El sáb, 21-03-2009 a las 10:04 -0600, Vida Luz Arista escribió: > Hola a todos, > > > > Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un > problema porque distribuimos el tráfico hacia varias recintos de una > universidad, sin embargo en determinado momento se dispara el trafico > entrante y se vuelve lento todo, configuramos uno de los puertos del switch > como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le > summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP > no hemos encontrado la manera de saber que IP generan ese broadcast, asi > mismo el NTOP consume mucha memoria y a cada momento se detiene. > > > > Agradecería cualquier sugerencia. > > > > Saludos, > > “La Vida” > Ntop tiene una opcion "-l" con esta lo que va capturando se guarda en un archivo con el formato .pcap, entonces lo puedes analizar posteriormente con algun analizador de protocolos compatible con libpcap como tcpdump o wireshark (este ulimo tiene interfaz grafica).
De esta forma puedes analizar mas en calma los datos de la encapsulacion de los paquetes de broadcast para poder llegar a observar una ip de origen o una mac de origen (que te podria llevar al switch que esta propagando el broadcast, observando con los comandos show del 3550 a que puerto esta asociado esa mac de origen). también notaras si hay algun servicio de aplicación involucrado en esto y te pueda dar mas pistas. Eso es lo que se me ocurre a primera instancia para ayudar a detectar el origen del broadcast. La solución del storm control es buena pero es muy util que encuentres desde donde vienen esos broadcast. suerte. -- ::Pedro::GM:: User #397462 http://counter.li.org