Vida Luz Arista escribió:
Hola a todos,

Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un
problema porque distribuimos el tráfico hacia varias recintos de una
universidad, sin embargo en determinado momento se dispara el trafico
entrante y se vuelve lento todo, configuramos uno de los puertos del switch
como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le
summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP
no hemos encontrado la manera de saber que IP generan ese broadcast, asi
mismo el NTOP consume mucha memoria y a cada momento se detiene.

Agradecería cualquier sugerencia.

Saludos,

“La Vida”



Hola Vida,

Utiliza primero que todo un buen sniffer para analizar el trafico saliente de tu red (un port mirror solamente) y directamente el sniffer .. ¿Cual? Sniffer Pro de Network Associates, Wireshark....los utilizo bastante. Puede darte alguna pista de donde se esta originando ese trafico innecesario. Si ves trafico del tipo 255.255.255.255 ó p.ej 10.20.0.255 no te asustes, también verás un origen y la cantidad de trafico que genera ;). Debe existir algun equipo infectado o un problema hasta de red (bucles, ataques, spoofing) que debes detectar a la brevedad.

Mira, como efecto preventivo puedes limitar el rate de trafico de difusion, con storm-control de Cisco. Ahi puedes especificar que haga un logueo, notifique, descarte el trafico excesivo de difusion o simplemente baje la interfaz.

En la interfaz de tu enlace, aplicas el control y podras evitar excesivos traficos.

Mas info acá. Hay tips utiles de seguridad en capa 2 para equipamiento Cisco : http://www.ccietalk.com/2008/05/27/port-based-traffic-control#more-14

Esto si bien calmará el problema, la raíz de tu problema esta en tu red.


Saludos, Sebastián





Responder a