Изпечатай

[crackbrained]

Здравейте, доста се чудех в коя секция от форумите да пусна темата дали в хардуерни или софтуерни проблеми, но в крайна сметка реших тук да я пусна.
А сега на проблема. Ситуацията е следната имам суитч на който са закачени, моя компютър, локален ftp сървър Linux - FedoraCore 3, още едно малко сървърче на FedoraCore 3 и access point към който "пускам" интернет на съседа. Допреди няколко дни буквално нямаше никакви проблеми, като в последно време забелязах, че когато някой се закачи да сваля от локалния сървър, в даден момент суитча буквално полудява - всичките пет входа започват изведнъж да мигат на поразия, и съответно дори и пинг-а го няма (за интернет-а да не говорим) към съседа на който подавам интернет през access point-а. В друг момент пинг има, но относително казано скача в порядъка на 500ms! След като клиент Х спре да сваля от локалния сървър, всичко се оправа и интернет-а към съседа си тръгва без никакви проблеми. Искам да отбележа, че интернет-а единствено спира единствено и само към човека с wireless-a. Суитча е пет портов Canoyn.
Съвети и критики са добре дошли '>
P.S Забравих да кажа, че tcpdump не казва нищо конкретно, нито при TCP пакетите, нито и при UDP, съвсем нормален трафик. Единственото което забелязах е че при гореспоменатата мистерия в messages ядрото е записало device eth0 entered promiscuous mode и след това left-тва, по принцип до колкото знам това съобщение го изкарва при sniffer, но искам да отбележа, че това съобщение го е изписало преди да пусна tcpdump.

Хм, някоя от машинките, вързани към суич-а има ли wireless интерфейс?

[VladSun]

Значи, това ми прилича на ARP flood, особено с този ефект на мигащите портове. Ти не разрба ли поради какви причини влизаш в "promiscuous mode"? Защото тогава машината ти почва да приема и пакетите, които не са предназначени за нея (прим. iptraf?!?)?
Пробвай, точно когато имаш проблем:

Примерен код

tcpdump -nq - i ethX arp

където ethX ти е интерфейса към суича.

[crackbrained]

@VladSun
Гледах с iptraf точно, абсолютно нищо необичайно няма, сега забелязах, че само когато определени клиенти свалят се получава този "флууд" '>
@gat3way Ами не няма нито една, като изключим човека който получава нет-а през АП-то '>

[VladSun]

Не ми е ясна каква ти е топологията на свързване - т.е. как другите потребители (не този с АП-то) достъпват ФТП сървера ти (дали през суича или през твоята машина първо) и малко ми е трудно да ти кажа какво да направиш.

Почти съм сигурен, че ако пуснеш:

Примерен код

arping AP_USER_IP -c10000 -w10 -i ethX

ще постигнеш същия ефект, който описваш '>

Един от вариантите е самия суич да се е скапал - често се случва с такава "маркова" техника '>

За другите варианти първо кажи каква ти е топологията

когато стане това какво съдържа arp таблицата на ftp сървъра?

Vladsun, предполагам че ако прибавиш -s FF:FF:FF:FF:FF:FF ще дадеш малко допълнителен тласък на тая дивотия, стига суич-а да е малко по-тъп '>

[VladSun]

'> '> '>

Просто има доста варианти:
1) както казах - скапан суич;
2) някой прави ARP flood за да вкара суича в "хъб-режим";
3) някой има вирусче (аз съм виждал такова, което праща мнооого пакети и всеки с различен src IP и src MAC);
4) има окъсил кабел (loop-ва се);

но за мен 99% проблеъм е с ARP пакетите.

@crackbrained - пробвай освен това, което ти написах s tcpdump, да изключваш и един по един портовете за да видиш кога ще изчезне проблема.

[crackbrained]

Съжалявам, мислех да опиша топологията, но .... '>
Всичко пред суитча идва през аксес пойнт директно свързан с доставчика.
AP---- switch-----------
          |         |      |    |
     AP2client  FTP   PC  PC
Нещо от този род е, благодаря ви за дотук изказаните мнение, мисля че скоро проблема ще излезе наяве.
@VladSun значи правил съм и това нещо, да изключа кабела съответно на ftp сървъра, абсолютно на секундата изчезва проблема, имам чувството че се получава някакъв много неприятен loop. Още по-интересното е защо само Wireless-а го отнася в цялата тази история '>. А за ARP flood, мисля че няма чак такива хакерчета към моя доставчик, спокойна мрежа сме '>

[VladSun]

AP-то към доставчика в bridge режим ли работи?

[crackbrained]

Знаеш ли забравил съм, мисля че е в бридж, трябва да попитам ISP-то, понеже нямам в момента достъп за да погледна.
P.S
arping 10.10.10.75 -c 10000 -w10 -I eth0
ARPING 10.10.10.75 from 10.10.10.70 eth0
Unicast reply from 10.10.10.75 [00:50:FC:F2:BF:2A]  3.008ms
..................................................................................
Sent 11 probes (1 broadcast(s))
Received 11 response(s)

[zgv]

@VladSun прав си, това се получава заради arp. Този суитч е "тъп" и него влизат IP адреси различни сегменти, и при малко по-голям трафик се шашка суитча и предизвиква гадни работи. Съвсем на скоро имах подобен проблем. Цял ден се чудих какво става .. после видях, че програмиста си правил едни експерименти   и си разменял кабели и тн.. (абе малко глупаво звучи цялата работа ама..)
 Та на въпроса на човека.. crackbrained виж набутай кабела от АР на доставчика в 1 мрежова карта, а от друга изведи връзка към суитча(ако имаш възможност и мрежови карти под ръка).
 Рапортувай после дали проблема е изчезнал или съм изплямпал 1 тон глупости  '>

Мдам, според мен едва ли някой си играе да прави arp floods.

По-скоро става някакъв bridging loop. С оглед на тия 802.11-ки дето станаха масови, хич няма да е зле да почнат да вкарват масово STP и в по-евтините устройства  

[crackbrained]

Сега ще смена един кабел, кабела от wireless-а до суитча, и ще смена суитча, после ще пиша за подробности, искам да ви благодаря за дотук дадените съвети '>

edit 11.06.2006: case closed, както казват хората, явно проблема наистина беше в суитча, не съм очаквал точно от него проблем, след 2 години безотказна работа '>.
Мерси на всички за replyz които дадоха относно темата.
 

[zgv]

Привет другарю, реши ли проблема. Дай някаква информация, ако си го решил да има информация за други след теб '>