forum.opennet.ru

Составление сообщения

Исходное сообщение

"Чужой трафик на портах коммутатора"
Отправлено Ufolog, 19-Апр-10 17:42

Топология сети:
Есть сетка из 40 коммутаторов, в основном это HP 2510, HP 2524 , Cisco 2950, они разбиты на 3 здания и по топологии звезда подключены к коммутатору здания, коммутатором здания является Cisco 3550. Коммутаторы здания в свою очередь сходятся на коммутатор Cisco 3550, где порты работают в режиме access и находятся в одном влане, объединяя эти 3-и здания в одну сеть (конфига главного превести не могу, у меня нет прав).
Проблема:
Пользуясь снифером Wireshark обнаружил, что на портах гуляет трафик с других машин, не весь а только небольшая часть, но если умножить это на 40 коммутаторов то получается, что по сетке гуляет прилично левого трафика.
Вопрос:
Из-за чего может гулять левый трафик, как устранить или хотя бы локализовать проблему.
Конфиги коммутаторов:
(хх - замена инфы, там все точно правильно)
(up-link в режиме access без настроек)
Cisco 2950:
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
!
enable secret 5  xxxxxxxxxxxxxxxxx
!
clock timezone Kiev 2
clock summer-time Kiev recurring last Sun Mar 2:00 last Sun Oct 2:00
ip subnet-zero
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
interface FastEthernet0/1
description SHUTDOWN
switchport mode access
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky хххх.хххх.хххх.хххх
shutdown
storm-control broadcast level 90.00
no cdp enable
spanning-tree portfast
...
interface Vlan1
ip address xx.xx.xx.xx 255.255.252.0
no ip route-cache
!
ip default-gateway xx.xx.xx.xx
no ip http server
logging xx.xx.xx.xx
access-list 5 permit xx.xx.xx.0 0.0.0.255
access-list 5 permit xx.xx.xx.0 0.0.0.255
access-list 5 deny   any
snmp-server community xxxxxxx RO
!
line con 0
exec-timeout 0 0
line vty 0 4
access-class 5 in
exec-timeout 15 0
password xxxxxxxx
login
line vty 5 15
access-class 5 in
exec-timeout 15 0
password xxxxxxx
login
!
ntp clock-period 17179983
ntp server xx.xx.xx.xx
!
end
НР 2510/2524:
Running configuration:
; J9019A Configuration Editor; Created on release #Q.11.17
time timezone 120
time daylight-time-rule Middle-Europe-and-Portugal
console inactivity-timer 10
no web-management
interface 1
   name "SHUTDOWN"
   broadcast-limit 10
exit
,,,
interface 26
   name "trk_sw2/2(cisco2950-24)"
exit
ip default-gateway xx.xx.xx.xx
sntp server xx.xx.xx.xx
timesync sntp
sntp unicast
sntp 30
logging xx.xx.xx.xx
snmp-server community "xxxxxxxx"
snmp-server enable traps authentication
vlan 1
   name "DEFAULT_VLAN"
   untagged 1-26
   ip address xx.xx.xx.xx 255.255.252.0
   exit
ip authorized-managers xx.xx.xx.0 255.255.255.0
no stack
port-security 3 learn-mode static action send-alarm xxxxxxxxxxxx
lldp admin-status 1-19,21-25 disable
no cdp enable 1-19,21-25
ip ssh
no tftp client
password manager
password operator

Cisco 3550 (коммутаторы здания)
version 12.1
no service pad
service timestamps debug uptime
service timestamps log datetime localtime
service password-encryption
service sequence-numbers
no service dhcp
!
!
logging console critical
enable secret 5 xxxxxxxxxxxxxxxxxx
enable password 7 xxxxxxxxxxxxxxxxxxx
!
username xxxxxx password 7 xxxxxxxxxxxxxxxxxx
clock timezone DNEPR 2
clock summer-time DNEPR recurring last Sun Mar 2:00 last Sun Oct 2:00
ip subnet-zero
ip routing
!
ip domain-list xxxxxxxxxxxxxxxxx
ip domain-name xxxxxxxxxxxxxxxx
ip name-server xx.xx.xx.xx
ip name-server xx.xx.xx.xx
!
spanning-tree mode pvst
spanning-tree extend system-id
!
!
interface FastEthernet0/1
description SHUTDOWN
switchport mode access
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky
shutdown
!
....
interface FastEthernet0/14
switchport trunk encapsulation dot1q
switchport mode trunk

interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode access
interface Vlan1
ip address xx.xx.xx.xx 255.255.252.0
!
interface Vlan2
ip address xx.xx.xx.xx 255.255.255.0
!
interface Vlan3
  ip address xx.xx.xx.xx 255.255.255.224
shutdown
!
ip default-gateway xx.xx.xx.xx
ip classless
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.xx
ip route xx.xx.xx.xx 255.255.255.224 xx.xx.xx.xx
no ip http server
!
logging trap debugging
logging facility local0
logging source-interface Vlan1
logging xx.xx.xx.xx
access-list 1 permit xx.xx.xx.0 0.0.0.255
access-list 1 deny   any
access-list 2 remark -- ntp sinhronizaciya
access-list 2 permit xx.xx.xx.xx
access-list 2 deny   any
access-list 60 permit xx.xx.xx.xx
access-list 60 remark -- Zapret dostupa SNMP
access-list 60 deny   any
snmp-server community xxxxxxxxx RO 60

snmp-server enable traps snmp authentication linkdown linkup coldstart
snmp-server enable traps config
snmp-server enable traps entity
snmp-server enable traps rtr
snmp-server enable traps port-security
snmp-server enable traps vtp
snmp-server enable traps syslog
snmp-server host xx.xx.xx.xx xxxxxxxxx
!
line con 0
exec-timeout 0 0
line vty 0 4
access-class 1 in
exec-timeout 15 0
password 7 xxxxxxxxxxxxxxxxx
login
line vty 5 15
exec-timeout 15 0
password 7 xxxxxxxxxxxxxxxxx
login
transport input none
!
ntp clock-period 17180577
ntp access-group peer 2
ntp server xx.xx.xx.xx
!

Исходное сообщение
"Чужой трафик на портах коммутатора" Отправлено Ufolog, 19-Апр-10 17:42
Топология сети: Есть сетка из 40 коммутаторов, в основном это HP 2510, HP 2524 , Cisco 2950, они разбиты на 3 здания и по топологии звезда подключены к коммутатору здания, коммутатором здания является Cisco 3550. Коммутаторы здания в свою очередь сходятся на коммутатор Cisco 3550, где порты работают в режиме access и находятся в одном влане, объединяя эти 3-и здания в одну сеть (конфига главного превести не могу, у меня нет прав). Проблема: Пользуясь снифером Wireshark обнаружил, что на портах гуляет трафик с других машин, не весь а только небольшая часть, но если умножить это на 40 коммутаторов то получается, что по сетке гуляет прилично левого трафика. Вопрос: Из-за чего может гулять левый трафик, как устранить или хотя бы локализовать проблему. Конфиги коммутаторов: (хх - замена инфы, там все точно правильно) (up-link в режиме access без настроек) Cisco 2950: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! ! enable secret 5 xxxxxxxxxxxxxxxxx ! clock timezone Kiev 2 clock summer-time Kiev recurring last Sun Mar 2:00 last Sun Oct 2:00 ip subnet-zero ! ! spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id ! ! interface FastEthernet0/1 description SHUTDOWN switchport mode access switchport port-security switchport port-security violation restrict switchport port-security mac-address sticky хххх.хххх.хххх.хххх shutdown storm-control broadcast level 90.00 no cdp enable spanning-tree portfast ... interface Vlan1 ip address xx.xx.xx.xx 255.255.252.0 no ip route-cache ! ip default-gateway xx.xx.xx.xx no ip http server logging xx.xx.xx.xx access-list 5 permit xx.xx.xx.0 0.0.0.255 access-list 5 permit xx.xx.xx.0 0.0.0.255 access-list 5 deny any snmp-server community xxxxxxx RO ! line con 0 exec-timeout 0 0 line vty 0 4 access-class 5 in exec-timeout 15 0 password xxxxxxxx login line vty 5 15 access-class 5 in exec-timeout 15 0 password xxxxxxx login ! ntp clock-period 17179983 ntp server xx.xx.xx.xx ! end НР 2510/2524: Running configuration: ; J9019A Configuration Editor; Created on release #Q.11.17 time timezone 120 time daylight-time-rule Middle-Europe-and-Portugal console inactivity-timer 10 no web-management interface 1 name "SHUTDOWN" broadcast-limit 10 exit ,,, interface 26 name "trk_sw2/2(cisco2950-24)" exit ip default-gateway xx.xx.xx.xx sntp server xx.xx.xx.xx timesync sntp sntp unicast sntp 30 logging xx.xx.xx.xx snmp-server community "xxxxxxxx" snmp-server enable traps authentication vlan 1 name "DEFAULT_VLAN" untagged 1-26 ip address xx.xx.xx.xx 255.255.252.0 exit ip authorized-managers xx.xx.xx.0 255.255.255.0 no stack port-security 3 learn-mode static action send-alarm xxxxxxxxxxxx lldp admin-status 1-19,21-25 disable no cdp enable 1-19,21-25 ip ssh no tftp client password manager password operator Cisco 3550 (коммутаторы здания) version 12.1 no service pad service timestamps debug uptime service timestamps log datetime localtime service password-encryption service sequence-numbers no service dhcp ! ! logging console critical enable secret 5 xxxxxxxxxxxxxxxxxx enable password 7 xxxxxxxxxxxxxxxxxxx ! username xxxxxx password 7 xxxxxxxxxxxxxxxxxx clock timezone DNEPR 2 clock summer-time DNEPR recurring last Sun Mar 2:00 last Sun Oct 2:00 ip subnet-zero ip routing ! ip domain-list xxxxxxxxxxxxxxxxx ip domain-name xxxxxxxxxxxxxxxx ip name-server xx.xx.xx.xx ip name-server xx.xx.xx.xx ! spanning-tree mode pvst spanning-tree extend system-id ! ! interface FastEthernet0/1 description SHUTDOWN switchport mode access switchport port-security switchport port-security violation restrict switchport port-security mac-address sticky shutdown ! .... interface FastEthernet0/14 switchport trunk encapsulation dot1q switchport mode trunk interface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport mode access interface Vlan1 ip address xx.xx.xx.xx 255.255.252.0 ! interface Vlan2 ip address xx.xx.xx.xx 255.255.255.0 ! interface Vlan3 ip address xx.xx.xx.xx 255.255.255.224 shutdown ! ip default-gateway xx.xx.xx.xx ip classless ip route 0.0.0.0 0.0.0.0 xx.xx.xx.xx ip route xx.xx.xx.xx 255.255.255.224 xx.xx.xx.xx no ip http server ! logging trap debugging logging facility local0 logging source-interface Vlan1 logging xx.xx.xx.xx access-list 1 permit xx.xx.xx.0 0.0.0.255 access-list 1 deny any access-list 2 remark -- ntp sinhronizaciya access-list 2 permit xx.xx.xx.xx access-list 2 deny any access-list 60 permit xx.xx.xx.xx access-list 60 remark -- Zapret dostupa SNMP access-list 60 deny any snmp-server community xxxxxxxxx RO 60 snmp-server enable traps snmp authentication linkdown linkup coldstart snmp-server enable traps config snmp-server enable traps entity snmp-server enable traps rtr snmp-server enable traps port-security snmp-server enable traps vtp snmp-server enable traps syslog snmp-server host xx.xx.xx.xx xxxxxxxxx ! line con 0 exec-timeout 0 0 line vty 0 4 access-class 1 in exec-timeout 15 0 password 7 xxxxxxxxxxxxxxxxx login line vty 5 15 exec-timeout 15 0 password 7 xxxxxxxxxxxxxxxxx login transport input none ! ntp clock-period 17180577 ntp access-group peer 2 ntp server xx.xx.xx.xx !

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру