Jump to content

Cisco 4948 broadcast probelm


darkavenger

Recommended Posts

Днес какво разбрах след преглед на суича. Пакетите се губят от Host Learning .

Packets Dropped by Packet Queue

Queue Total 5 sec avg 1 min avg 5 min avg 1 hour avg

---------------------- --------------- --------- --------- --------- ----------

Host Learning 18597 0 0 0 0

когато се появи проблема загубите за последните 5 сек скачат и след това всичко се оправя.

намалих aginga от 300 15 и се пооправи положението но все още има кратки прекъсвания за по 1 -2 сек явно суича неможе да се справи с всички мак адреси в този влан които в момента са около 2200 . Което е нормално за мрежата имам много повече абонати но проблема се получи последната седмица а абонатите не са се умножили повече . Сиското се е справяло и с 5000 мак адреса .

MAC Entries for Vlan 20:

Dynamic Unicast Address Count: 2257

Static Unicast Address (User-defined) Count: 6

Static Unicast Address (System-defined) Count: 1

Total Unicast MAC Addresses In Use: 2264

Total Unicast MAC Addresses Available: 55000

Multicast MAC Address Count: 19

Total Multicast MAC Addresses Available: 32768

Другият ми въпрос е нормално ли е това (Въпроса е риторичен)

arping 192.168.1.1 -I eth1

ARPING 192.168.1.1 from 192.168.101.1 eth1

Unicast reply from 192.168.1.1 [98:FC:11:48:46:2B] 0.728ms

Unicast reply from 192.168.1.1 [C0:C1:C0:F4:9B:90] 0.795ms

Unicast reply from 192.168.1.1 [00:E0:4C:FC:F6:6B] 0.849ms

Unicast reply from 192.168.1.1 [00:15:AC:0C:DD:6B] 0.884ms

Unicast reply from 192.168.1.1 [00:1E:E5:64:10:98] 0.914ms

Unicast reply from 192.168.1.1 [74:EA:3A:AB:60:EE] 1.117ms

Unicast reply from 192.168.1.1 [00:23:69:F9:42:4D] 1.163ms

Unicast reply from 192.168.1.1 [74:EA:3A:FF:74:C6] 1.321ms

Unicast reply from 192.168.1.1 [00:18:E7:06:5B:E7] 1.352ms

Unicast reply from 192.168.1.1 [00:0B:6A:9D:80:15] 1.382ms

Unicast reply from 192.168.1.1 [00:23:69:7F:CE:55] 1.411ms

Unicast reply from 192.168.1.1 [F0:DE:F1:A2:C5:22] 1.542ms

Unicast reply from 192.168.1.1 [C0:C1:C0:78:E6:05] 1.637ms

Unicast reply from 192.168.1.1 [A0:21:B7:BD:DC:11] 1.712ms

Unicast reply from 192.168.1.1 [00:23:69:F9:43:82] 1.760ms

Unicast reply from 192.168.1.1 [00:1D:60:19:99:11] 1.792ms

Unicast reply from 192.168.1.1 [00:24:B2:06:17:1F] 1.873ms

Unicast reply from 192.168.1.1 [00:22:3F:64:71:67] 1.903ms

пинга е до 192.168.1.1 който е вътрешен интерфейс на домашни рутери на абонати и повечето рутери ми отговарят с мак адреса на външния си интерфейс. но с ип на вътрешния . На моя домашен рутер с ОпенВРТ това го оправих с arp_ignore в /proc/sys/net/ipv4/...... . Но на повечето рутери няма как да стане. Знам че пречи на мрежата но всеки рутер тип сапунерка го има по подразбиране и не на всички може да се изключи.

Редактирано от darkavenger
  • Харесай 1
Адрес на коментара
Сподели в други сайтове

относно файла който ми прати - TTL-а много интересно варира на всеки UPD пакет - изглежда е същия и се подмята помежду тия мак адреси докато не падне TTL-а до единица. Има седем мак адреса които осират нещата, три от тях Tenda. Освен да премахнеш и 7те от мрежата?

Редактирано от NetworkPro
Адрес на коментара
Сподели в други сайтове

Пробвал съм да ги махна явяват се нови и нови мак адреси, и ако продължавам трябва да спра половината абонати от тези 7 броя три са на мои рутери но пакета не минава действително през тях. Като премахна дестинеишън ип то флууда към него спира моментално имам чувството че хоста сам пуска пакети към себе си с споофед ип и мак адрес които няводняват мрежата.

Редактирано от darkavenger
Адрес на коментара
Сподели в други сайтове

Ясно е, че проблема е на L2 и е или "луди" сапунерки или нарочна атака.

Предлагам ти да поразгледаш аксес суичовете си. Нали пишеш "по 20 абоната най-много на порт на Cisco switch".

Трябва да понагласиш port security по портовете (вероятно нямаш port-security violation) и ще ги прихванеш/блокираш.

Активирай по тях и DAI и ip source guard-а

Най-добре разгледай

http://www.cisco.com/en/US/products/hw/switches/ps5023/products_configuration_example09186a00807c4101.shtml

Адрес на коментара
Сподели в други сайтове

Имам port-security violation restrict

Нямам и DHCP server всички абонати са с статични ип адреси

Мисля си за вариант суич или суичове в мрежата да хъби и да повтаря трафика на всички свои портове

Редактирано от darkavenger
Адрес на коментара
Сподели в други сайтове

Бъгнат рутер (клиентски) е според мен, залагам 10 лв (един или повече бъгнати).

Адрес на коментара
Сподели в други сайтове

Колега за да не се омотаеш допълнително и да почнеш да се "самонавиваш" , по добре действай по соломоновски - системата "режи и върляй" ::)

Вдигни си темплоръри рутер (линуксче най-универс) , направи си плансхема как можеш да разделиш мрежата така че всеки ден една част от нея да е отделна и да ползва сервайси от темп рутера, по метода на изключването ще откриеш евентуално от коя зона на мрежата ти идва грижата. След това я раздели на две и пак .... докато локализираш проблема. Понякога совите не са това което са - виж финала на подписа ми :-

Обзалагам се е или е човешка грешка или злоумишлено действие - "man in the middle"

Редактирано от MiPSus

... и яз можем, и тате може, ма козата си сака пръч!

Адрес на коментара
Сподели в други сайтове

  • Администратор

Другият ми въпрос е нормално ли е това

arping 192.168.1.1 -I eth1

ARPING 192.168.1.1 from 192.168.101.1 eth1

Unicast reply from 192.168.1.1 [98:FC:11:48:46:2B] 0.728ms

Unicast reply from 192.168.1.1 [C0:C1:C0:F4:9B:90] 0.795ms

Unicast reply from 192.168.1.1 [00:E0:4C:FC:F6:6B] 0.849ms

Unicast reply from 192.168.1.1 [00:15:AC:0C:DD:6B] 0.884ms

......

пинга е до 192.168.1.1 който е вътрешен интерфейс на домашни рутери на абонати и повечето рутери ми отговарят с мак адреса на външния си интерфейс. ...

нормално е за сапунерките, или настройваш ти рутерите на клиентите (и подменяш вътрешните дефолтски мрежи) или спираш да даваш нет на клиентите през тези мрежи разкарваш ги от употреба 192.168.1.1 и 192.168.0.1 и 192.168.2.1 :) абе въобще всяко ип от ширпотреба го махай.

  • Харесай 1

Не отговарям на постове написани с шльокавица!

Адрес на коментара
Сподели в други сайтове

тенда и асус имат невероятен нат... накъмто навсякаде ;)

Подарям рутери на клиентите с подобни изделия. Спестява време и нерви.

Ако имаш начин за търсене в билинга по производител (по мак) не е лошо да го направиш.

Стига да не са клонирали мак адреса.

Интересното е, че при теб първите 2 мак-а са Cisco-Linksys, а следващите Реалтек и Capelon AB което вероятно е свич или някаква mng щуротия.

Редактирано от Mile
Адрес на коментара
Сподели в други сайтове

RTL рутерчетата по принцип си отговарят на arping със вътрешния адрес (192.168.0.1) и WAN mac, съответно и в cisco суича се виждат, но не би следвало да имаш проблем ако не ползваш въпросните мрежи, не мисля че това ти е основния източник на проблема :-

... и яз можем, и тате може, ма козата си сака пръч!

Адрес на коментара
Сподели в други сайтове

Проблема не идва от това. Тези мрежи не се ползват при мене. Засякох рутери ТЕНДА да повтарят всеки пакет изпратен към тях обратно към мрежата и то стократно вкл. към собствения си адрес.

Други пък правят това.

15:17:33.397009 IP 109.107.80.227 > wmxp-101-130-255-123.kualnet.jp: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36

15:17:33.399184 IP 109.107.80.227 > cpe-67-253-1-195.maine.res.rr.com: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36

15:17:33.408567 IP 109.107.80.227 > 157.55.130.166: ICMP redirect 192.168.115.223 to host 109.107.80.1, length 36

15:17:33.408806 IP 109.107.80.227 > 157.55.130.166: ICMP redirect 192.168.115.223 to host 109.107.80.1, length 36

15:17:33.409268 IP 109.107.80.227 > 157.55.130.166: ICMP redirect 192.168.115.223 to host 109.107.80.1, length 36

15:17:33.409514 IP 109.107.80.227 > 157.55.130.166: ICMP redirect 192.168.115.223 to host 109.107.80.1, length 36

15:17:33.409526 IP 109.107.80.227 > 157.55.130.166: ICMP redirect 192.168.115.223 to host 109.107.80.1, length 36

15:17:33.413501 IP 109.107.80.227 > pop-140.33.escom.bg: ICMP redirect 188.124.71.25 to host 109.107.80.1, length 36

15:17:33.415839 IP 109.107.80.227 > 79-117-108-216.rdsnet.ro: ICMP redirect 192.168.101.6 to host 109.107.80.1, length 36

15:17:33.428673 IP 109.107.80.227 > cpe-67-253-1-195.maine.res.rr.com: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36

15:17:33.444090 IP 109.107.80.227 > c-76-21-102-108.hsd1.ca.comcast.net: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36

15:17:33.448113 IP 109.107.80.227 > c-98-206-76-41.hsd1.in.comcast.net: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36

15:17:33.448901 IP 109.107.80.227 > 178-118-32-17.access.telenet.be: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36

15:17:33.449775 IP 109.107.80.227 > FL1-125-193-78-50.osk.mesh.ad.jp: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36

15:17:33.449925 IP 109.107.80.227 > c-76-21-102-108.hsd1.ca.comcast.net: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36

^C15:17:33.456539 IP 109.107.80.227 > 222.187.94.57: ICMP redirect 188.124.66.2 to host 109.107.80.1, length 36

Редактирано от darkavenger
  • Харесай 1
Адрес на коментара
Сподели в други сайтове

Ами прилича на NAT "луп" , но пак да спомена , че всичките тези рутери/модели се ползват в доста мрежи ....етц етц,

а и въпрос две - означава ли че винаги си имал този проблем или всички тези рутери са се появили изведнъж ::)

Структурно отвъм мрежата ти изглежда ,

Border

|

ISG (linux)

|

L2 Agregation/Access ---- Servers (екстри некви)

|

Users,Users,Users,Users,Users,Users..........

Та предполагаемата грешка трябва да е някъде в агрегейшъна, всичко ли е на VLAN-и и съседните селца/градчета? Как е сегментацията, в кои велани имаш грижата и защо в други нямаш?

Случва се да бъде клониран мак на домашен рутер, след време PC-то бива продадено/ преместено и е нов абонат в различен VLAN в различна IP мрежа, двата VLAN-a минават през едно cisco , а то хич не обича два еднакви мака в различни VLAN-и

Редактирано от MiPSus

... и яз можем, и тате може, ма козата си сака пръч!

Адрес на коментара
Сподели в други сайтове

рутер Тенда ударен с чук ме кара да се усмихвам поне 20 минути след това ;)

В стерилна среда работят ок. Ако виждат само gw и нищо друго. Има ли бридж или повече хостове... мани..

Адрес на коментара
Сподели в други сайтове

  • Администратор

и аз бях пускал тема за тоя смотан рутер, и проблема май им се задълбочава...

Не отговарям на постове написани с шльокавица!

Адрес на коментара
Сподели в други сайтове

Да точно такава е топологията на мрежата. Рутерите винаги ги е имало просто трфика и проблемите , който са генерирали са били по-малки докато в един момент почват да се увеличават с нараствне броя на рутерите в мрежата и увеличаване на абонатите проблемите ескалират и започват да забелязват и да пречат.

Това е така, но основната причина не е рутера/клиента, защото сега е тенда утре ще е друго....

Липсва ти сегментацията и правилното разделяне на агрегейшън и аксес левъл и още мъничко L3 , демек са страдате от детски болести още , значи като рекламата наГлобул - ...най-доброто предстои ::)

Не бива да се лекува следствието, но в случая не е правилно да лекуваме причината - клиент,рутерчета,фъшкии, значи трябва да се назначът правилните ваксини и антибиотици.

Другия ти вариант е да се превърнеш в "ловеца на TENDА" 8)

... и яз можем, и тате може, ма козата си сака пръч!

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.