Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
Проблема с сетью
 
Есть сеть на 40 коммутаторах 3Com 3300 и 4200. Недавно начались чудеса: некоторые коммутаторы перестают пинговаться, через несколько минут все нормально. Притом сами коммутаторы работают и трафик через них идет, пакеты не теряются. Среднее время отклика от этих и других коммутаторов (но не всех) выросло в 2-3 раза. Никаких аномалий, кроме этих замечено не было. Что бы это могло быть и как с этим бороться?
 
Приснифйте сеть. поссмотрите какой трафик, возможно паразитный, у вас там гуляет
 
Возможно, коммутаторы были атакованы шквалом ARP-пакетов... Так что действительно стоит начать с анализа траффика. В первую очередь, поискать "левые" ARP-пакеты.
У этих коммутаторов возможна привязка MAC-адресов к портам?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Цитата
Shanker пишет:
У этих коммутаторов возможна привязка MAC-адресов к портам?
У них если мен память не изменяет есть довольно богатый спектр улуг ACL)
По поводу того что атаковало вот кстати после прочтения статьи по STP спрошу у автора, используються ли "кольца" в сети? Т.к. это тоже может является целью атаки и в последнее время "модно"
 
Посмотртите ещё на вариант затроянения (заражения) машины (машин) в сети. В случае рассылки спама и попыток дальнейшего распространия трояна они запросто могут класть свичи. Бродкаст шторм, как-никак. Особенно, если сеть не разбита на VLAN-ы.
 
Цитата
Shanker пишет:
В первую очередь, поискать "левые" ARP-пакеты.
У этих коммутаторов возможна привязка MAC-адресов к портам?
Левых ARP пакетов не нашел. Привязка MAC к порту есть.
 
Цитата
-=SL@yeR=- пишет:
Привязка MAC к порту есть.
Есть - в смысле, она реализована в коммутаторах или в смысле, что кроме этой реализации она ещё вами используется?

Я правильно понял, что был проанализирован трафик именно во время возникновения неполадок? Если так: какие-нибудь необычные пакеты были выявлены
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Цитата
Shanker пишет:
Есть - в смысле, она реализована в коммутаторах или в смысле, что кроме этой реализации она ещё вами используется?
Цитата
SOLDIER пишет:
Особенно, если сеть не разбита на VLAN-ы.
Цитата
ANGEL#13 пишет:
есть довольно богатый спектр улуг ACL)
Цитата
ANGEL#13 пишет:
используються ли "кольца" в сети?
Если хотите чтобы вам помогли ответьте н6а эти вопросы все таки
 
Кстати - да. Насчёт "колец" - тоже правильная мысль. Есть ли STP? Если есть - настроен ли? Именно он как раз и предназначен для борьбы с "кольцами".
 
Цитата
SOLDIER пишет:
Именно он как раз и предназначен для борьбы с "кольцами".
И даже если он настроен на него как раз существует несколько видов атак. поэтому стоит задуматьсяо внедрении RSTP или MSTP зависимости от топологии и ситуации
 
Цитата
Shanker пишет:
Есть - в смысле, она реализована в коммутаторах или в смысле, что кроме этой реализации она ещё вами используется?
Привязка порта к MAC реализована на уровне самих коммутаторов.
Цитата
ANGEL#13 пишет:
используються ли "кольца" в сети? Т.к. это тоже может является целью атаки и в последнее время "модно"
Цитата
SOLDIER пишет:
Есть ли STP? Если есть - настроен ли? Именно он как раз и предназначен для борьбы с "кольцами".
"Колец" в сети нет. Коммутаторы поддерживают STP, но он не включен.
Цитата
SOLDIER пишет:
Посмотртите ещё на вариант затроянения (заражения) машины (машин) в сети. В случае рассылки спама и попыток дальнейшего распространия трояна они запросто могут класть свичи. Бродкаст шторм, как-никак. Особенно, если сеть не разбита на VLAN-ы.
Сеть не разбита на VLAN'ы. Проверка на вирусы ничего особенного не выявила, да и траффик по портам коммутаторов в норме. Что можно считать бродкаст штормом?
Цитата
Shanker пишет:
Я правильно понял, что был проанализирован трафик именно во время возникновения неполадок? Если так: какие-нибудь необычные пакеты были выявлены
Трафик анализировал во время неполадок. Каких либо необычных пакетов не нашел.
 
Цитата
-=SL@yeR=- пишет:
Что можно считать бродкаст штормом?
Широковещательный шторм (англ. Broadcast storm) - лавина (всплеск) широковещательных (служебных) пакетов. Размножение некорректно сформированных широковещательных сообщений в каждом узле приводит к экспоненциальному росту их числа и парализует работу сети. Обычно такие пакеты используются сетевыми сервисами для оповещения станций о своем присутствии. Считается нормальным, если широковещательные пакеты составляют около 10% от общего числа пакетов в сети.
 
Цитата
ANGEL#13 пишет:
Считается нормальным, если широковещательные пакеты составляют около 10% от общего числа пакетов в сети.
Приму к сведению.
 
По любому - всё сводится к тому, что надо слушать сетку и пытаться вычислить некие сетевые аномалии. Которых не должно быть при нормальной работе.
 
Подскажите, плиз!
У нас есть один ноут, который подключен к инету. Сис админ поставил защиту по мак адресу, поэтому второй ноут подключить не могли.
Купили Wifi access point D link 2100 поменяли на нем мак адрес на такой, как у ноута, который может выходить в инет. Конектимся и получается так: локальная сетка есть(видны остальные компы в сети, которые тоже имеют доступ в инет), а самого инета нету, а очень хочется.
Посоветуйте, что сделать!
К сис админу обращаться не хочется. А если он и заметит, что защиту обошли, то ничего страшного.
Заранее спасибо!
 
Цитата
kisa372 пишет:
D link 2100
Надо было вначал выцчить мат часть по АП
Цитата
kisa372 пишет:
Сис админ поставил защиту по мак адресу,
На уровне чего? Порта коммутатора или пграничника?
Цитата
kisa372 пишет:
Подскажите, плиз!
Прокси. НАТ (причем на сче второго я думаю меня сейчас поправят я не уверен что "двойной" нат будет работать)
 
Цитата
ANGEL#13 пишет:
"двойной" нат будет работать
и не только двойной... не вижу проблем. и опыт есть.
 
Цитата
Алекс М пишет:
и не только двойной... не вижу проблем. и опыт есть.
Это хорошо, был неуверен ибо опыта такого нет
 
Могу только предположить, что на 40 коммутаторах 3COM долго строит Spanning Tree, поэтому процессор занят и отвечает с задержками. Возможно, что у вас появился канал между коммутаторами который случайным образом то отваливается то появляется, что приводит к постоянной перестройке дерева.
Я бы на Вашем месте обратился к производителю оборудования.
 
Цитата
ksiva пишет:
что на 40 коммутаторах 3COM долго строит Spanning Tree
Гражданин сказал что "колец" нет и следовательно STP не включен
Страницы: 1 2 След.
Читают тему