|
|
Страница 1 из 1
|
[ Сообщений: 7 ] |
|
Непонятный трафик на портах коммутаторов Cisco
Автор |
Сообщение |
Андрей Бр.
Зарегистрирован: 22 июл 2021, 14:08 Сообщения: 6
|
Здравствуйте! Посмотрел случайно трафик у себя на ПК вайршарком... И обнаружил трафик, который на мой ПК (мой порт коммутатора) не должен прилетать.
Т.е. примерно так: мой mac - 64-00-6A-42-C4-93 и ip x.x.2.50 в вайршарке вижу трафик:
1 src dst e00e.daab.3cb0 ip "инет адрес" mac и ip какой-нить хоста во внутренней сети x.x.2.0
2 src dst 3037.abb6.fbc0 ip "адрес из другой внутренней сети" mac и ip какой-нить хоста во внутренней сети x.x.2.0
1 -й это mac интерфейса пограничного роутера Cisco4331 во внутреннюю сеть x.x.2.0, 2-й это mac интерфейса внутреннего роутер Cisco3560 в эту же внутреннюю сеть сети x.x.2.0
Каким образом я могу видеть данный трафик?? Никакого порт мирроринга и нигде не настраивал. Агрегаций портов и STP нет. Коммутатор с которого снимался трафик - cisco 2960. Спасибо.
|
22 июл 2021, 16:25 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Что именно Вас смущает в этой ситуации? Хосты какое-то время молчали, допустим. Потом к ним пришёл трафик снаружи, а записи в CAM уже нет, то есть трафик рассылается широковещательно, так как трактуется как BUM.
|
23 июл 2021, 03:43 |
|
|
Андрей Бр.
Зарегистрирован: 22 июл 2021, 14:08 Сообщения: 6
|
Так дело в том что, этот трафик прям валит постоянно...и много
у меня выходит, что организовано так: циско3560 является типа внутренним шлюзом с инт-м x.x.2.10 (NAT-а нет), для сети x.x.2.0/24
на ней есть маршрут в инет через циско4331 с инт x.x.2.2 в этой же x.x.2.0/24, т.е выходит как бы 2-а шлюза в одной сети x.x.2.0/24
похоже, обратный трафик из инета проходя через циско4331 пытается пойти напрямую к хосту из x.x.2.0/24, так как циско4331 напрямую подключена к этой сети..
1. Пакеты в инет от хоста, например х.х.2.50, сети x.x.2.0/24 ,проходя циско3560 маршрутизируются на циско4331, при этом у них же меняется src mac ? 2. Циско4331 у себя видит, что пакет от х.х.2.50 пришел с src mac интерфейса x.x.2.10 циско3560.. вот здесь не происходит как-то запоминания в arp кеше или еще где.. соответствия что хост х.х.2.50 имеет mac-адрес интерфейса x.x.2.10 циско3560? 3. когда трафик идет в обратном направлении, Циско4331 видит что пакет адресован хосту х.х.2.50, сети x.x.2.0/24, которая подключена к циско4331, и отправляет его согласно arp кеша на инт. x.x.2.10 циско3560, которая благополучного его не принимает, так как не его dst ip. 4. И вот тогда Циско4331 отправляет пакеты широковещательно, узнает "правильный" mac для хоста х.х.2.50 и отправляет уже пакеты напрямую хосту х.х.2.50. 5. Но при обмене снова идет пакеты от хоста хоста х.х.2.50 в инет , и соответственно повторяется п.2, и снова меняется в arp кеше mac хоста х.х.2.50 на mac интерфейса x.x.2.10 циско3560...и после этого при обратном трафике повторяется п.3 с широковещательным трафиком...ну и так далее по кругу.
Насколько глубоко я заблуждаюсь? ))
|
23 июл 2021, 11:38 |
|
|
Андрей Бр.
Зарегистрирован: 22 июл 2021, 14:08 Сообщения: 6
|
"...то есть трафик рассылается широковещательно, так как трактуется как BUM." если трафик рассылается широковещательно, у него ж должен быть либо широковещательный ip либо mac ? правильно я понимаю?
ни того ни другого нет в таком трафике- указан реальный mac и реальный ip
|
25 июл 2021, 22:59 |
|
|
Андрей Бр.
Зарегистрирован: 22 июл 2021, 14:08 Сообщения: 6
|
а вот сегодня еще вижу такое:
src Х.Х.2.96 00:9c:02:9b:f2:58
dst Х.Х.2.22 00:90:e8:2b:db:f0
эти 2-а устройства подключены к одному циско2960-48, и это ж ведь не широковещательный трафик?
я подключен к вообще к другому коммутатору циско2960-24 данной сети, мой ip Х.Х.2.50 mac 64-00-6A-42-C4-93
что посмотреть?
Вложения:
Без імені.jpg [ 148.45 КБ | Просмотров: 3309 ]
|
26 июл 2021, 09:15 |
|
|
Андрей Бр.
Зарегистрирован: 22 июл 2021, 14:08 Сообщения: 6
|
посмотрел через 10 мин... вышеуказанный трафик исчез в вайршарке на моей ПК х.х.2.50... хотя я точно знаю что обмен между х.х.2.96 и х.х.2.22 идет непрерывно практически...
втф?
|
26 июл 2021, 09:30 |
|
|
Андрей Бр.
Зарегистрирован: 22 июл 2021, 14:08 Сообщения: 6
|
Решил вродь: Кроме того что у меня был ассиметричный роутинг (2-а роутера - 4341 и 3560 в одном влан-е), так и еще они были разделены коммутатором 2960. В самом механизме возникновения флуд-трафика так и не разобрался, так как наблюдая за этим трафиком просматривал arp кеш и mac address table коммутаторов и все mac-и флуд-трафика присутствовали и в arp кеше и в mac address table коммутаторов... Еще заметил что флуд трафик прерывался на сек 20-30 после запуска пинга на внутренний ПК ip, которого был в dst ip, но потом снова возобновлялся. После того как роутер 4331 включил напрямую в L3 коммутатор 3560 (т.е. по сути 2-а роутера включены в один коммутатор L2 3560) - исчез полностью флуд обратного трафика из инета на пк во внутренней сети влан1. также интересные ссылочки по теме: https://www.cisco.com/c/en/us/support/d ... 3-143.htmlhttps://habr.com/ru/post/155265/
|
27 июл 2021, 13:16 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 7 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 51 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|