форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco Catalyst коммутаторы)
Изначальное сообщение		[ Отслеживать ]

"Проблема с бродкастами от пользователей"	+/–
Сообщение от truman (ok) on 20-Апр-12, 13:48
Здравствуйте! Имеется следующая схема: Router 2811 - Catalyst 2960 - точка доступа Wi-Fi (Linksys, модель не знаю) - LAN клиента (по sh arp вижу порядка 20 хостов, подключающиеся по вайфаю). Под моим управлением находятся только роутер и свитч. С некоторого времени появилась проблема, на 11-й порт свитча (куда и подключен вай-фай модем) постоянно приходят бродкасты и мультикасты (периодичность - 2-3 в секунду), которые очень влияют на качество работы оборудования. Причем ночью и в обеденное время бродкасты и мультикасты прекращаются. Из этого я сделал вывод, что какой-то из хостов или завирусован, или гоняет какие-то игры, или ещё чего. Физическое передергивание порта на каталисте давало лишь кратковременный эффект. Я прописал на порту: storm-control broadcast 20 storm-control multicast 20 Ситуация значительно улучшилась, потери пакетов почти нет, правда в sh interf fa0/11 накапливание бродкастов и мультикастов не прекратилось и в sh storm-control в поле current стоит 0%. Так и должно быть? Теперь задача стоит в том, чтобы идентифицировать хост, рассылающий бродкасты. Проблема в том, что каталист географически расположен очень далеко и админа там вменяемого нет, который смог бы тем же wireshark'ом посмотреть, что твориться. Можно ли как-то, имея в арсенале только роутер и свич, идентифицировать бродкастера? Версия IOS на каталисте 12.2(50)SE5
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Проблема с бродкастами от пользователей"	+/–
Сообщение от fantom (ok) on 20-Апр-12, 15:14
>[оверквотинг удален] > storm-control multicast 20 > Ситуация значительно улучшилась, потери пакетов почти нет, правда в sh interf fa0/11 > накапливание бродкастов и мультикастов не прекратилось и в sh storm-control в > поле current стоит 0%. Так и должно быть? > Теперь задача стоит в том, чтобы идентифицировать хост, рассылающий бродкасты. Проблема > в том, что каталист географически расположен очень далеко и админа там > вменяемого нет, который смог бы тем же wireshark'ом посмотреть, что твориться. > Можно ли как-то, имея в арсенале только роутер и свич, идентифицировать > бродкастера? > Версия IOS на каталисте 12.2(50)SE5 Через L2tpv3 как eth over IP догоняете через 2811 нужный влан к себе и смотрите, чтотам бегает. Мультикаст можно попробовать вообще запретить...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Проблема с бродкастами от пользователей"	+/–
	Сообщение от truman (ok) on 20-Апр-12, 16:12
	>>[оверквотинг удален] >> Теперь задача стоит в том, чтобы идентифицировать хост, рассылающий бродкасты. Проблема >> в том, что каталист географически расположен очень далеко и админа там >> вменяемого нет, который смог бы тем же wireshark'ом посмотреть, что твориться. >> Можно ли как-то, имея в арсенале только роутер и свич, идентифицировать >> бродкастера? >> Версия IOS на каталисте 12.2(50)SE5 > Через L2tpv3 как eth over IP догоняете через 2811 нужный влан к > себе и смотрите, чтотам бегает. > Мультикаст можно попробовать вообще запретить... то есть если клиенту канал отдается по vlan 5, то мне нужно на том же подынтерфейсе с 5-ым виланом начать конфигурирование? или можно как-то другим виланом пробросить? и ещё, до нашего офиса всё бежит по mpls, нужны ли в этом плане какие-то дополнительные настройки и не будет ли какого-либо конфликта с mpls сетью? сильно не ругайтесь, а то раньше я про l2tpv3 разве что отдаленно слышал... может есть какой-нить пример конфигурации?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Проблема с бродкастами от пользователей"	+/–
	Сообщение от fantom (ok) on 20-Апр-12, 16:29
	>[оверквотинг удален] >> Через L2tpv3 как eth over IP догоняете через 2811 нужный влан к >> себе и смотрите, чтотам бегает. >> Мультикаст можно попробовать вообще запретить... > то есть если клиенту канал отдается по vlan 5, то мне нужно > на том же подынтерфейсе с 5-ым виланом начать конфигурирование? или можно > как-то другим виланом пробросить? и ещё, до нашего офиса всё бежит > по mpls, нужны ли в этом плане какие-то дополнительные настройки и > не будет ли какого-либо конфликта с mpls сетью? сильно не ругайтесь, > а то раньше я про l2tpv3 разве что отдаленно слышал... может > есть какой-нить пример конфигурации? int loop 1 ip add 192.168.1.1 255.255.255.255 pseudowire-class TST_1 encapsulation l2tpv3 protocol none ip local interface Loopback1 interface GigabitEthernet0/0.410 description TRS_01 encapsulation dot1Q 410 no cdp enable xconnect 192.168.1.2 4100096 encapsulation l2tpv3 manual pw-class TST_1   l2tp id 410 96   l2tp cookie local 4 4100096   l2tp cookie remote 4 960410   l2tp hello l2tp-defaults вторая циска int loop 1 ip add 192.168.1.2 255.255.255.255 pseudowire-class TST_1 encapsulation l2tpv3 protocol none ip local interface Loopback1 interface GigabitEthernet0/0.96 description TRS_01 encapsulation dot1Q 96 no cdp enable xconnect 192.168.1.1 960410 encapsulation l2tpv3 manual pw-class TST_1   l2tp id 96 410   l2tp cookie local 4 960410   l2tp cookie remote 4 4100096   l2tp hello l2tp-defaults 410-й влан с одной циски перебрасывается поверх IP в 96-й на другой циске.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Проблема с бродкастами от пользователей"	+/–
	Сообщение от truman (ok) on 20-Апр-12, 18:29
	>>[оверквотинг удален] > 410-й влан с одной циски перебрасывается поверх IP в 96-й на другой > циске. благодарю. в понедельник буду пробовать
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Проблема с бродкастами от пользователей"	+/–
	Сообщение от VolanD (ok) on 23-Апр-12, 09:26
	>[оверквотинг удален] >> поле current стоит 0%. Так и должно быть? >> Теперь задача стоит в том, чтобы идентифицировать хост, рассылающий бродкасты. Проблема >> в том, что каталист географически расположен очень далеко и админа там >> вменяемого нет, который смог бы тем же wireshark'ом посмотреть, что твориться. >> Можно ли как-то, имея в арсенале только роутер и свич, идентифицировать >> бродкастера? >> Версия IOS на каталисте 12.2(50)SE5 > Через L2tpv3 как eth over IP догоняете через 2811 нужный влан к > себе и смотрите, чтотам бегает. > Мультикаст можно попробовать вообще запретить... Сорри, если вопрос глупый. Но что мешает посмотреть на роутере? Броудкаст то до него должен долетать...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	6. "Проблема с бродкастами от пользователей"	+/–
	Сообщение от fantom (ok) on 23-Апр-12, 11:23
	>[оверквотинг удален] >>> в том, что каталист географически расположен очень далеко и админа там >>> вменяемого нет, который смог бы тем же wireshark'ом посмотреть, что твориться. >>> Можно ли как-то, имея в арсенале только роутер и свич, идентифицировать >>> бродкастера? >>> Версия IOS на каталисте 12.2(50)SE5 >> Через L2tpv3 как eth over IP догоняете через 2811 нужный влан к >> себе и смотрите, чтотам бегает. >> Мультикаст можно попробовать вообще запретить... > Сорри, если вопрос глупый. Но что мешает посмотреть на роутере? Броудкаст то > до него должен долетать... tcpdump вроде как гораздо гибче сиськиного дебага, кроме того дебагом можно запросто уложить железку "на лопатки".
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	10. "Проблема с бродкастами от пользователей"	+/–
	Сообщение от truman (ok) on 23-Апр-12, 15:22
	> Сорри, если вопрос глупый. Но что мешает посмотреть на роутере? Броудкаст то > до него должен долетать... бродкаст-то долетает, а как хост идентифицировать? sh arp не вариант
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	11. "Проблема с бродкастами от пользователей"	+/–
	Сообщение от fantom (ok) on 23-Апр-12, 16:09
	>> Сорри, если вопрос глупый. Но что мешает посмотреть на роутере? Броудкаст то >> до него должен долетать... > бродкаст-то долетает, а как хост идентифицировать? sh arp не вариант class-map match-any KOZEL match source-address mac 1111.1111.1111 match source-address mac 2222.2222.2222 <Перечисляем ВСЕ маки из нужного ВЛАН-а, маки берем с коммутатора в который ключен роутер> policy-map OTSTREL class KOZEL int fas0/0.<VLAN> service-policy in OTSTREL sh policy-map OTSTREL int fas0/0.<VLAN> input и смотрим где как счетчики тикают...
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Проблема с бродкастами от пользователей"	+/–
	Сообщение от VolanD (ok) on 24-Апр-12, 07:26
	>> Сорри, если вопрос глупый. Но что мешает посмотреть на роутере? Броудкаст то >> до него должен долетать... > бродкаст-то долетает, а как хост идентифицировать? sh arp не вариант Ну хост же когда отправляет броадкаст, он же свой сорс ставит! Хотите мак- смотрите арп! Единственный момент, как тут правильно заметили, debug ip packet может положить роутер. Если роутер далеко- я бы не стал так делать...
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

7. "Проблема с бродкастами от пользователей"	+/–
Сообщение от Pve1 (ok) on 23-Апр-12, 11:25
Если порт точки доступа не в отдельном VLAN - засунуть ее в него. Настроит на этом порту ip dhcp snooping + arp inspection + ip source guard.  С помощью ACL на порту коммутатора запретить не нужные мультикасты и т.д. (если не lan lite - он умеет это). debug ip packet xxx - где xxx - ACL описывающий интересующий трафик. Настраивать RSPAN через VPN  -  занятие сомнительное. И зачем L2TP - если mpls есть? может тогда EoMPLS ? :)  Проще к любому компу на месте по rdp подключиться.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Проблема с бродкастами от пользователей"	+/–
	Сообщение от fantom (ok) on 23-Апр-12, 11:41
	> Если порт точки доступа не в отдельном VLAN - засунуть ее в > него. Настроит на этом порту ip dhcp snooping + arp inspection > + ip source guard.  С помощью ACL на порту коммутатора > запретить не нужные мультикасты и т.д. (если не lan lite - > он умеет это). > debug ip packet xxx - где xxx - ACL описывающий интересующий трафик. 1 тыс PPSов, попадающая в ваш дебаг убьет 2811 почти насмерть, та же 1 тыс запихнутая в L2TPv3 нагрузки безусловно добавит, но шансы на выжывание железки бедет выше. Кроме того - цель какраз и определить "интересующий трафик" ;) еще момент - снифером я могу скинуть траф в файл, и затем крутить его и так и эдак, кошка этого не умеет (но это так - лирика) > Настраивать RSPAN через VPN  -  занятие сомнительное. И зачем L2TP > - если mpls есть? может тогда EoMPLS ? :)  Проще > к любому компу на месте по rdp подключиться. там выше сказано, что у них уже мплс... Ео_мплс через мплс занятие более, чем сомнительное.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Проблема с бродкастами от пользователей"	+/–
	Сообщение от truman (ok) on 23-Апр-12, 15:18
	> Если порт точки доступа не в отдельном VLAN - засунуть ее в > него. Настроит на этом порту ip dhcp snooping + arp inspection > + ip source guard.  С помощью ACL на порту коммутатора > запретить не нужные мультикасты и т.д. (если не lan lite - > он умеет это). > debug ip packet xxx - где xxx - ACL описывающий интересующий трафик. > Настраивать RSPAN через VPN  -  занятие сомнительное. И зачем L2TP > - если mpls есть? может тогда EoMPLS ? :)  Проще > к любому компу на месте по rdp подключиться. спасиб, про EoMPLS тоже думал... начальство пока дало "стоп", мол "работает - не трогай"
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема