Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 16:59



Ответить на тему  [ Сообщений: 7 ] 
Непонятный трафик на портах коммутаторов Cisco 
Автор Сообщение

Зарегистрирован: 22 июл 2021, 14:08
Сообщения: 6
Здравствуйте!
Посмотрел случайно трафик у себя на ПК вайршарком...
И обнаружил трафик, который на мой ПК (мой порт коммутатора) не должен прилетать.

Т.е. примерно так:
мой mac - 64-00-6A-42-C4-93 и ip x.x.2.50
в вайршарке вижу трафик:


1 src dst
e00e.daab.3cb0 ip "инет адрес" mac и ip какой-нить хоста во внутренней сети x.x.2.0

2 src dst
3037.abb6.fbc0 ip "адрес из другой внутренней сети" mac и ip какой-нить хоста во внутренней сети x.x.2.0

1 -й это mac интерфейса пограничного роутера Cisco4331 во внутреннюю сеть x.x.2.0,
2-й это mac интерфейса внутреннего роутер Cisco3560 в эту же внутреннюю сеть сети x.x.2.0

Каким образом я могу видеть данный трафик??
Никакого порт мирроринга и нигде не настраивал. Агрегаций портов и STP нет.
Коммутатор с которого снимался трафик - cisco 2960.
Спасибо.


22 июл 2021, 16:25
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Что именно Вас смущает в этой ситуации? Хосты какое-то время молчали, допустим. Потом к ним пришёл трафик снаружи, а записи в CAM уже нет, то есть трафик рассылается широковещательно, так как трактуется как BUM.


23 июл 2021, 03:43
Профиль WWW

Зарегистрирован: 22 июл 2021, 14:08
Сообщения: 6
Так дело в том что, этот трафик прям валит постоянно...и много

у меня выходит, что организовано так:
циско3560 является типа внутренним шлюзом с инт-м x.x.2.10 (NAT-а нет), для сети x.x.2.0/24

на ней есть маршрут в инет через циско4331 с инт x.x.2.2 в этой же x.x.2.0/24,
т.е выходит как бы 2-а шлюза в одной сети x.x.2.0/24

похоже, обратный трафик из инета проходя через циско4331 пытается пойти напрямую к хосту из x.x.2.0/24, так как циско4331 напрямую подключена к этой сети..

1. Пакеты в инет от хоста, например х.х.2.50, сети x.x.2.0/24 ,проходя циско3560 маршрутизируются на циско4331, при этом у них же меняется src mac ?
2. Циско4331 у себя видит, что пакет от х.х.2.50 пришел с src mac интерфейса x.x.2.10 циско3560.. вот здесь не происходит как-то запоминания в arp кеше или еще где.. соответствия что хост х.х.2.50 имеет mac-адрес интерфейса x.x.2.10 циско3560?
3. когда трафик идет в обратном направлении, Циско4331 видит что пакет адресован хосту х.х.2.50, сети x.x.2.0/24, которая подключена к циско4331, и отправляет его согласно arp кеша на инт. x.x.2.10 циско3560, которая благополучного его не принимает, так как не его dst ip.
4. И вот тогда Циско4331 отправляет пакеты широковещательно, узнает "правильный" mac для хоста х.х.2.50 и отправляет уже пакеты напрямую хосту х.х.2.50.
5. Но при обмене снова идет пакеты от хоста хоста х.х.2.50 в инет , и соответственно повторяется п.2, и снова меняется в arp кеше mac хоста х.х.2.50 на mac интерфейса x.x.2.10 циско3560...и после этого при обратном трафике повторяется п.3 с широковещательным трафиком...ну и так далее по кругу.

Насколько глубоко я заблуждаюсь? ))


23 июл 2021, 11:38
Профиль

Зарегистрирован: 22 июл 2021, 14:08
Сообщения: 6
"...то есть трафик рассылается широковещательно, так как трактуется как BUM."
если трафик рассылается широковещательно, у него ж должен быть либо широковещательный ip либо mac ? правильно я понимаю?

ни того ни другого нет в таком трафике- указан реальный mac и реальный ip


25 июл 2021, 22:59
Профиль

Зарегистрирован: 22 июл 2021, 14:08
Сообщения: 6
а вот сегодня еще вижу такое:

src
Х.Х.2.96
00:9c:02:9b:f2:58

dst
Х.Х.2.22
00:90:e8:2b:db:f0

эти 2-а устройства подключены к одному циско2960-48,
и это ж ведь не широковещательный трафик?

я подключен к вообще к другому коммутатору циско2960-24 данной сети,
мой ip Х.Х.2.50 mac 64-00-6A-42-C4-93



что посмотреть?


Вложения:
Без імені.jpg
Без імені.jpg [ 148.45 КБ | Просмотров: 3298 ]
26 июл 2021, 09:15
Профиль

Зарегистрирован: 22 июл 2021, 14:08
Сообщения: 6
посмотрел через 10 мин... вышеуказанный трафик исчез в вайршарке на моей ПК х.х.2.50...
хотя я точно знаю что обмен между х.х.2.96 и х.х.2.22 идет непрерывно практически...

втф?


26 июл 2021, 09:30
Профиль

Зарегистрирован: 22 июл 2021, 14:08
Сообщения: 6
Решил вродь:
Кроме того что у меня был ассиметричный роутинг (2-а роутера - 4341 и 3560 в одном влан-е), так и еще они были разделены коммутатором 2960.

В самом механизме возникновения флуд-трафика так и не разобрался,
так как наблюдая за этим трафиком просматривал arp кеш и mac address table коммутаторов и все mac-и флуд-трафика присутствовали и в arp кеше и в mac address table коммутаторов...
Еще заметил что флуд трафик прерывался на сек 20-30 после запуска пинга на внутренний ПК ip, которого был в dst ip, но потом снова возобновлялся.

После того как роутер 4331 включил напрямую в L3 коммутатор 3560 (т.е. по сути 2-а роутера включены в один коммутатор L2 3560) - исчез полностью флуд обратного трафика из инета на пк во внутренней сети влан1.

также интересные ссылочки по теме:
https://www.cisco.com/c/en/us/support/d ... 3-143.html
https://habr.com/ru/post/155265/


27 июл 2021, 13:16
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 7 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 57


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB