Cisco 4948 broadcast probelm

[darkavenger]

Днес какво разбрах след преглед на суича. Пакетите се губят от Host Learning .

Packets Dropped by Packet Queue

Queue Total 5 sec avg 1 min avg 5 min avg 1 hour avg

---------------------- --------------- --------- --------- --------- ----------

Host Learning 18597 0 0 0 0

когато се появи проблема загубите за последните 5 сек скачат и след това всичко се оправя.

намалих aginga от 300 15 и се пооправи положението но все още има кратки прекъсвания за по 1 -2 сек явно суича неможе да се справи с всички мак адреси в този влан които в момента са около 2200 . Което е нормално за мрежата имам много повече абонати но проблема се получи последната седмица а абонатите не са се умножили повече . Сиското се е справяло и с 5000 мак адреса .

MAC Entries for Vlan 20:

Dynamic Unicast Address Count: 2257

Static Unicast Address (User-defined) Count: 6

Static Unicast Address (System-defined) Count: 1

Total Unicast MAC Addresses In Use: 2264

Total Unicast MAC Addresses Available: 55000

Multicast MAC Address Count: 19

Total Multicast MAC Addresses Available: 32768

Другият ми въпрос е нормално ли е това (Въпроса е риторичен)

arping 192.168.1.1 -I eth1

ARPING 192.168.1.1 from 192.168.101.1 eth1

Unicast reply from 192.168.1.1 [98:FC:11:48:46:2B] 0.728ms

Unicast reply from 192.168.1.1 [C0:C1:C0:F4:9B:90] 0.795ms

Unicast reply from 192.168.1.1 [00:E0:4C:FC:F6:6B] 0.849ms

Unicast reply from 192.168.1.1 [00:15:AC:0C:DD:6B] 0.884ms

Unicast reply from 192.168.1.1 [00:1E:E5:64:10:98] 0.914ms

Unicast reply from 192.168.1.1 [74:EA:3A:AB:60:EE] 1.117ms

Unicast reply from 192.168.1.1 [00:23:69:F9:42:4D] 1.163ms

Unicast reply from 192.168.1.1 [74:EA:3A:FF:74:C6] 1.321ms

Unicast reply from 192.168.1.1 [00:18:E7:06:5B:E7] 1.352ms

Unicast reply from 192.168.1.1 [00:0B:6A:9D:80:15] 1.382ms

Unicast reply from 192.168.1.1 [00:23:69:7F:CE:55] 1.411ms

Unicast reply from 192.168.1.1 [F0:DE:F1:A2:C5:22] 1.542ms

Unicast reply from 192.168.1.1 [C0:C1:C0:78:E6:05] 1.637ms

Unicast reply from 192.168.1.1 [A0:21:B7:BD:DC:11] 1.712ms

Unicast reply from 192.168.1.1 [00:23:69:F9:43:82] 1.760ms

Unicast reply from 192.168.1.1 [00:1D:60:19:99:11] 1.792ms

Unicast reply from 192.168.1.1 [00:24:B2:06:17:1F] 1.873ms

Unicast reply from 192.168.1.1 [00:22:3F:64:71:67] 1.903ms

пинга е до 192.168.1.1 който е вътрешен интерфейс на домашни рутери на абонати и повечето рутери ми отговарят с мак адреса на външния си интерфейс. но с ип на вътрешния . На моя домашен рутер с ОпенВРТ това го оправих с arp_ignore в /proc/sys/net/ipv4/...... . Но на повечето рутери няма как да стане. Знам че пречи на мрежата но всеки рутер тип сапунерка го има по подразбиране и не на всички може да се изключи.

Редактирано 27 Септември, 2012 от darkavenger

[NetworkPro]

относно файла който ми прати - TTL-а много интересно варира на всеки UPD пакет - изглежда е същия и се подмята помежду тия мак адреси докато не падне TTL-а до единица. Има седем мак адреса които осират нещата, три от тях Tenda. Освен да премахнеш и 7те от мрежата?

Редактирано 18 Септември, 2012 от NetworkPro

[darkavenger]

Пробвал съм да ги махна явяват се нови и нови мак адреси, и ако продължавам трябва да спра половината абонати от тези 7 броя три са на мои рутери но пакета не минава действително през тях. Като премахна дестинеишън ип то флууда към него спира моментално имам чувството че хоста сам пуска пакети към себе си с споофед ип и мак адрес които няводняват мрежата.

Редактирано 18 Септември, 2012 от darkavenger

[hgd]

Ясно е, че проблема е на L2 и е или "луди" сапунерки или нарочна атака.

Предлагам ти да поразгледаш аксес суичовете си. Нали пишеш "по 20 абоната най-много на порт на Cisco switch".

Трябва да понагласиш port security по портовете (вероятно нямаш port-security violation) и ще ги прихванеш/блокираш.

Активирай по тях и DAI и ip source guard-а

Най-добре разгледай

http://www.cisco.com/en/US/products/hw/switches/ps5023/products_configuration_example09186a00807c4101.shtml

[darkavenger]

Имам port-security violation restrict

Нямам и DHCP server всички абонати са с статични ип адреси

Мисля си за вариант суич или суичове в мрежата да хъби и да повтаря трафика на всички свои портове

Редактирано 18 Септември, 2012 от darkavenger

[NetworkPro]

Бъгнат рутер (клиентски) е според мен, залагам 10 лв (един или повече бъгнати).

[MiPSus]

Колега за да не се омотаеш допълнително и да почнеш да се "самонавиваш" , по добре действай по соломоновски - системата "режи и върляй"

Вдигни си темплоръри рутер (линуксче най-универс) , направи си плансхема как можеш да разделиш мрежата така че всеки ден една част от нея да е отделна и да ползва сервайси от темп рутера, по метода на изключването ще откриеш евентуално от коя зона на мрежата ти идва грижата. След това я раздели на две и пак .... докато локализираш проблема. Понякога совите не са това което са - виж финала на подписа ми

Обзалагам се е или е човешка грешка или злоумишлено действие - "man in the middle"

Редактирано 18 Септември, 2012 от MiPSus

[Велин]

Другият ми въпрос е нормално ли е това

arping 192.168.1.1 -I eth1

ARPING 192.168.1.1 from 192.168.101.1 eth1

Unicast reply from 192.168.1.1 [98:FC:11:48:46:2B] 0.728ms

Unicast reply from 192.168.1.1 [C0:C1:C0:F4:9B:90] 0.795ms

Unicast reply from 192.168.1.1 [00:E0:4C:FC:F6:6B] 0.849ms

Unicast reply from 192.168.1.1 [00:15:AC:0C:DD:6B] 0.884ms

......

пинга е до 192.168.1.1 който е вътрешен интерфейс на домашни рутери на абонати и повечето рутери ми отговарят с мак адреса на външния си интерфейс. ...

нормално е за сапунерките, или настройваш ти рутерите на клиентите (и подменяш вътрешните дефолтски мрежи) или спираш да даваш нет на клиентите през тези мрежи разкарваш ги от употреба 192.168.1.1 и 192.168.0.1 и 192.168.2.1 абе въобще всяко ип от ширпотреба го махай.

[Mile]

тенда и асус имат невероятен нат... накъмто навсякаде

Подарям рутери на клиентите с подобни изделия. Спестява време и нерви.

Ако имаш начин за търсене в билинга по производител (по мак) не е лошо да го направиш.

Стига да не са клонирали мак адреса.

Интересното е, че при теб първите 2 мак-а са Cisco-Linksys, а следващите Реалтек и Capelon AB което вероятно е свич или някаква mng щуротия.

Редактирано 19 Септември, 2012 от Mile

[MiPSus]

RTL рутерчетата по принцип си отговарят на arping със вътрешния адрес (192.168.0.1) и WAN mac, съответно и в cisco суича се виждат, но не би следвало да имаш проблем ако не ползваш въпросните мрежи, не мисля че това ти е основния източник на проблема

[darkavenger]

Проблема не идва от това. Тези мрежи не се ползват при мене. Засякох рутери ТЕНДА да повтарят всеки пакет изпратен към тях обратно към мрежата и то стократно вкл. към собствения си адрес.

Други пък правят това.

15:17:33.397009 IP 109.107.80.227 > wmxp-101-130-255-123.kualnet.jp: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36

15:17:33.399184 IP 109.107.80.227 > cpe-67-253-1-195.maine.res.rr.com: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36

15:17:33.408567 IP 109.107.80.227 > 157.55.130.166: ICMP redirect 192.168.115.223 to host 109.107.80.1, length 36

15:17:33.408806 IP 109.107.80.227 > 157.55.130.166: ICMP redirect 192.168.115.223 to host 109.107.80.1, length 36

15:17:33.409268 IP 109.107.80.227 > 157.55.130.166: ICMP redirect 192.168.115.223 to host 109.107.80.1, length 36

15:17:33.409514 IP 109.107.80.227 > 157.55.130.166: ICMP redirect 192.168.115.223 to host 109.107.80.1, length 36

15:17:33.409526 IP 109.107.80.227 > 157.55.130.166: ICMP redirect 192.168.115.223 to host 109.107.80.1, length 36

15:17:33.413501 IP 109.107.80.227 > pop-140.33.escom.bg: ICMP redirect 188.124.71.25 to host 109.107.80.1, length 36

15:17:33.415839 IP 109.107.80.227 > 79-117-108-216.rdsnet.ro: ICMP redirect 192.168.101.6 to host 109.107.80.1, length 36

15:17:33.428673 IP 109.107.80.227 > cpe-67-253-1-195.maine.res.rr.com: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36

15:17:33.444090 IP 109.107.80.227 > c-76-21-102-108.hsd1.ca.comcast.net: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36

15:17:33.448113 IP 109.107.80.227 > c-98-206-76-41.hsd1.in.comcast.net: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36

15:17:33.448901 IP 109.107.80.227 > 178-118-32-17.access.telenet.be: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36

15:17:33.449775 IP 109.107.80.227 > FL1-125-193-78-50.osk.mesh.ad.jp: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36

15:17:33.449925 IP 109.107.80.227 > c-76-21-102-108.hsd1.ca.comcast.net: ICMP redirect 77.76.173.67 to host 109.107.80.1, length 36

^C15:17:33.456539 IP 109.107.80.227 > 222.187.94.57: ICMP redirect 188.124.66.2 to host 109.107.80.1, length 36

Редактирано 21 Септември, 2012 от darkavenger

[MiPSus]

Ами прилича на NAT "луп" , но пак да спомена , че всичките тези рутери/модели се ползват в доста мрежи ....етц етц,

а и въпрос две - означава ли че винаги си имал този проблем или всички тези рутери са се появили изведнъж

Структурно отвъм мрежата ти изглежда ,

Border

|

ISG (linux)

|

L2 Agregation/Access ---- Servers (екстри некви)

|

Users,Users,Users,Users,Users,Users..........

Та предполагаемата грешка трябва да е някъде в агрегейшъна, всичко ли е на VLAN-и и съседните селца/градчета? Как е сегментацията, в кои велани имаш грижата и защо в други нямаш?

Случва се да бъде клониран мак на домашен рутер, след време PC-то бива продадено/ преместено и е нов абонат в различен VLAN в различна IP мрежа, двата VLAN-a минават през едно cisco , а то хич не обича два еднакви мака в различни VLAN-и

Редактирано 21 Септември, 2012 от MiPSus

[Mile]

рутер Тенда ударен с чук ме кара да се усмихвам поне 20 минути след това

В стерилна среда работят ок. Ако виждат само gw и нищо друго. Има ли бридж или повече хостове... мани..

[Велин]

и аз бях пускал тема за тоя смотан рутер, и проблема май им се задълбочава...

[MiPSus]

Да точно такава е топологията на мрежата. Рутерите винаги ги е имало просто трфика и проблемите , който са генерирали са били по-малки докато в един момент почват да се увеличават с нараствне броя на рутерите в мрежата и увеличаване на абонатите проблемите ескалират и започват да забелязват и да пречат.

Това е така, но основната причина не е рутера/клиента, защото сега е тенда утре ще е друго....

Липсва ти сегментацията и правилното разделяне на агрегейшън и аксес левъл и още мъничко L3 , демек са страдате от детски болести още , значи като рекламата наГлобул - ...най-доброто предстои

Не бива да се лекува следствието, но в случая не е правилно да лекуваме причината - клиент,рутерчета,фъшкии, значи трябва да се назначът правилните ваксини и антибиотици.

Другия ти вариант е да се превърнеш в "ловеца на TENDА"