превращение свичей в хабы

[XoRe 0]

Замечание 1: Не всегда я вижу трафик.

Замечание 2: если с фтп качают 10 абонентов, то вижу я трафик кого-то одно.... с остальными все ок.... иногда двух вижу.

Замечание 3: это не конкретный фтп т.к. замечены все фтп сервера и даже иногда трафик инет-клиент.

Имхо, тут какой-то свич хабом становится.

Можно найти такой свич.

Свич может дублировать только те пакеты, которые проходят через него.

Т.е.: комп 1 - свич - свич - свич - комп 2

Если часто видны пакеты от компа1 до компа 2, то искать надо среди свичей между этими компами.

[Den_LocalNet 1 474]

2XoRe: тут не 500 пакетиков.... тут потоки летят по 10-25 мбит (достаточно что бы положить радиоканалы смотрящие в отдаленные куски сетей)

 

2frig: Вторую сетевушку не могу поставить т.к. нет pci-e под рукой.

то была не трасировка а строка из route print на фтп сервере

Сетевой адрес Маска сети Адрес шлюза Интерфейс

10.0.0.0 255.0.0.0 10.10.10.14 194.0.91.104

выходит что на 10.0.0.0/8 бежим через 194.0.91.104

[Den_LocalNet 1 474]

причем часто снифером видно какие команды фтп серверу клиент шлет....

думаю если слепить всю сессию то можно потом фильм посмотреть который клиент скачал...

 

А нагрузку заметил там где на дом приходит 100 мбит и 20-30 абонентов.... вечерами 100 мбит в полках бывает

 

2J.McKey: Уже вроде пинал... ничего толком не решили.... вернее решили что бывшый длинк глюкавил. Вот и поменяли на ТПЛинк.

[XoRe 0]

2Den_LocalNet:

Хмм...

Та у вас что-то серьёзно )

Судя по картинке у вас в сети 3-4 свича.

Так ли это?

[frig 2]

имхо надобно попробовать либо убрать один адрес с интерфейса, либо поставить вторую сетевушку.

 

Den_LocalNet, если у тебя ссылки на 10,0,0,0 то дропни 194.0.91.104 а если его нужно светить наружу - устрой портмаппинг на шлюзе. и на него -же повесь этот IP.

 

как временное решение должно работать.

 

еще вопрос сразу. траффик видно только между 10.0.0.0 и 194.0.91.0 или внутри каждой сети тоже?

[Den_LocalNet 1 474]

2Den_LocalNet:

Хмм...

Та у вас что-то серьёзно )

Судя по картинке у вас в сети 3-4 свича.

Так ли это?

если бы не серьезно я бы не писал тут.

ну как бы я не готов на всеобщее обозрение выкладывать такие вещи.... конечно не 4 а штук 200+.

Я показал кусок ветки и учел всю активку попути от фтп к клиенту.

[Den_LocalNet 1 474]

имхо надобно попробовать либо убрать один адрес с интерфейса, либо поставить вторую сетевушку.

 

Den_LocalNet, если у тебя ссылки на 10,0,0,0 то дропни 194.0.91.104 а если его нужно светить наружу - устрой портмаппинг на шлюзе. и на него -же повесь этот IP.

 

как временное решение должно работать.

 

еще вопрос сразу. траффик видно только между 10.0.0.0 и 194.0.91.0 или внутри каждой сети тоже?

убрал 194.0.91.104 - трафик как летел с 10.0.0.0 на 194.0.91.0 так и летит.

 

внешник нужен не для наружи а потому что внутри сети есть тоже кучка абонентов в внешними ip.

[frig 2]

трасса с фтп на клиента через маршрутизатор или просто в один хоп?

 

не очень понятно почему пакетики в пределах канальной сети уходят с левым IP

 

а что за тплинк? много ли на нем накручено? (vlan,acl...) что он вообще делает?

 

тут бы выяснить на каком уровне бок, локализовать, а потом уже его бороть.

 

руками переписать на фтп маршруты не пробовал?

[XoRe 0]

2Den_LocalNet:

Имхо, дело не в том, что у тебя 2 ип адреса на интерфейсе.

 

На компе с 2 ипами (192.168.2.15 и 172.16.0.100) пингую шлюз (192.168.2.129 и 172.16.0.1)

C:\Documents and Settings\xore>ping 172.16.0.1

Обмен пакетами с 172.16.0.1 по 32 байт:

Ответ от 172.16.0.1: число байт=32 время<1мс TTL=128
Ответ от 172.16.0.1: число байт=32 время<1мс TTL=128
...

C:\Documents and Settings\xore>ping 192.168.2.129

Обмен пакетами с 192.168.2.129 по 32 байт:

Ответ от 192.168.2.129: число байт=32 время<1мс TTL=128
Ответ от 192.168.2.129: число байт=32 время<1мс TTL=128
Ответ от 192.168.2.129: число байт=32 время<1мс TTL=128

 

На шлюзе видим вот что:

elizovo# tcpdump -ni bge0 host \( 172.16.0.100 or 192.168.2.15 \) and icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bge0, link-type EN10MB (Ethernet), capture size 96 bytes
23:29:38.490990 IP 172.16.0.100 > 172.16.0.1: ICMP echo request, id 768, seq 1280, length 40
23:29:38.491043 IP 172.16.0.1 > 172.16.0.100: ICMP echo reply, id 768, seq 1280, length 40
23:29:39.491336 IP 172.16.0.100 > 172.16.0.1: ICMP echo request, id 768, seq 1536, length 40
23:29:39.491389 IP 172.16.0.1 > 172.16.0.100: ICMP echo reply, id 768, seq 1536, length 40
23:29:44.962288 IP 192.168.2.15 > 192.168.2.129: ICMP echo request, id 512, seq 4864, length 40
23:29:44.962341 IP 192.168.2.129 > 192.168.2.15: ICMP echo reply, id 512, seq 4864, length 40
23:29:45.961960 IP 192.168.2.15 > 192.168.2.129: ICMP echo request, id 512, seq 5120, length 40
23:29:45.962317 IP 192.168.2.129 > 192.168.2.15: ICMP echo reply, id 512, seq 5120, length 40
23:29:46.962975 IP 192.168.2.15 > 192.168.2.129: ICMP echo request, id 512, seq 5376, length 40
23:29:46.963028 IP 192.168.2.129 > 192.168.2.15: ICMP echo reply, id 512, seq 5376, length 40

 

А насчет свичей... помоему кто-то из них тупо работает в режиме хаба )

[frig 2]

да у меня тоже не раз все работало с 2-ми IP я вот только не помню как там было с таблицей маршрутизации...

 

XoRe, а покажи свою.

[XoRe 0]

2frig:

Свою чего? )

[frig 2]

2frig:

Свою чего? )

 

ну понятное дело чего! чем обычно меряются? :-) таблицами маршрутизации конечно!

[XoRe 0]

Хмм...

Мне мериться нечем =)

 

У меня все простенько:

локалка (192.168.0.0/16) - (192.168.2.129) шлюз - инет =)

 

В этой же локалке ещё один диапазон адресов для управляемых свичей:

(172.16.0.0/24) - (172.16.0.1) шлюз

Все дальше никуда, да и между сетями хождение трафика на шлюзе закрыто, кроме админов.