форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco Catalyst коммутаторы)
Изначальное сообщение		[ Отслеживать ]

"Catalyst 3560 , загрузка под 100% из-за клиента."	+/–
Сообщение от TrEK (ok) on 14-Апр-13, 13:31
Есть Catalyst 3560  , в него включено последовательно несколько свитчей Л2, и в конечном итоге клиент на 1000 мбит.с. Время от времени от клиента начинается флуд\атака, при которой цпу Каталисті прігает до 100% , что в свою очередь откладівает последсвтия на всю сеть и остальные объекты, доступ к которым начинает пропадать. Отключение порта на клиентском оборудовании дает знать что атака происходит от именно этого клиента. Но понять в чем именно проблема, так и не удалось.. либо сетевая карта , которая начинает отражать входящий траффик, тем самым создавая петлю, либо намеряный флуд, либо вирусная атака, хотя при мониторинге tcpdump на интренет-шлюзе , ничего внеземного не обнаружилось... Исходя из этого я полагаю что флуд не выходит за границы сети... а распространяется в ней. При чем во время загрузки Каталисты, загрузка всех транзитных свитчей, и свитча куда клиент включен, в норме. Все оборудование в одной ВЛАНе, клиент в другой.  Клиент по 30/ , айпи у него на ПК, и tuj шлюз на Catalyst3560. Если на Циске ввести команду - #spanning-tree loopguard default , это защитит от петли кривой клиентской сетевой ? Так же интересует, как правильно включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Catalyst 3560 , загрузка под 100% из-за клиента."	+/–
Сообщение от andrew_s (??) on 14-Апр-13, 15:15
>[оверквотинг удален] > карта , которая начинает отражать входящий траффик, тем самым создавая петлю, > либо намеряный флуд, либо вирусная атака, хотя при мониторинге tcpdump на > интренет-шлюзе , ничего внеземного не обнаружилось... Исходя из этого я полагаю > что флуд не выходит за границы сети... а распространяется в ней. > При чем во время загрузки Каталисты, загрузка всех транзитных свитчей, и свитча > куда клиент включен, в норме. > Все оборудование в одной ВЛАНе, клиент в другой.  Клиент по 30/ > , айпи у него на ПК, и tuj шлюз на Catalyst3560. > Если на Циске ввести команду - #spanning-tree loopguard default , это защитит > от петли кривой клиентской сетевой ? нет нужен rstp на свиче доступа > включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции. в общем, всё делается на свиче доступа l2 - storm control, acl и т.д.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Catalyst 3560 , загрузка под 100% из-за клиента."	+/–
	Сообщение от TrEK (ok) on 14-Апр-13, 15:59
	>[оверквотинг удален] >> куда клиент включен, в норме. >> Все оборудование в одной ВЛАНе, клиент в другой.  Клиент по 30/ >> , айпи у него на ПК, и tuj шлюз на Catalyst3560. >> Если на Циске ввести команду - #spanning-tree loopguard default , это защитит >> от петли кривой клиентской сетевой ? > нет > нужен rstp на свиче доступа >> включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции. > в общем, всё делается на свиче доступа l2 - storm control, acl > и т.д. Тобишь мне это все надо отсекать еще до того, как оно попадет в ядро ?....
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Catalyst 3560 , загрузка под 100% из-за клиента."	+/–
	Сообщение от anonymous (??) on 14-Апр-13, 16:03
	>[оверквотинг удален] >>> , айпи у него на ПК, и tuj шлюз на Catalyst3560. >>> Если на Циске ввести команду - #spanning-tree loopguard default , это защитит >>> от петли кривой клиентской сетевой ? >> нет >> нужен rstp на свиче доступа >>> включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции. >> в общем, всё делается на свиче доступа l2 - storm control, acl >> и т.д. > Тобишь мне это все надо отсекать еще до того, как оно попадет > в ядро ?.... Я правильно понял, что у клиента канал на гигабит? А на 3560 маршрутизация? Вы проанализируйте, есть ли фрагментация пакетов, какой трафик ходит (например, с помощью нетфлоу / span(rspan)), чтобы было яснее, что это вам грузит процессор.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Catalyst 3560 , загрузка под 100% из-за клиента."	+/–
	Сообщение от TrEK (ok) on 14-Апр-13, 22:43
	>[оверквотинг удален] >>> нужен rstp на свиче доступа >>>> включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции. >>> в общем, всё делается на свиче доступа l2 - storm control, acl >>> и т.д. >> Тобишь мне это все надо отсекать еще до того, как оно попадет >> в ядро ?.... > Я правильно понял, что у клиента канал на гигабит? А на 3560 > маршрутизация? > Вы проанализируйте, есть ли фрагментация пакетов, какой трафик ходит (например, с помощью > нетфлоу / span(rspan)), чтобы было яснее, что это вам грузит процессор. У всех клиентов по гигабиту... 3560 - главный маршрутизирующий девайс. А как принудительно фрагментировать пакеты? Или это не всегда акутально?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	4. "Catalyst 3560 , загрузка под 100% из-за клиента."	+/–
	Сообщение от andrew_s (??) on 14-Апр-13, 19:04
	>[оверквотинг удален] >>> , айпи у него на ПК, и tuj шлюз на Catalyst3560. >>> Если на Циске ввести команду - #spanning-tree loopguard default , это защитит >>> от петли кривой клиентской сетевой ? >> нет >> нужен rstp на свиче доступа >>> включить бродкаст-контрол на Каталисте, а так же другие всевозможные защитные опции. >> в общем, всё делается на свиче доступа l2 - storm control, acl >> и т.д. > Тобишь мне это все надо отсекать еще до того, как оно попадет > в ядро ?.... Совершенно верно, при таком раскладе cor sw у Вас будет работать а клиенты будут прикуривать.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Catalyst 3560 , загрузка под 100% из-за клиента."	+/–
Сообщение от Mr. Mistoffelees on 15-Апр-13, 16:44
Привет, > Отключение порта на клиентском > оборудовании дает знать что атака происходит от именно этого клиента. Но еще никак не означает, что причиной проблемы является трафик. Вы на график порта до отключения смотрели? Сколько его там приходит/уходит? Hint: дублирование IP адреса тоже может очень быстро свести 35-ую кошку с ума, при чем практически без трафика. WWell,
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Catalyst 3560 , загрузка под 100% из-за клиента."	+/–
	Сообщение от TrEK (ok) on 15-Апр-13, 17:01
	> Привет, >> Отключение порта на клиентском >> оборудовании дает знать что атака происходит от именно этого клиента. > Но еще никак не означает, что причиной проблемы является трафик. Вы на > график порта до отключения смотрели? Сколько его там приходит/уходит? > Hint: дублирование IP адреса тоже может очень быстро свести 35-ую кошку с > ума, при чем практически без трафика. > WWell, Конфликт может вызвать такое на 3560?? а как избежать этого ?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема