Blagodarq na vsichki osobeno na Boyan, Problema se okaza v switch,vsichko veche e nared mersi za podrobnite obqsneniq i syvetite :-)
-=Atanas Vlasakiev=- цитирам Boyan Krosnov <[EMAIL PROTECTED]>: > Izglejda tova da e za net listata > subscribe at: > mailto:[EMAIL PROTECTED] > archive at: http://net.unix-bg.org/ > > Kak da dejstvash pri takava sluchka -------------------- > Pyrvata ti rabota pri takava sluchka e da pozapishesh malko trafik za > analiz. > > tcpdump -i ethX -s 2000 -w dump-fileche.tcpdump > > Puskash go da runva okolo minuta i posle go utrepvash. > > Posle go razglejdash s > > tcpdump -n -e -r dump-fileche.tcpdump > ili s (po-dobriq paketen analizator) ethereal > > Ot kakvo moje da se predizvikva ARP request: --------------- > t.k. tova e mnogo populqrna informaciq, shte obqnsnq mnogo na kratko. > Za vseki multiple access interfeis (kato eth0) na vseki IP host se > poddyrja tablica koqto sydyrja syotvetstvieto na IP adresi s mac adresi > na tozi interfeis. Tova e ARP tablicata. > Vseki pyt kogato trqbva da se prashta paket prez takyv interfeis se pravi > tyrsene v tazi tablica za mac adresa kojto syotvetstva na nexthop ip > adresa asociiran s paketa. > Primerno: > mrejichka 192.168.0.0/24 > pc v neq 192.168.0.2 > router s nat, za vryzka kym internet 192.168.0.1 > > user sqda na pc-to i startira ping 1.1.1.1 > pc-to generira icmp request i go rutira navyn prez eth0 s nexthop > 192.168.0.1 > pc-to si gleda v arp tablicata za eth0 dali ima mac adresa na > 192.168.0.1 > vzima mac adresa ot tam i paketira ip-icmp paketa v ethernet frame: > ethernet_header-ip_header-icmp_message-ethernet_footer > pc-to izprashta paketa navyn prez ethernet interfeisa si. ot tam go > poemat switchove i hubove i v normalnata situaciq tochno edno kopie ot > nego dostiga do vseki host zakachen v tazi mreja, v tova chislo > 192.168.0.1 > > Ako pri tyrseneto na ARP tablicata ne nameri nexthop adresa, host-a > prashta ARP request na broadcast v tazi mreja za da popita, na koj mac > adres se namira tozi ip adres. > > Ili poluchava otgovor ot nqkoj (obiknovenno drugiq host na kojto se > "hostva" tozi ip adresa) che tozi ip adres se namira na mac adres X, v > kojto sluchaj si popylva v tablichkata. Ili ne poluchava otgovor, v kojto > sluchaj prodyljava da prashta po edin ARP request na nqkakvo fixirano > vreme (1 sekunda pri linux), ako razbira se ima vse oshte trafik za > syotvetniq nexthop. > > Ima dve greshni konfiguracii, pri koito sym vijdal generirane na > nenormalno kolichestvo arp requesti ot edin host: > setnat samo interface vmesto nexthop za nqkakvo napravlenie > (obiknovenno 0.0.0.0/0) > mashina s pusnato proxyarp i dve ethernet karti ot razlichni subneti > zakacheni v syshtata fizicheska mreja > > Za jalost ne izglejda tvoq sluchaj da e tozi t.k. za teb izglejda che > vsichki mashini sa se pobyrkali. Tova moje da e predizvikano primerno ot > virus kojto se e namyknal na golqmo kolichestvo pc-ta i se opitva da se > svyrje sys vsevyzmojni ip adresi iz mrejata ti. > > A naj-veroqtnata prichina e che vsichki broadcast paketi ti se kopirat po > mnogo pyti, poradi cikyl nqkyde ethernet-a ti. Specialno vnimanie > obryshtam na fakta che cikyl moje da se obrazuva i samo s edin switch (ot > edin port na swticha na drug) i dori samo s edin port na switch - paketi > izlizashti ot switcha se vryshtat poradi nqkakva prichina obratno. > > malko ASCII art: > A,B,C,D switches > 1,2,3 hosts > ------------ > 2 > | > [A]-+ > | [C]--1 > [B]-+ > | > 3 > ------------ > predstavi si sega arp requestche ot 1 za adresa na 2. t.k. e broadcast > vsichki switchove shte go kopirat po vednyj na vsichkite si portove C > shte go kopira vednyj kym A i vednyj kym B. A shte go kopira vednyj kym 2 > i vednyj kym B i t.n. vij kak izglejdat "pokoleniqta" klonirani paketi > 1. 1->C > 2. C->A,C->B > 3. A->2,A->B,B->A,B->3 > 4. B->C,B->3,A->2,A->C > 5. C->1,C->A,C->1,C->B > 6. obratno na stypka 3 (wash, rinse, repeat) > > pri prilichno byrzi 100 megabitovi switchove tova shte se sluchva 100-na > hilqdi pyti v sekunda i shte zadrystva na maksimum vryzkite do vsichki > pc-ta i mejdu vsichki switchove. > Syznatelno ne opisah pytishtata na arp responsite koito shte se > poluchavat ot 2 kym 1 za po-prosto. > > Tova se naricha broadcast/unknown unicast storm. Drugiq problem kojto se > poluchava pri takiva cikli e mac table instability i ebava mamata ot > update-i na tablichkite na procesornoto vreme na vseki switch s > izkljuchenie na high end modelite na golemite proizvoditeli, koito imat > hardware-no realiziran mac learning s dostatychna skorost. > > Kak da otkriem kyde imame cikyl v mrejata: --------- > > Govorim za nemenajiruemi switchove predpolagam :) > > Zastavash pred switcha, kojto sveti kato koledno dryvche i zapochvash da > vadish kabelite edin po edin prez okolo 2 sekundi (t.k. mrejata taka ili > inache e neizpolzvaema v tozi moment, edva li nqkoj "potrebitel" shte ima > neshto protiv :) ). v momenta v kojto switcha prestane da sveti kato > koledno dryvche, znachi che ili toku shto si iztrygnal vryzkata prez > koqto idvat broadcastite ili si prekysnal cikyla. S nqkolko vadeniq i > pyhaniq na kabeli dosta byrzo shte otkriesh izvajdaneto na koi kabeli > prekysva burqta. ako sa poveche ot edin, znachi che switcha pred kojto > stoish uchastva v cikyla. Ako e samo edin, znachi che po nego poluchavash > broadcastite i cikyla se namira nqkyde v tazi posoka. > > I taka ot gybka na gybka i ot switch na switch dostigash do nqkakva ideq, > prez koi vryzki se obrazuva cikyla. Ostanaloto e istoriq. > > BR, > Boyan Krosnov, CCIE#8701 > http://boyan.ludost.net/ > just another techie speaking for himself > > > > > -----Original Message----- > > From: Atanas Vlasakiev [mailto:[EMAIL PROTECTED] > > Sent: Friday, April 04, 2003 9:51 PM > > To: [EMAIL PROTECTED] > > Subject: lug-bg: Lan problem > > > > > > Zdraveite, > > Predi 2h v Lan-a mi se poqvi ujasno golqm traffic. > > Vseki pita vsekigo arp who-has ....Kogato pratq nqkakvo message po > > broadcast to na momenti se izprashta vednuj na momenti moje i nqkolko > > hilqdi da go povtori .. Strashno se pretovarvam mrejata i > > pochti nishto > > ne minava.Slojix statichni MAC addressi i pochna da vryshta > > po nqkoi dryg > > ping .. > > Na nqkoi dryg da my se e slychilo neshto podobno i da znae nachin za > > razreshavane ? > > Priemam vsqkakvi predlojeniq i syveti ! > > Sega izsledvam malko po obstoino neshtata ...no sym dosta ozadachen.. > > > > -=Atanas Vlasakiev=- > > > > ------------------- ЙЪРТБФЕОП ПФ mail.bG > > уЙМОБ бОФЙ-УРБН ЪБЭЙФБ > > 12MB нСУФП ЪБ РПЭБ > > SMS ЪБ ОПЧ ЕНeКМ Й ЛЯН ДЧБФБ ПРЕТБФПТБ! > > POP3/WAP дПУФЯР > > _________________________________________ > > HOB вEърмATEH AдPEC - http://mail.bg/new/ > > > > ============================================================== > > ============== > > A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). > > http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. > > - Stara Zagora > > To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html > > ============================================================== > > ============== > > > ========================================================================== == > A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). > http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara > Zagora > To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html > ========================================================================== == > -=Atanas Vlasakiev=- ------------------- изпратено от mail.bG Силна Анти-спам защита 12MB Място за поща SMS за нов емeйл и към двата оператора! POP3/WAP Достъп _________________________________________ HOB БEЗПЛATEH AДPEC - http://mail.bg/new/ ============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================