RE: lug-bg: Lan problem
- Subject: RE: lug-bg: Lan problem
- From: sup3r@email.domain.hidden (Atanas Vlasakiev)
- Date: Sun, 06 Apr 2003 01:00:38 +0300 (EEST)
Blagodarq na vsichki osobeno na Boyan,
Problema se okaza v switch,vsichko veche e nared mersi za podrobnite
obqsneniq i syvetite :-)
-=Atanas Vlasakiev=-
öèòèðàì Boyan Krosnov <bkrosnov_at_lirex.bg>:
<em class="quotelev1">> Izglejda tova da e za net listata
<em class="quotelev1">> subscribe at:
<em class="quotelev1">> mailto:net-subscribe_at_unix-bg.org?subject=Just%20Click%20%22SEND%22!
<em class="quotelev1">> archive at: http://net.unix-bg.org/
<em class="quotelev1">>
<em class="quotelev1">> Kak da dejstvash pri takava sluchka --------------------
<em class="quotelev1">> Pyrvata ti rabota pri takava sluchka e da pozapishesh malko trafik za
<em class="quotelev1">> analiz.
<em class="quotelev1">>
<em class="quotelev1">> tcpdump -i ethX -s 2000 -w dump-fileche.tcpdump
<em class="quotelev1">>
<em class="quotelev1">> Puskash go da runva okolo minuta i posle go utrepvash.
<em class="quotelev1">>
<em class="quotelev1">> Posle go razglejdash s
<em class="quotelev1">>
<em class="quotelev1">> tcpdump -n -e -r dump-fileche.tcpdump
<em class="quotelev1">> ili s (po-dobriq paketen analizator) ethereal
<em class="quotelev1">>
<em class="quotelev1">> Ot kakvo moje da se predizvikva ARP request: ---------------
<em class="quotelev1">> t.k. tova e mnogo populqrna informaciq, shte obqnsnq mnogo na kratko.
<em class="quotelev1">> Za vseki multiple access interfeis (kato eth0) na vseki IP host se
<em class="quotelev1">> poddyrja tablica koqto sydyrja syotvetstvieto na IP adresi s mac adresi
<em class="quotelev1">> na tozi interfeis. Tova e ARP tablicata.
<em class="quotelev1">> Vseki pyt kogato trqbva da se prashta paket prez takyv interfeis se
pravi
<em class="quotelev1">> tyrsene v tazi tablica za mac adresa kojto syotvetstva na nexthop ip
<em class="quotelev1">> adresa asociiran s paketa.
<em class="quotelev1">> Primerno:
<em class="quotelev1">> mrejichka 192.168.0.0/24
<em class="quotelev1">> pc v neq 192.168.0.2
<em class="quotelev1">> router s nat, za vryzka kym internet 192.168.0.1
<em class="quotelev1">>
<em class="quotelev1">> user sqda na pc-to i startira ping 1.1.1.1
<em class="quotelev1">> pc-to generira icmp request i go rutira navyn prez eth0 s nexthop
<em class="quotelev1">> 192.168.0.1
<em class="quotelev1">> pc-to si gleda v arp tablicata za eth0 dali ima mac adresa na
<em class="quotelev1">> 192.168.0.1
<em class="quotelev1">> vzima mac adresa ot tam i paketira ip-icmp paketa v ethernet frame:
<em class="quotelev1">> ethernet_header-ip_header-icmp_message-ethernet_footer
<em class="quotelev1">> pc-to izprashta paketa navyn prez ethernet interfeisa si. ot tam go
<em class="quotelev1">> poemat switchove i hubove i v normalnata situaciq tochno edno kopie ot
<em class="quotelev1">> nego dostiga do vseki host zakachen v tazi mreja, v tova chislo
<em class="quotelev1">> 192.168.0.1
<em class="quotelev1">>
<em class="quotelev1">> Ako pri tyrseneto na ARP tablicata ne nameri nexthop adresa, host-a
<em class="quotelev1">> prashta ARP request na broadcast v tazi mreja za da popita, na koj mac
<em class="quotelev1">> adres se namira tozi ip adres.
<em class="quotelev1">>
<em class="quotelev1">> Ili poluchava otgovor ot nqkoj (obiknovenno drugiq host na kojto se
<em class="quotelev1">> "hostva" tozi ip adresa) che tozi ip adres se namira na mac adres X, v
<em class="quotelev1">> kojto sluchaj si popylva v tablichkata. Ili ne poluchava otgovor, v
kojto
<em class="quotelev1">> sluchaj prodyljava da prashta po edin ARP request na nqkakvo fixirano
<em class="quotelev1">> vreme (1 sekunda pri linux), ako razbira se ima vse oshte trafik za
<em class="quotelev1">> syotvetniq nexthop.
<em class="quotelev1">>
<em class="quotelev1">> Ima dve greshni konfiguracii, pri koito sym vijdal generirane na
<em class="quotelev1">> nenormalno kolichestvo arp requesti ot edin host:
<em class="quotelev1">> setnat samo interface vmesto nexthop za nqkakvo napravlenie
<em class="quotelev1">> (obiknovenno 0.0.0.0/0)
<em class="quotelev1">> mashina s pusnato proxyarp i dve ethernet karti ot razlichni subneti
<em class="quotelev1">> zakacheni v syshtata fizicheska mreja
<em class="quotelev1">>
<em class="quotelev1">> Za jalost ne izglejda tvoq sluchaj da e tozi t.k. za teb izglejda che
<em class="quotelev1">> vsichki mashini sa se pobyrkali. Tova moje da e predizvikano primerno ot
<em class="quotelev1">> virus kojto se e namyknal na golqmo kolichestvo pc-ta i se opitva da se
<em class="quotelev1">> svyrje sys vsevyzmojni ip adresi iz mrejata ti.
<em class="quotelev1">>
<em class="quotelev1">> A naj-veroqtnata prichina e che vsichki broadcast paketi ti se kopirat
po
<em class="quotelev1">> mnogo pyti, poradi cikyl nqkyde ethernet-a ti. Specialno vnimanie
<em class="quotelev1">> obryshtam na fakta che cikyl moje da se obrazuva i samo s edin switch
(ot
<em class="quotelev1">> edin port na swticha na drug) i dori samo s edin port na switch - paketi
<em class="quotelev1">> izlizashti ot switcha se vryshtat poradi nqkakva prichina obratno.
<em class="quotelev1">>
<em class="quotelev1">> malko ASCII art:
<em class="quotelev1">> A,B,C,D switches
<em class="quotelev1">> 1,2,3 hosts
<em class="quotelev1">> ------------
<em class="quotelev1">> 2
<em class="quotelev1">> |
<em class="quotelev1">> [A]-+
<em class="quotelev1">> | [C]--1
<em class="quotelev1">> [B]-+
<em class="quotelev1">> |
<em class="quotelev1">> 3
<em class="quotelev1">> ------------
<em class="quotelev1">> predstavi si sega arp requestche ot 1 za adresa na 2. t.k. e broadcast
<em class="quotelev1">> vsichki switchove shte go kopirat po vednyj na vsichkite si portove C
<em class="quotelev1">> shte go kopira vednyj kym A i vednyj kym B. A shte go kopira vednyj kym
2
<em class="quotelev1">> i vednyj kym B i t.n. vij kak izglejdat "pokoleniqta" klonirani paketi
<em class="quotelev1">> 1. 1->C
<em class="quotelev1">> 2. C->A,C->B
<em class="quotelev1">> 3. A->2,A->B,B->A,B->3
<em class="quotelev1">> 4. B->C,B->3,A->2,A->C
<em class="quotelev1">> 5. C->1,C->A,C->1,C->B
<em class="quotelev1">> 6. obratno na stypka 3 (wash, rinse, repeat)
<em class="quotelev1">>
<em class="quotelev1">> pri prilichno byrzi 100 megabitovi switchove tova shte se sluchva 100-na
<em class="quotelev1">> hilqdi pyti v sekunda i shte zadrystva na maksimum vryzkite do vsichki
<em class="quotelev1">> pc-ta i mejdu vsichki switchove.
<em class="quotelev1">> Syznatelno ne opisah pytishtata na arp responsite koito shte se
<em class="quotelev1">> poluchavat ot 2 kym 1 za po-prosto.
<em class="quotelev1">>
<em class="quotelev1">> Tova se naricha broadcast/unknown unicast storm. Drugiq problem kojto se
<em class="quotelev1">> poluchava pri takiva cikli e mac table instability i ebava mamata ot
<em class="quotelev1">> update-i na tablichkite na procesornoto vreme na vseki switch s
<em class="quotelev1">> izkljuchenie na high end modelite na golemite proizvoditeli, koito imat
<em class="quotelev1">> hardware-no realiziran mac learning s dostatychna skorost.
<em class="quotelev1">>
<em class="quotelev1">> Kak da otkriem kyde imame cikyl v mrejata: ---------
<em class="quotelev1">>
<em class="quotelev1">> Govorim za nemenajiruemi switchove predpolagam :)
<em class="quotelev1">>
<em class="quotelev1">> Zastavash pred switcha, kojto sveti kato koledno dryvche i zapochvash da
<em class="quotelev1">> vadish kabelite edin po edin prez okolo 2 sekundi (t.k. mrejata taka ili
<em class="quotelev1">> inache e neizpolzvaema v tozi moment, edva li nqkoj "potrebitel" shte
ima
<em class="quotelev1">> neshto protiv :) ). v momenta v kojto switcha prestane da sveti kato
<em class="quotelev1">> koledno dryvche, znachi che ili toku shto si iztrygnal vryzkata prez
<em class="quotelev1">> koqto idvat broadcastite ili si prekysnal cikyla. S nqkolko vadeniq i
<em class="quotelev1">> pyhaniq na kabeli dosta byrzo shte otkriesh izvajdaneto na koi kabeli
<em class="quotelev1">> prekysva burqta. ako sa poveche ot edin, znachi che switcha pred kojto
<em class="quotelev1">> stoish uchastva v cikyla. Ako e samo edin, znachi che po nego
poluchavash
<em class="quotelev1">> broadcastite i cikyla se namira nqkyde v tazi posoka.
<em class="quotelev1">>
<em class="quotelev1">> I taka ot gybka na gybka i ot switch na switch dostigash do nqkakva
ideq,
<em class="quotelev1">> prez koi vryzki se obrazuva cikyla. Ostanaloto e istoriq.
<em class="quotelev1">>
<em class="quotelev1">> BR,
<em class="quotelev1">> Boyan Krosnov, CCIE#8701
<em class="quotelev1">> http://boyan.ludost.net/
<em class="quotelev1">> just another techie speaking for himself
<em class="quotelev1">>
<em class="quotelev1">>
<em class="quotelev1">>
<em class="quotelev2">> > -----Original Message-----
<em class="quotelev2">> > From: Atanas Vlasakiev [mailto:sup3r_at_mail.bg]
<em class="quotelev2">> > Sent: Friday, April 04, 2003 9:51 PM
<em class="quotelev2">> > To: lug-bg_at_linux-bulgaria.org
<em class="quotelev2">> > Subject: lug-bg: Lan problem
<em class="quotelev2">> >
<em class="quotelev2">> >
<em class="quotelev2">> > Zdraveite,
<em class="quotelev2">> > Predi 2h v Lan-a mi se poqvi ujasno golqm traffic.
<em class="quotelev2">> > Vseki pita vsekigo arp who-has ....Kogato pratq nqkakvo message po
<em class="quotelev2">> > broadcast to na momenti se izprashta vednuj na momenti moje i nqkolko
<em class="quotelev2">> > hilqdi da go povtori .. Strashno se pretovarvam mrejata i
<em class="quotelev2">> > pochti nishto
<em class="quotelev2">> > ne minava.Slojix statichni MAC addressi i pochna da vryshta
<em class="quotelev2">> > po nqkoi dryg
<em class="quotelev2">> > ping ..
<em class="quotelev2">> > Na nqkoi dryg da my se e slychilo neshto podobno i da znae nachin za
<em class="quotelev2">> > razreshavane ?
<em class="quotelev2">> > Priemam vsqkakvi predlojeniq i syveti !
<em class="quotelev2">> > Sega izsledvam malko po obstoino neshtata ...no sym dosta ozadachen..
<em class="quotelev2">> >
<em class="quotelev2">> > -=Atanas Vlasakiev=-
<em class="quotelev2">> >
<em class="quotelev2">> > ------------------- ÉÚÐÒÁÔÅÎÏ ÏÔ mail.bG
<em class="quotelev2">> > óÉÌÎÁ áÎÔÉ-ÓÐÁÍ ÚÁÝÉÔÁ
<em class="quotelev2">> > 12MB íÑÓÔÏ ÚÁ ÐÏÝÁ
<em class="quotelev2">> > SMS ÚÁ ÎÏ× ÅÍeÊÌ É ËßÍ Ä×ÁÔÁ ÏÐÅÒÁÔÏÒÁ!
<em class="quotelev2">> > POP3/WAP äÏÓÔßÐ
<em class="quotelev2">> > _________________________________________
<em class="quotelev2">> > HOB âEúðìATEH AäPEC - http://mail.bg/new/
<em class="quotelev2">> >
<em class="quotelev2">> > ==============================================================
<em class="quotelev2">> > ==============
<em class="quotelev2">> > A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
<em class="quotelev2">> > http://www.linux-bulgaria.org - Hosted by Internet Group Ltd.
<em class="quotelev2">> > - Stara Zagora
<em class="quotelev2">> > To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
<em class="quotelev2">> > ==============================================================
<em class="quotelev2">> > ==============
<em class="quotelev2">> >
<em class="quotelev1">>
==========================================================================
==
<em class="quotelev1">> A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
<em class="quotelev1">> http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara
<em class="quotelev1">> Zagora
<em class="quotelev1">> To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
<em class="quotelev1">>
==========================================================================
==
<em class="quotelev1">>
<p><p>-=Atanas Vlasakiev=-
------------------- èçïðàòåíî îò mail.bG
Ñèëíà Àíòè-ñïàì çàùèòà
12MB Ìÿñòî çà ïîùà
SMS çà íîâ åìeéë è êúì äâàòà îïåðàòîðà!
POP3/WAP Äîñòúï
_________________________________________
HOB ÁEÇÏËATEH AÄPEC - http://mail.bg/new/
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|