданиях а это порядка 400-500 хостов, этого никто не даст сделать.
>
>Сети подобных размеров есть еще в нескольких городах, связывался с коллегами они
>высылали образы с снифера, у них такой проблемы нет.

А Вы не могли бы переконвертировать формат .vsd во что-нибудь читабельное? Просто мне формат визио в линуксе без бубна не открыть, а заморачиваться сильно не хочется...

Хорошо, допустим у Вас единая сеть и широковещание (любое) бегает по всей сети, т.е. между всеми 3-мя зданиями. Так что Вы хотите в итоге то получить? Ограничить вообще всю связь между зданиями (раз вы называете любой трафик из другого здания "левым") или что Вы хотите получить то?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Чужой трафик на портах коммутатора"  +/
Сообщение от ShyLion (ok) on 21-Апр-10, 14:52 
>получить то?

гражданин наблюдает НЕ-броадкаст пакеты, адресованые хосту, который живет на другом порту

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Чужой трафик на портах коммутатора"  +/
Сообщение от Ufolog (ok) on 21-Апр-10, 16:32 
Сетка была в очень запущенном состоянии, когда мы приняли ее на обслуживании, мониторинг никто не проводил и соответственно порядок тоже никто не наводил.
Кому интересно оказалось:
1. Сервера с NLB кластерами (почему они это делают так и не разобрался, но они как-то нехорошо формируют пакеты, что при явно заданном destination (пункте назначения) коммутаторы все равно воспринимают их как бродкасты.) Выделил в отдельный влан, а проходя через циску 7609 они там режуться
2. FreeBSD машины с поднятыми виртуалками, таких оказалось 3, отрубил от сетки
3. Еще было 5 машин с поднятыми виртуалками и разным сетевым софтом, снес все нафиг

В итоге как и должно быть на портах только трафик конкретных машин и бродкасты

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Чужой трафик на портах коммутатора"  +/
Сообщение от frob (ok) on 21-Апр-10, 22:56 
>разобрался, но они как-то нехорошо формируют пакеты, что при явно заданном
>destination (пункте назначения) коммутаторы все равно воспринимают их как бродкасты.)

И какой же этот destination?

>Выделил в отдельный влан, а проходя через циску 7609 они там режуТСЯ

Если в 7600 есть DFC-шные карты, включите mac-sync.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Чужой трафик на портах коммутатора"  +/
Сообщение от Gbyte email(ok) on 22-Апр-10, 07:13 
>Сетка была в очень запущенном состоянии, когда мы приняли ее на обслуживании,
>мониторинг никто не проводил и соответственно порядок тоже никто не наводил.
>
>Кому интересно оказалось:
>1. Сервера с NLB кластерами (почему они это делают так и не
>разобрался, но они как-то нехорошо формируют пакеты, что при явно заданном
>destination (пункте назначения) коммутаторы все равно воспринимают их как бродкасты.) Выделил
>в отдельный влан, а проходя через циску 7609 они там режуться
>

Сейчас точно не помню (на микрософте кажется попадалось описание работы NLB), вот оно кажется именно только так и работает - це ж мелкософт... :)
Поэтому от NLB мы отказались...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Чужой трафик на портах коммутатора"  +/
Сообщение от ShyLion (ok) on 22-Апр-10, 07:29 
>В итоге как и должно быть на портах только трафик конкретных машин
>и бродкасты

Хочешь фокус?

на машине, которая ловила "левые" пакеты запускаешь WireShark.
На виртуальной машине ваершарк запускать бесполезно, ее трафик фильтруется гипервизором.

Включаешь капчу, ставишь фильтр eth.dst == 00:0c:11:11:11:11

далее, на любой другой машине в то-же вилане

если винда
arp -s x.x.x.x 00-0c-11-11-11-11

если юникс-подобное
arp -s x.x.x.x 00:0c:11:11:11:11

где x.x.x.x любой свободный IP из сети, в которой хосты в этом вилане

дальше делаешь ping x.x.x.x и смотришь капчу на машине с ваершарком и удивляешься

можешь показать этот фокус своим коллегам, а потом пойти за книжкой в магазин.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Чужой трафик на портах коммутатора"  +/
Сообщение от Ufolog (ok) on 22-Апр-10, 14:23 
>[оверквотинг удален]
>arp -s x.x.x.x 00:0c:11:11:11:11
>
>где x.x.x.x любой свободный IP из сети, в которой хосты в этом
>вилане
>
>дальше делаешь ping x.x.x.x и смотришь капчу на машине с ваершарком и
>удивляешься
>
>можешь показать этот фокус своим коллегам, а потом пойти за книжкой в
>магазин.

то что ты говоришь это не фокус а атака называемая ARP spoofing.
А Виншарк я запуская не на виртуальной машине, а виртуальная машина запущенная на удаленном хосте генерит трафик, который воспринимается как бродкасты.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Чужой трафик на портах коммутатора"  +/
Сообщение от ShyLion (ok) on 22-Апр-10, 14:44 
>то что ты говоришь это не фокус а атака называемая ARP spoofing.

Серьезно говорю, почитай литературу, уже не смешно.
Вот тебе выдержка из Sybex CCNA Study Guide:
http://s40.radikal.ru/i089/1004/c7/11c9ec4394c4.png

На каталистах aging timeout 300 секунд. Если от хоста нет трафика, что через 300 секунд свитч его мак забывает и предназначеные ему пакеты флудит во все порты, пока не увидит от него обратный фрейм. Такие ситуации вполне нормальны. "Победить" это ты никак не сможешь, максимум что можно сделать - увеличить таймаут до предельных величин.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Чужой трафик на портах коммутатора"  +/
Сообщение от frob (ok) on 22-Апр-10, 17:07 
>>то что ты говоришь это не фокус а атака называемая ARP spoofing.

("Пациент скорее мёртв, чем жив.")
Не надо, не читайте никаких книжек от этого одни проблемы.

>"Победить" это ты никак не сможешь, максимум
>что можно сделать - увеличить таймаут до предельных величин.

Ну, почему же...
Вот тут http://www.opennet.me/openforum/vsluhforumID6/20886.html
один "победил" ;-)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "Чужой трафик на портах коммутатора"  +/
Сообщение от frob (ok) on 22-Апр-10, 17:09 
>А Виншарк я запуская не на виртуальной машине, а виртуальная машина запущенная
>на удаленном хосте генерит трафик, который воспринимается как бродкасты.

Трафик не может "восприниматься как бродкасты". Либо все биты в адресе назначения выставлены, либо нет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "Чужой трафик на портах коммутатора"  +/
Сообщение от spunky (ok) on 22-Апр-10, 18:17 
для HP - не знаю, а для cisco:

conf t
mac- ag 86400
inter ra fa 0/1 - 24
sw bl uni

есть такая возможность, что на 48мипортовых блок не будет работать, если эта фишка присуща только enhanced образу, проверить не могу, а feature navigator говорит что 2950 вообще этого не умеет. Команда на нём такая есть, может она просто не работает?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "Чужой трафик на портах коммутатора"  +/
Сообщение от frob (ok) on 22-Апр-10, 19:26 
>inter ra fa 0/1 - 24
>sw bl uni
> Команда на нём такая есть, может она просто не работает?

Вы понимаете ЧТО советуете?


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "Чужой трафик на портах коммутатора"  +/
Сообщение от spunky (ok) on 23-Апр-10, 06:35 
>>inter ra fa 0/1 - 24
>>sw bl uni
>> Команда на нём такая есть, может она просто не работает?
>
>Вы понимаете ЧТО советуете?

поднять время хранения записей в таблице коммутации и запретить коммутатору распространять кадры для неизвестных мак-адресов в направлении пользователей. На порты используемые для соединения коммутаторов эту настройку растягивать не стоит, да.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "Чужой трафик на портах коммутатора"  +/
Сообщение от frob (ok) on 23-Апр-10, 07:03 
>запретить коммутатору распространять кадры
>для неизвестных мак-адресов в направлении пользователей.

Выше была дана ссылка на другое обсуждение. Сходите почитайте к чему это приводит.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "Чужой трафик на портах коммутатора"  +/
Сообщение от pliskinsad email on 23-Апр-10, 07:07 
>>запретить коммутатору распространять кадры
>>для неизвестных мак-адресов в направлении пользователей.
>
>Выше была дана ссылка на другое обсуждение. Сходите почитайте к чему это
>приводит.

Берешь сниффер, ловишь левый кадр. Смотришь мак адрес отправителя, ищешь на свитче порт. Порт ложишь ;)
Дабы небыло подобных эксцессов более, настрой port-security.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "Чужой трафик на портах коммутатора"  +/
Сообщение от frob (ok) on 23-Апр-10, 09:04 
"Всё чудесатее и чудесатее" (с)
Предложение spunky реализованное "как есть" нерационально, но для стендовых испытаний сойдёт.

Ваше -- совершенно мимо денег. Нету там "левых" кадров.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

34. "Чужой трафик на портах коммутатора"  +/
Сообщение от spunky (ok) on 26-Апр-10, 13:40 
>>запретить коммутатору распространять кадры
>>для неизвестных мак-адресов в направлении пользователей.
>
>Выше была дана ссылка на другое обсуждение. Сходите почитайте к чему это
>приводит.

Смело предположил, что у ТС-а мало *nix-машин, которые в основном и способны создать подобную проблему за счёт своей молчаливости, плюс повышение времени хранения записи в таблице коммутации несколько оградит от подобных проблем (хотя, да - суток пожалуй маловато).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

35. "Чужой трафик на портах коммутатора"  +/
Сообщение от frob (ok) on 26-Апр-10, 15:45 
>(хотя, да - суток пожалуй маловато).

Достаточно 4х часов с мелочью.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру