forum.opennet.ru - "свитчинг" (23)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"свитчинг"

Форум Маршрутизаторы CISCO и др. оборудование. (Cisco Catalyst коммутаторы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"свитчинг"	+/–
Сообщение от Damage on 15-Окт-14, 15:22
Добрый день. Банальный вопрос, но что-то всю голову сломал. Есть Catalyst 6500, есть на нём Vlan 103. Делаю monitor session 1 source interface gi3/32 monitor session 1 destination remote vlan 131 В порт Gi3/32 включено оборудование с одним IP и одним mac адресом. Смотрю в wireshark. Почему-то на этот порт поступает трафик, который не предназначен для этого хоста. Не широковещательный, а обычный уникаст трафик между другими хостами. Причем периодами. То ничего нет, то вдруг посыпалось. До 40 мбит чужого трафика. Т.е. получается свитч работает как хаб. Почему так может происходить?
Ответить \| Правка \| Cообщить модератору

Оглавление

свитчинг, Merridius, 21:36 , 15-Окт-14, (1) +1
свитчинг, ShyLion, 08:59 , 16-Окт-14, (2)

свитчинг, sergjack, 10:00 , 16-Окт-14, (3)
свитчинг, rusadmin, 10:01 , 16-Окт-14, (4)

свитчинг, sergjack, 10:47 , 16-Окт-14, (5)

свитчинг, ShyLion, 11:24 , 16-Окт-14, (6)

свитчинг, sergjack, 11:32 , 16-Окт-14, (7)

свитчинг, ShyLion, 11:51 , 16-Окт-14, (8)

свитчинг, sergjack, 12:08 , 16-Окт-14, (9)

свитчинг, rusadmin, 12:45 , 16-Окт-14, (12)
свитчинг, ShyLion, 12:47 , 16-Окт-14, (13)

свитчинг, rusadmin, 12:42 , 16-Окт-14, (11)

свитчинг, ShyLion, 13:10 , 16-Окт-14, (14)

свитчинг, rusadmin, 13:18 , 16-Окт-14, (15)

свитчинг, vigogne, 12:26 , 16-Окт-14, (10) +1

свитчинг, Merridius, 00:30 , 17-Окт-14, (16)

свитчинг, vigogne, 08:22 , 17-Окт-14, (17)
свитчинг, sergjack, 09:54 , 17-Окт-14, (18)

свитчинг, sergjack, 11:48 , 17-Окт-14, (19)

свитчинг, MACAddr, 05:53 , 20-Окт-14, (20)
свитчинг, MACAddr, 05:54 , 20-Окт-14, (21)

свитчинг, sergjack, 09:40 , 20-Окт-14, (22)

свитчинг, MACAddr, 11:07 , 20-Окт-14, (23)

Сообщения по теме [Сортировка по времени | RSS]

1. "свитчинг" +1 +/–

Сообщение от Merridius (ok) on 15-Окт-14, 21:36

>[оверквотинг удален]
> monitor session 1 source interface gi3/32
> monitor session 1 destination remote vlan 131
> В порт Gi3/32 включено оборудование с одним IP и одним mac адресом.
> Смотрю в wireshark.
> Почему-то на этот порт поступает трафик, который не предназначен для этого хоста.
> Не широковещательный, а обычный уникаст трафик между другими хостами.
> Причем периодами. То ничего нет, то вдруг посыпалось. До 40 мбит чужого
> трафика.
> Т.е. получается свитч работает как хаб.
> Почему так может происходить?
Unknown unicast flooding.
Читаем до просветления:
http://www.cisco.com/c/en/us/support/docs/switches/catalyst-...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "свитчинг" +/–

Сообщение от ShyLion (ok) on 16-Окт-14, 08:59

> Банальный вопрос, но что-то всю голову сломал.
Ответ тоже банальный: куда слать unicast траффик если в таблице МАКов такого еще пока или уже нет?
Такое очень часто случается со всякими видеокамерами с кривым софтом, которым клиент сказал слать RTP и сам уснул/отключился, а камера старается вовсю, не смотря на то, что от клиента давно ничего не приходило.
Особенно прекрасно когда в сети есть сегменты, подключенные низкоскоростными модемами. Таких лучще в отдельные виланы.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "свитчинг" +/–

Сообщение от sergjack (ok) on 16-Окт-14, 10:00

>> Банальный вопрос, но что-то всю голову сломал.
> Ответ тоже банальный: куда слать unicast траффик если в таблице МАКов такого
> еще пока или уже нет?
> Такое очень часто случается со всякими видеокамерами с кривым софтом, которым клиент
> сказал слать RTP и сам уснул/отключился, а камера старается вовсю, не
> смотря на то, что от клиента давно ничего не приходило.
да не, там трафик постоянно активных хостов. типа web серверов и концентраторов vpn,
которые всегда онлайн.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "свитчинг" +/–

Сообщение от rusadmin (ok) on 16-Окт-14, 10:01

>> Банальный вопрос, но что-то всю голову сломал.
> Ответ тоже банальный: куда слать unicast траффик если в таблице МАКов такого
> еще пока или уже нет?
> Такое очень часто случается со всякими видеокамерами с кривым софтом, которым клиент
> сказал слать RTP и сам уснул/отключился, а камера старается вовсю, не
> смотря на то, что от клиента давно ничего не приходило.
> Особенно прекрасно когда в сети есть сегменты, подключенные низкоскоростными модемами.
> Таких лучще в отдельные виланы.
Поддержу, встречал тонну shdsl и vdsl модемов, которые весь трафик пересылали обратно, образуя петлю.
Так же подобная ситуация возможна когда на роутере нет ARP записи о хосте, для которого предназначается этот unicast трафик, в связи с чем он шлет его бродкастом, и еще, возможно, на одном из центральных коммутаторов заполнилась таблица маков. В этом случае действия будут аналогичными, как при случае отсуствия ARP записи

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "свитчинг" +/–

Сообщение от sergjack (ok) on 16-Окт-14, 10:47

> Поддержу, встречал тонну shdsl и vdsl модемов, которые весь трафик пересылали обратно,
> образуя петлю.
хм, у меня, конечно, кабельных модемов нет, но есть удалённый сегмент сети, дотянутый l2 через wan
> Так же подобная ситуация возможна когда на роутере нет ARP записи о
> хосте, для которого предназначается этот unicast трафик, в связи с чем
> он шлет его бродкастом,
А не должен он в таком случае сначала узнать mac получателя?
там в пакетах виден мак получателя и он не 0000000000

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "свитчинг" +/–

Сообщение от ShyLion (ok) on 16-Окт-14, 11:24

>> Поддержу, встречал тонну shdsl и vdsl модемов, которые весь трафик пересылали обратно,
>> образуя петлю.
> хм, у меня, конечно, кабельных модемов нет, но есть удалённый сегмент сети,
> дотянутый l2 через wan
>> Так же подобная ситуация возможна когда на роутере нет ARP записи о
>> хосте, для которого предназначается этот unicast трафик, в связи с чем
>> он шлет его бродкастом,
> А не должен он в таком случае сначала узнать mac получателя?
> там в пакетах виден мак получателя и он не 0000000000
Кто он? Коммутатор? А если хост назначения вообще траффик не генерит? Он не обязан.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "свитчинг" +/–

Сообщение от sergjack (ok) on 16-Окт-14, 11:32

>
> Кто он? Коммутатор? А если хост назначения вообще траффик не генерит? Он
> не обязан.
маршрутизатор
хост назначения - концентратор vpn, на нём сотня клиентов висит. не мог свитч его забыть.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "свитчинг" +/–

Сообщение от ShyLion (ok) on 16-Окт-14, 11:51

>>
>> Кто он? Коммутатор? А если хост назначения вообще траффик не генерит? Он
>> не обязан.
> маршрутизатор
> хост назначения - концентратор vpn, на нём сотня клиентов висит. не мог
> свитч его забыть.
Ты с топологией сперва определись. То, что на порту есть какой-то МАК еще не означает что в него нельзя форвардить unicast flood. Флуд идет по всем портам в вилане и транкам.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "свитчинг" +/–

Сообщение от sergjack (ok) on 16-Окт-14, 12:08

> Ты с топологией сперва определись. То, что на порту есть какой-то МАК
> еще не означает что в него нельзя форвардить unicast flood. Флуд
> идет по всем портам в вилане и транкам.
так а зачем флудить если мак-то известен коммутатору?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "свитчинг" +/–

Сообщение от rusadmin (ok) on 16-Окт-14, 12:45

>> Ты с топологией сперва определись. То, что на порту есть какой-то МАК
>> еще не означает что в него нельзя форвардить unicast flood. Флуд
>> идет по всем портам в вилане и транкам.
> так а зачем флудить если мак-то известен коммутатору?
Читаем теорию по коммутации.
По-проще написано в ниже в моем комменте

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "свитчинг" +/–

Сообщение от ShyLion (ok) on 16-Окт-14, 12:47

>> Ты с топологией сперва определись. То, что на порту есть какой-то МАК
>> еще не означает что в него нельзя форвардить unicast flood. Флуд
>> идет по всем портам в вилане и транкам.
> так а зачем флудить если мак-то известен коммутатору?
Чтобы понять что к чему, нужно правильно сформулировать вопросы.
В исходном сообщении, почему-то от другого пользователя, спрашивалось "Почему-то на этот порт поступает трафик, который не предназначен для этого хоста."
О том, что в таблице маков присутствует/отсутствует МАК назначения - ни слова. Телепаты в отпуске. Нагадать можно что угодно.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "свитчинг" +/–

Сообщение от rusadmin (ok) on 16-Окт-14, 12:42

>> Поддержу, встречал тонну shdsl и vdsl модемов, которые весь трафик пересылали обратно,
>> образуя петлю.
> хм, у меня, конечно, кабельных модемов нет, но есть удалённый сегмент сети,
> дотянутый l2 через wan
>> Так же подобная ситуация возможна когда на роутере нет ARP записи о
>> хосте, для которого предназначается этот unicast трафик, в связи с чем
>> он шлет его бродкастом,
> А не должен он в таком случае сначала узнать mac получателя?
> там в пакетах виден мак получателя и он не 0000000000
а причем тут 0000000000?
Бродкаст выглядит в назначении FFFFFFFFFFFF
Да и внимательно читаем мой пункт №2, но разжую: если таблица коммутации полна и/или мак назначения отсутствует в оной - коммутатор НЕ МЕНЯЯ АДРЕС НАЗНАЧЕНИЯ В ПАКЕТЕ рассылает бродкастом пакет во все линки, кроме исходного (данное утверждение не справедливо для говнокоммутаторов типа телесинов да длинков)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "свитчинг" +/–

Сообщение от ShyLion (ok) on 16-Окт-14, 13:10

> бродкастом пакет во все линки, кроме
правильный термин - флуд (flood)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "свитчинг" +/–

Сообщение от rusadmin (ok) on 16-Окт-14, 13:18

>> бродкастом пакет во все линки, кроме
> правильный термин - флуд (flood)
К*в, те же яйца, вид сбоку;)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

10. "свитчинг" +1 +/–

Сообщение от vigogne (ok) on 16-Окт-14, 12:26

>[оверквотинг удален]
> monitor session 1 source interface gi3/32
> monitor session 1 destination remote vlan 131
> В порт Gi3/32 включено оборудование с одним IP и одним mac адресом.
> Смотрю в wireshark.
> Почему-то на этот порт поступает трафик, который не предназначен для этого хоста.
> Не широковещательный, а обычный уникаст трафик между другими хостами.
> Причем периодами. То ничего нет, то вдруг посыпалось. До 40 мбит чужого
> трафика.
> Т.е. получается свитч работает как хаб.
> Почему так может происходить?
Может что-то подобное? http://habrahabr.ru/post/155265/
В любом случае, такое необходимо отлавливать и пресекать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "свитчинг" +/–

Сообщение от Merridius (ok) on 17-Окт-14, 00:30

>[оверквотинг удален]
>> В порт Gi3/32 включено оборудование с одним IP и одним mac адресом.
>> Смотрю в wireshark.
>> Почему-то на этот порт поступает трафик, который не предназначен для этого хоста.
>> Не широковещательный, а обычный уникаст трафик между другими хостами.
>> Причем периодами. То ничего нет, то вдруг посыпалось. До 40 мбит чужого
>> трафика.
>> Т.е. получается свитч работает как хаб.
>> Почему так может происходить?
> Может что-то подобное? http://habrahabr.ru/post/155265/
> В любом случае, такое необходимо отлавливать и пресекать.
Ответил же еще в первом сообщении, что это Unknown unicast flooding.
Причин может быть несколько, но вы действительно думаете, что на C6500 с любым супом быть коллизия хэшей? Это же сколько маков он в него вдувает тогда.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "свитчинг" +/–

Сообщение от vigogne (ok) on 17-Окт-14, 08:22

>[оверквотинг удален]
>>> Причем периодами. То ничего нет, то вдруг посыпалось. До 40 мбит чужого
>>> трафика.
>>> Т.е. получается свитч работает как хаб.
>>> Почему так может происходить?
>> Может что-то подобное? http://habrahabr.ru/post/155265/
>> В любом случае, такое необходимо отлавливать и пресекать.
> Ответил же еще в первом сообщении, что это Unknown unicast flooding.
> Причин может быть несколько, но вы действительно думаете, что на C6500 с
> любым супом быть коллизия хэшей? Это же сколько маков он в
> него вдувает тогда.
Так коллизия хешей может быть и при полупустой MAC-таблице.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "свитчинг" +/–

Сообщение от sergjack (ok) on 17-Окт-14, 09:54

>
> Ответил же еще в первом сообщении, что это Unknown unicast flooding.
> Причин может быть несколько
Поясните, пожалуйста, если я правильно понимаю значение слова unknown, это значит, что в мак таблице свитча не должно быть маков узлов получателей для которых сыпется трафик.
т.е. они должны по каким-то причинам пропасть.
Насколько я понял, для хоста, который постоянно активен это может быть, например, событие TC от spanning tree?
А, если, всё-таки, маки в таблице свитча есть, то какие еще могут быть причины?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "свитчинг" +/–

Сообщение от sergjack (ok) on 17-Окт-14, 11:48

> А, если, всё-таки, маки в таблице свитча есть, то какие еще могут
> быть причины?
Похоже я разобрался.
У меня два бордера, которые смотрят внутренним интерфейсом в этот VLAN.
Имеет место ассиметричный роутинг. И как вы правильно подсказали это один из сценариев возникновения unknown unicast flood.
Привёл в соответствие arp timeout на роутерах к aging-time на свитчах и флуд пропал.
Всем спасибо.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "свитчинг" +/–

Сообщение от MACAddr on 20-Окт-14, 05:53

>> А, если, всё-таки, маки в таблице свитча есть, то какие еще могут
>> быть причины?
> Похоже я разобрался.
> У меня два бордера, которые смотрят внутренним интерфейсом в этот VLAN.
> Имеет место ассиметричный роутинг. И как вы правильно подсказали это один из
> сценариев возникновения unknown unicast flood.
> Привёл в соответствие arp timeout на роутерах к aging-time на свитчах и
> флуд пропал.
> Всем спасибо.
скажите пожалуйста, к чему привели? agging time сделали 4 часа или arp timeout 5 минут?
или какой-то свой интервал подобрали одинаковый для agging и arp timeout?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "свитчинг" +/–

Сообщение от MACAddr on 20-Окт-14, 05:54

ну, и если можно, то почему именно тот или иной вариант выбрали?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "свитчинг" +/–

Сообщение от sergjack (ok) on 20-Окт-14, 09:40

> ну, и если можно, то почему именно тот или иной вариант выбрали?
сделал 5 минут арп на роутерах.
основная причина - свитчей много, а роутеров всего два.
сеть не высоконагруженная, чуть больше арпа никак не скажется.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "свитчинг" +/–

Сообщение от MACAddr on 20-Окт-14, 11:07

>> ну, и если можно, то почему именно тот или иной вариант выбрали?
> сделал 5 минут арп на роутерах.
> основная причина - свитчей много, а роутеров всего два.
> сеть не высоконагруженная, чуть больше арпа никак не скажется.
спасибо за ответ.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "свитчинг"	+1 +/–
Сообщение от Merridius (ok) on 15-Окт-14, 21:36
>[оверквотинг удален] > monitor session 1 source interface gi3/32 > monitor session 1 destination remote vlan 131 > В порт Gi3/32 включено оборудование с одним IP и одним mac адресом. > Смотрю в wireshark. > Почему-то на этот порт поступает трафик, который не предназначен для этого хоста. > Не широковещательный, а обычный уникаст трафик между другими хостами. > Причем периодами. То ничего нет, то вдруг посыпалось. До 40 мбит чужого > трафика. > Т.е. получается свитч работает как хаб. > Почему так может происходить? Unknown unicast flooding. Читаем до просветления: http://www.cisco.com/c/en/us/support/docs/switches/catalyst-...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "свитчинг"	+/–
Сообщение от ShyLion (ok) on 16-Окт-14, 08:59
> Банальный вопрос, но что-то всю голову сломал. Ответ тоже банальный: куда слать unicast траффик если в таблице МАКов такого еще пока или уже нет? Такое очень часто случается со всякими видеокамерами с кривым софтом, которым клиент сказал слать RTP и сам уснул/отключился, а камера старается вовсю, не смотря на то, что от клиента давно ничего не приходило. Особенно прекрасно когда в сети есть сегменты, подключенные низкоскоростными модемами. Таких лучще в отдельные виланы.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "свитчинг"	+/–
	Сообщение от sergjack (ok) on 16-Окт-14, 10:00
	>> Банальный вопрос, но что-то всю голову сломал. > Ответ тоже банальный: куда слать unicast траффик если в таблице МАКов такого > еще пока или уже нет? > Такое очень часто случается со всякими видеокамерами с кривым софтом, которым клиент > сказал слать RTP и сам уснул/отключился, а камера старается вовсю, не > смотря на то, что от клиента давно ничего не приходило. да не, там трафик постоянно активных хостов. типа web серверов и концентраторов vpn, которые всегда онлайн.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "свитчинг"	+/–
	Сообщение от rusadmin (ok) on 16-Окт-14, 10:01
	>> Банальный вопрос, но что-то всю голову сломал. > Ответ тоже банальный: куда слать unicast траффик если в таблице МАКов такого > еще пока или уже нет? > Такое очень часто случается со всякими видеокамерами с кривым софтом, которым клиент > сказал слать RTP и сам уснул/отключился, а камера старается вовсю, не > смотря на то, что от клиента давно ничего не приходило. > Особенно прекрасно когда в сети есть сегменты, подключенные низкоскоростными модемами. > Таких лучще в отдельные виланы. Поддержу, встречал тонну shdsl и vdsl модемов, которые весь трафик пересылали обратно, образуя петлю. Так же подобная ситуация возможна когда на роутере нет ARP записи о хосте, для которого предназначается этот unicast трафик, в связи с чем он шлет его бродкастом, и еще, возможно, на одном из центральных коммутаторов заполнилась таблица маков. В этом случае действия будут аналогичными, как при случае отсуствия ARP записи
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "свитчинг"	+/–
	Сообщение от sergjack (ok) on 16-Окт-14, 10:47
	> Поддержу, встречал тонну shdsl и vdsl модемов, которые весь трафик пересылали обратно, > образуя петлю. хм, у меня, конечно, кабельных модемов нет, но есть удалённый сегмент сети, дотянутый l2 через wan > Так же подобная ситуация возможна когда на роутере нет ARP записи о > хосте, для которого предназначается этот unicast трафик, в связи с чем > он шлет его бродкастом, А не должен он в таком случае сначала узнать mac получателя? там в пакетах виден мак получателя и он не 0000000000
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "свитчинг"	+/–
	Сообщение от ShyLion (ok) on 16-Окт-14, 11:24
	>> Поддержу, встречал тонну shdsl и vdsl модемов, которые весь трафик пересылали обратно, >> образуя петлю. > хм, у меня, конечно, кабельных модемов нет, но есть удалённый сегмент сети, > дотянутый l2 через wan >> Так же подобная ситуация возможна когда на роутере нет ARP записи о >> хосте, для которого предназначается этот unicast трафик, в связи с чем >> он шлет его бродкастом, > А не должен он в таком случае сначала узнать mac получателя? > там в пакетах виден мак получателя и он не 0000000000 Кто он? Коммутатор? А если хост назначения вообще траффик не генерит? Он не обязан.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "свитчинг"	+/–
	Сообщение от sergjack (ok) on 16-Окт-14, 11:32
	> > Кто он? Коммутатор? А если хост назначения вообще траффик не генерит? Он > не обязан. маршрутизатор хост назначения - концентратор vpn, на нём сотня клиентов висит. не мог свитч его забыть.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "свитчинг"	+/–
	Сообщение от ShyLion (ok) on 16-Окт-14, 11:51
	>> >> Кто он? Коммутатор? А если хост назначения вообще траффик не генерит? Он >> не обязан. > маршрутизатор > хост назначения - концентратор vpn, на нём сотня клиентов висит. не мог > свитч его забыть. Ты с топологией сперва определись. То, что на порту есть какой-то МАК еще не означает что в него нельзя форвардить unicast flood. Флуд идет по всем портам в вилане и транкам.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "свитчинг"	+/–
	Сообщение от sergjack (ok) on 16-Окт-14, 12:08
	> Ты с топологией сперва определись. То, что на порту есть какой-то МАК > еще не означает что в него нельзя форвардить unicast flood. Флуд > идет по всем портам в вилане и транкам. так а зачем флудить если мак-то известен коммутатору?
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	12. "свитчинг"	+/–
	Сообщение от rusadmin (ok) on 16-Окт-14, 12:45
	>> Ты с топологией сперва определись. То, что на порту есть какой-то МАК >> еще не означает что в него нельзя форвардить unicast flood. Флуд >> идет по всем портам в вилане и транкам. > так а зачем флудить если мак-то известен коммутатору? Читаем теорию по коммутации. По-проще написано в ниже в моем комменте
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	13. "свитчинг"	+/–
	Сообщение от ShyLion (ok) on 16-Окт-14, 12:47
	>> Ты с топологией сперва определись. То, что на порту есть какой-то МАК >> еще не означает что в него нельзя форвардить unicast flood. Флуд >> идет по всем портам в вилане и транкам. > так а зачем флудить если мак-то известен коммутатору? Чтобы понять что к чему, нужно правильно сформулировать вопросы. В исходном сообщении, почему-то от другого пользователя, спрашивалось "Почему-то на этот порт поступает трафик, который не предназначен для этого хоста." О том, что в таблице маков присутствует/отсутствует МАК назначения - ни слова. Телепаты в отпуске. Нагадать можно что угодно.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "свитчинг"	+/–
	Сообщение от rusadmin (ok) on 16-Окт-14, 12:42
	>> Поддержу, встречал тонну shdsl и vdsl модемов, которые весь трафик пересылали обратно, >> образуя петлю. > хм, у меня, конечно, кабельных модемов нет, но есть удалённый сегмент сети, > дотянутый l2 через wan >> Так же подобная ситуация возможна когда на роутере нет ARP записи о >> хосте, для которого предназначается этот unicast трафик, в связи с чем >> он шлет его бродкастом, > А не должен он в таком случае сначала узнать mac получателя? > там в пакетах виден мак получателя и он не 0000000000 а причем тут 0000000000? Бродкаст выглядит в назначении FFFFFFFFFFFF Да и внимательно читаем мой пункт №2, но разжую: если таблица коммутации полна и/или мак назначения отсутствует в оной - коммутатор НЕ МЕНЯЯ АДРЕС НАЗНАЧЕНИЯ В ПАКЕТЕ рассылает бродкастом пакет во все линки, кроме исходного (данное утверждение не справедливо для говнокоммутаторов типа телесинов да длинков)
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	14. "свитчинг"	+/–
	Сообщение от ShyLion (ok) on 16-Окт-14, 13:10
	> бродкастом пакет во все линки, кроме правильный термин - флуд (flood)
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	15. "свитчинг"	+/–
	Сообщение от rusadmin (ok) on 16-Окт-14, 13:18
	>> бродкастом пакет во все линки, кроме > правильный термин - флуд (flood) К*в, те же яйца, вид сбоку;)
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору

10. "свитчинг"	+1 +/–
Сообщение от vigogne (ok) on 16-Окт-14, 12:26
>[оверквотинг удален] > monitor session 1 source interface gi3/32 > monitor session 1 destination remote vlan 131 > В порт Gi3/32 включено оборудование с одним IP и одним mac адресом. > Смотрю в wireshark. > Почему-то на этот порт поступает трафик, который не предназначен для этого хоста. > Не широковещательный, а обычный уникаст трафик между другими хостами. > Причем периодами. То ничего нет, то вдруг посыпалось. До 40 мбит чужого > трафика. > Т.е. получается свитч работает как хаб. > Почему так может происходить? Может что-то подобное? http://habrahabr.ru/post/155265/ В любом случае, такое необходимо отлавливать и пресекать.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	16. "свитчинг"	+/–
	Сообщение от Merridius (ok) on 17-Окт-14, 00:30
	>[оверквотинг удален] >> В порт Gi3/32 включено оборудование с одним IP и одним mac адресом. >> Смотрю в wireshark. >> Почему-то на этот порт поступает трафик, который не предназначен для этого хоста. >> Не широковещательный, а обычный уникаст трафик между другими хостами. >> Причем периодами. То ничего нет, то вдруг посыпалось. До 40 мбит чужого >> трафика. >> Т.е. получается свитч работает как хаб. >> Почему так может происходить? > Может что-то подобное? http://habrahabr.ru/post/155265/ > В любом случае, такое необходимо отлавливать и пресекать. Ответил же еще в первом сообщении, что это Unknown unicast flooding. Причин может быть несколько, но вы действительно думаете, что на C6500 с любым супом быть коллизия хэшей? Это же сколько маков он в него вдувает тогда.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	17. "свитчинг"	+/–
	Сообщение от vigogne (ok) on 17-Окт-14, 08:22
	>[оверквотинг удален] >>> Причем периодами. То ничего нет, то вдруг посыпалось. До 40 мбит чужого >>> трафика. >>> Т.е. получается свитч работает как хаб. >>> Почему так может происходить? >> Может что-то подобное? http://habrahabr.ru/post/155265/ >> В любом случае, такое необходимо отлавливать и пресекать. > Ответил же еще в первом сообщении, что это Unknown unicast flooding. > Причин может быть несколько, но вы действительно думаете, что на C6500 с > любым супом быть коллизия хэшей? Это же сколько маков он в > него вдувает тогда. Так коллизия хешей может быть и при полупустой MAC-таблице.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "свитчинг"	+/–
	Сообщение от sergjack (ok) on 17-Окт-14, 09:54
	> > Ответил же еще в первом сообщении, что это Unknown unicast flooding. > Причин может быть несколько Поясните, пожалуйста, если я правильно понимаю значение слова unknown, это значит, что в мак таблице свитча не должно быть маков узлов получателей для которых сыпется трафик. т.е. они должны по каким-то причинам пропасть. Насколько я понял, для хоста, который постоянно активен это может быть, например, событие TC от spanning tree? А, если, всё-таки, маки в таблице свитча есть, то какие еще могут быть причины?
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	19. "свитчинг"	+/–
	Сообщение от sergjack (ok) on 17-Окт-14, 11:48
	> А, если, всё-таки, маки в таблице свитча есть, то какие еще могут > быть причины? Похоже я разобрался. У меня два бордера, которые смотрят внутренним интерфейсом в этот VLAN. Имеет место ассиметричный роутинг. И как вы правильно подсказали это один из сценариев возникновения unknown unicast flood. Привёл в соответствие arp timeout на роутерах к aging-time на свитчах и флуд пропал. Всем спасибо.
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	20. "свитчинг"	+/–
	Сообщение от MACAddr on 20-Окт-14, 05:53
	>> А, если, всё-таки, маки в таблице свитча есть, то какие еще могут >> быть причины? > Похоже я разобрался. > У меня два бордера, которые смотрят внутренним интерфейсом в этот VLAN. > Имеет место ассиметричный роутинг. И как вы правильно подсказали это один из > сценариев возникновения unknown unicast flood. > Привёл в соответствие arp timeout на роутерах к aging-time на свитчах и > флуд пропал. > Всем спасибо. скажите пожалуйста, к чему привели? agging time сделали 4 часа или arp timeout 5 минут? или какой-то свой интервал подобрали одинаковый для agging и arp timeout?
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	21. "свитчинг"	+/–
	Сообщение от MACAddr on 20-Окт-14, 05:54
	ну, и если можно, то почему именно тот или иной вариант выбрали?
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	22. "свитчинг"	+/–
	Сообщение от sergjack (ok) on 20-Окт-14, 09:40
	> ну, и если можно, то почему именно тот или иной вариант выбрали? сделал 5 минут арп на роутерах. основная причина - свитчей много, а роутеров всего два. сеть не высоконагруженная, чуть больше арпа никак не скажется.
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	23. "свитчинг"	+/–
	Сообщение от MACAddr on 20-Окт-14, 11:07
	>> ну, и если можно, то почему именно тот или иной вариант выбрали? > сделал 5 минут арп на роутерах. > основная причина - свитчей много, а роутеров всего два. > сеть не высоконагруженная, чуть больше арпа никак не скажется. спасибо за ответ.
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору