darkavenger Posted September 18, 2012 Author Report Share Posted September 18, 2012 (edited) Днес какво разбрах след преглед на суича. Пакетите се губят от Host Learning . Packets Dropped by Packet Queue Queue Total 5 sec avg 1 min avg 5 min avg 1 hour avg ---------------------- --------------- --------- --------- --------- ---------- Host Learning 18597 0 0 0 0 когато се появи проблема загубите за последните 5 сек скачат и след това всичко се оправя. намалих aginga от 300 15 и се пооправи положението но все още има кратки прекъсвания за по 1 -2 сек явно суича неможе да се справи с всички мак адреси в този влан които в момента са около 2200 . Което е нормално за мрежата имам много повече абонати но проблема се получи последната седмица а абонатите не са се умножили повече . Сиското се е справяло и с 5000 мак адреса . MAC Entries for Vlan 20: Dynamic Unicast Address Count: 2257 Static Unicast Address (User-defined) Count: 6 Static Unicast Address (System-defined) Count: 1 Total Unicast MAC Addresses In Use: 2264 Total Unicast MAC Addresses Available: 55000 Multicast MAC Address Count: 19 Total Multicast MAC Addresses Available: 32768 Другият ми въпрос е нормално ли е това (Въпроса е риторичен) arping 192.168.1.1 -I eth1 ARPING 192.168.1.1 from 192.168.101.1 eth1 Unicast reply from 192.168.1.1 [98:FC:11:48:46:2B] 0.728ms Unicast reply from 192.168.1.1 [C0:C1:C0:F4:9B:90] 0.795ms Unicast reply from 192.168.1.1 [00:E0:4C:FC:F6:6B] 0.849ms Unicast reply from 192.168.1.1 [00:15:AC:0C:DD:6B] 0.884ms Unicast reply from 192.168.1.1 [00:1E:E5:64:10:98] 0.914ms Unicast reply from 192.168.1.1 [74:EA:3A:AB:60:EE] 1.117ms Unicast reply from 192.168.1.1 [00:23:69:F9:42:4D] 1.163ms Unicast reply from 192.168.1.1 [74:EA:3A:FF:74:C6] 1.321ms Unicast reply from 192.168.1.1 [00:18:E7:06:5B:E7] 1.352ms Unicast reply from 192.168.1.1 [00:0B:6A:9D:80:15] 1.382ms Unicast reply from 192.168.1.1 [00:23:69:7F:CE:55] 1.411ms Unicast reply from 192.168.1.1 [F0:DE:F1:A2:C5:22] 1.542ms Unicast reply from 192.168.1.1 [C0:C1:C0:78:E6:05] 1.637ms Unicast reply from 192.168.1.1 [A0:21:B7:BD:DC:11] 1.712ms Unicast reply from 192.168.1.1 [00:23:69:F9:43:82] 1.760ms Unicast reply from 192.168.1.1 [00:1D:60:19:99:11] 1.792ms Unicast reply from 192.168.1.1 [00:24:B2:06:17:1F] 1.873ms Unicast reply from 192.168.1.1 [00:22:3F:64:71:67] 1.903ms пинга е до 192.168.1.1 който е вътрешен интерфейс на домашни рутери на абонати и повечето рутери ми отговарят с мак адреса на външния си интерфейс. но с ип на вътрешния . На моя домашен рутер с ОпенВРТ това го оправих с arp_ignore в /proc/sys/net/ipv4/...... . Но на повечето рутери няма как да стане. Знам че пречи на мрежата но всеки рутер тип сапунерка го има по подразбиране и не на всички може да се изключи. Edited September 27, 2012 by darkavenger Link to comment Share on other sites More sharing options...
Guest Posted September 18, 2012 Report Share Posted September 18, 2012 (edited) относно файла който ми прати - TTL-а много интересно варира на всеки UPD пакет - изглежда е същия и се подмята помежду тия мак адреси докато не падне TTL-а до единица. Има седем мак адреса които осират нещата, три от тях Tenda. Освен да премахнеш и 7те от мрежата? Edited September 18, 2012 by NetworkPro Link to comment Share on other sites More sharing options...
darkavenger Posted September 18, 2012 Author Report Share Posted September 18, 2012 (edited) Пробвал съм да ги махна явяват се нови и нови мак адреси, и ако продължавам трябва да спра половината абонати от тези 7 броя три са на мои рутери но пакета не минава действително през тях. Като премахна дестинеишън ип то флууда към него спира моментално имам чувството че хоста сам пуска пакети към себе си с споофед ип и мак адрес които няводняват мрежата. Edited September 18, 2012 by darkavenger Link to comment Share on other sites More sharing options...
hgd Posted September 18, 2012 Report Share Posted September 18, 2012 Ясно е, че проблема е на L2 и е или "луди" сапунерки или нарочна атака. Предлагам ти да поразгледаш аксес суичовете си. Нали пишеш "по 20 абоната най-много на порт на Cisco switch". Трябва да понагласиш port security по портовете (вероятно нямаш port-security violation) и ще ги прихванеш/блокираш. Активирай по тях и DAI и ip source guard-а Най-добре разгледай http://www.cisco.com/en/US/products/hw/switches/ps5023/products_configuration_example09186a00807c4101.shtml Link to comment Share on other sites More sharing options...
darkavenger Posted September 18, 2012 Author Report Share Posted September 18, 2012 (edited) Имам port-security violation restrict Нямам и DHCP server всички абонати са с статични ип адреси Мисля си за вариант суич или суичове в мрежата да хъби и да повтаря трафика на всички свои портове Edited September 18, 2012 by darkavenger Link to comment Share on other sites More sharing options...
Guest Posted September 18, 2012 Report Share Posted September 18, 2012 Бъгнат рутер (клиентски) е според мен, залагам 10 лв (един или повече бъгнати). Link to comment Share on other sites More sharing options...
MiPSus Posted September 18, 2012 Report Share Posted September 18, 2012 (edited) Колега за да не се омотаеш допълнително и да почнеш да се "самонавиваш" , по добре действай по соломоновски - системата "режи и върляй" Вдигни си темплоръри рутер (линуксче най-универс) , направи си плансхема как можеш да разделиш мрежата така че всеки ден една част от нея да е отделна и да ползва сервайси от темп рутера, по метода на изключването ще откриеш евентуално от коя зона на мрежата ти идва грижата. След това я раздели на две и пак .... докато локализираш проблема. Понякога совите не са това което са - виж финала на подписа ми Обзалагам се е или е човешка грешка или злоумишлено действие - "man in the middle" Edited September 18, 2012 by MiPSus ... и яз можем, и тате може, ма козата си сака пръч! Link to comment Share on other sites More sharing options...
Administrator Велин Posted September 19, 2012 Administrator Report Share Posted September 19, 2012 Другият ми въпрос е нормално ли е това arping 192.168.1.1 -I eth1 ARPING 192.168.1.1 from 192.168.101.1 eth1 Unicast reply from 192.168.1.1 [98:FC:11:48:46:2B] 0.728ms Unicast reply from 192.168.1.1 [C0:C1:C0:F4:9B:90] 0.795ms Unicast reply from 192.168.1.1 [00:E0:4C:FC:F6:6B] 0.849ms Unicast reply from 192.168.1.1 [00:15:AC:0C:DD:6B] 0.884ms ...... пинга е до 192.168.1.1 който е вътрешен интерфейс на домашни рутери на абонати и повечето рутери ми отговарят с мак адреса на външния си интерфейс. ... нормално е за сапунерките, или настройваш ти рутерите на клиентите (и подменяш вътрешните дефолтски мрежи) или спираш да даваш нет на клиентите през тези мрежи разкарваш ги от употреба 192.168.1.1 и 192.168.0.1 и 192.168.2.1 абе въобще всяко ип от ширпотреба го махай. Не отговарям на постове написани с шльокавица! Link to comment Share on other sites More sharing options...
Mile Posted September 19, 2012 Report Share Posted September 19, 2012 (edited) тенда и асус имат невероятен нат... накъмто навсякаде Подарям рутери на клиентите с подобни изделия. Спестява време и нерви. Ако имаш начин за търсене в билинга по производител (по мак) не е лошо да го направиш. Стига да не са клонирали мак адреса. Интересното е, че при теб първите 2 мак-а са Cisco-Linksys, а следващите Реалтек и Capelon AB което вероятно е свич или някаква mng щуротия. Edited September 19, 2012 by Mile Link to comment Share on other sites More sharing options...
MiPSus Posted September 21, 2012 Report Share Posted September 21, 2012 RTL рутерчетата по принцип си отговарят на arping със вътрешния адрес (192.168.0.1) и WAN mac, съответно и в cisco суича се виждат, но не би следвало да имаш проблем ако не ползваш въпросните мрежи, не мисля че това ти е основния източник на проблема ... и яз можем, и тате може, ма козата си сака пръч! Link to comment Share on other sites More sharing options...
darkavenger Posted September 21, 2012 Author Report Share Posted September 21, 2012 (edited) Проблема не идва от това. Тези мрежи не се ползват при мене. Засякох рутери ТЕНДА да повтарят всеки пакет изпратен към тях обратно към мрежата и то стократно вкл. към собствения си адрес. Други пък правят това. 15:17:33.397009 IP 109.107.80.227 > wmxp-101-130-255-123.kualnet.jp: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36 15:17:33.399184 IP 109.107.80.227 > cpe-67-253-1-195.maine.res.rr.com: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36 15:17:33.408567 IP 109.107.80.227 > 157.55.130.166: ICMP redirect 192.168.115.223 to host 109.107.80.1, length 36 15:17:33.408806 IP 109.107.80.227 > 157.55.130.166: ICMP redirect 192.168.115.223 to host 109.107.80.1, length 36 15:17:33.409268 IP 109.107.80.227 > 157.55.130.166: ICMP redirect 192.168.115.223 to host 109.107.80.1, length 36 15:17:33.409514 IP 109.107.80.227 > 157.55.130.166: ICMP redirect 192.168.115.223 to host 109.107.80.1, length 36 15:17:33.409526 IP 109.107.80.227 > 157.55.130.166: ICMP redirect 192.168.115.223 to host 109.107.80.1, length 36 15:17:33.413501 IP 109.107.80.227 > pop-140.33.escom.bg: ICMP redirect 188.124.71.25 to host 109.107.80.1, length 36 15:17:33.415839 IP 109.107.80.227 > 79-117-108-216.rdsnet.ro: ICMP redirect 192.168.101.6 to host 109.107.80.1, length 36 15:17:33.428673 IP 109.107.80.227 > cpe-67-253-1-195.maine.res.rr.com: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36 15:17:33.444090 IP 109.107.80.227 > c-76-21-102-108.hsd1.ca.comcast.net: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36 15:17:33.448113 IP 109.107.80.227 > c-98-206-76-41.hsd1.in.comcast.net: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36 15:17:33.448901 IP 109.107.80.227 > 178-118-32-17.access.telenet.be: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36 15:17:33.449775 IP 109.107.80.227 > FL1-125-193-78-50.osk.mesh.ad.jp: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36 15:17:33.449925 IP 109.107.80.227 > c-76-21-102-108.hsd1.ca.comcast.net: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36 ^C15:17:33.456539 IP 109.107.80.227 > 222.187.94.57: ICMP redirect 188.124.66.2 to host 109.107.80.1, length 36 Edited September 21, 2012 by darkavenger Link to comment Share on other sites More sharing options...
MiPSus Posted September 21, 2012 Report Share Posted September 21, 2012 (edited) Ами прилича на NAT "луп" , но пак да спомена , че всичките тези рутери/модели се ползват в доста мрежи ....етц етц, а и въпрос две - означава ли че винаги си имал този проблем или всички тези рутери са се появили изведнъж Структурно отвъм мрежата ти изглежда , Border | ISG (linux) | L2 Agregation/Access ---- Servers (екстри некви) | Users,Users,Users,Users,Users,Users.......... Та предполагаемата грешка трябва да е някъде в агрегейшъна, всичко ли е на VLAN-и и съседните селца/градчета? Как е сегментацията, в кои велани имаш грижата и защо в други нямаш? Случва се да бъде клониран мак на домашен рутер, след време PC-то бива продадено/ преместено и е нов абонат в различен VLAN в различна IP мрежа, двата VLAN-a минават през едно cisco , а то хич не обича два еднакви мака в различни VLAN-и Edited September 21, 2012 by MiPSus ... и яз можем, и тате може, ма козата си сака пръч! Link to comment Share on other sites More sharing options...
Mile Posted September 21, 2012 Report Share Posted September 21, 2012 рутер Тенда ударен с чук ме кара да се усмихвам поне 20 минути след това В стерилна среда работят ок. Ако виждат само gw и нищо друго. Има ли бридж или повече хостове... мани.. Link to comment Share on other sites More sharing options...
Administrator Велин Posted September 22, 2012 Administrator Report Share Posted September 22, 2012 и аз бях пускал тема за тоя смотан рутер, и проблема май им се задълбочава... Не отговарям на постове написани с шльокавица! Link to comment Share on other sites More sharing options...
MiPSus Posted September 22, 2012 Report Share Posted September 22, 2012 Да точно такава е топологията на мрежата. Рутерите винаги ги е имало просто трфика и проблемите , който са генерирали са били по-малки докато в един момент почват да се увеличават с нараствне броя на рутерите в мрежата и увеличаване на абонатите проблемите ескалират и започват да забелязват и да пречат. Това е така, но основната причина не е рутера/клиента, защото сега е тенда утре ще е друго.... Липсва ти сегментацията и правилното разделяне на агрегейшън и аксес левъл и още мъничко L3 , демек са страдате от детски болести още , значи като рекламата наГлобул - ...най-доброто предстои Не бива да се лекува следствието, но в случая не е правилно да лекуваме причината - клиент,рутерчета,фъшкии, значи трябва да се назначът правилните ваксини и антибиотици. Другия ти вариант е да се превърнеш в "ловеца на TENDА" ... и яз можем, и тате може, ма козата си сака пръч! Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now