Linux за българи: Форуми

Здравейте, доста се чудех в коя секция от форумите да пусна темата дали в хардуерни или софтуерни проблеми, но в крайна сметка реших тук да я пусна.
А сега на проблема. Ситуацията е следната имам суитч на който са закачени, моя компютър, локален ftp сървър Linux - FedoraCore 3, още едно малко сървърче на FedoraCore 3 и access point към който "пускам" интернет на съседа. Допреди няколко дни буквално нямаше никакви проблеми, като в последно време забелязах, че когато някой се закачи да сваля от локалния сървър, в даден момент суитча буквално полудява - всичките пет входа започват изведнъж да мигат на поразия, и съответно дори и пинг-а го няма (за интернет-а да не говорим) към съседа на който подавам интернет през access point-а. В друг момент пинг има, но относително казано скача в порядъка на 500ms! След като клиент Х спре да сваля от локалния сървър, всичко се оправа и интернет-а към съседа си тръгва без никакви проблеми. Искам да отбележа, че интернет-а единствено спира единствено и само към човека с wireless-a. Суитча е пет портов Canoyn.
Съвети и критики са добре дошли
P.S Забравих да кажа, че tcpdump не казва нищо конкретно, нито при TCP пакетите, нито и при UDP, съвсем нормален трафик. Единственото което забелязах е че при гореспоменатата мистерия в messages ядрото е записало device eth0 entered promiscuous mode и след това left-тва, по принцип до колкото знам това съобщение го изкарва при sniffer, но искам да отбележа, че това съобщение го е изписало преди да пусна tcpdump.

Хм, някоя от машинките, вързани към суич-а има ли wireless интерфейс?

Значи, това ми прилича на ARP flood, особено с този ефект на мигащите портове. Ти не разрба ли поради какви причини влизаш в "promiscuous mode"? Защото тогава машината ти почва да приема и пакетите, които не са предназначени за нея (прим. iptraf?!?)?
Пробвай, точно когато имаш проблем:

Примерен код

tcpdump -nq - i ethX arp

където ethX ти е интерфейса към суича.

@VladSun
Гледах с iptraf точно, абсолютно нищо необичайно няма, сега забелязах, че само когато определени клиенти свалят се получава този "флууд"
@gat3way Ами не няма нито една, като изключим човека който получава нет-а през АП-то

Не ми е ясна каква ти е топологията на свързване - т.е. как другите потребители (не този с АП-то) достъпват ФТП сървера ти (дали през суича или през твоята машина първо) и малко ми е трудно да ти кажа какво да направиш.

Почти съм сигурен, че ако пуснеш:

Примерен код

arping AP_USER_IP -c10000 -w10 -i ethX

ще постигнеш същия ефект, който описваш

Един от вариантите е самия суич да се е скапал - често се случва с такава "маркова" техника

За другите варианти първо кажи каква ти е топологията

когато стане това какво съдържа arp таблицата на ftp сървъра?

Vladsun, предполагам че ако прибавиш -s FF:FF:FF:FF:FF:FF ще дадеш малко допълнителен тласък на тая дивотия, стига суич-а да е малко по-тъп

Просто има доста варианти:
1) както казах - скапан суич;
2) някой прави ARP flood за да вкара суича в "хъб-режим";
3) някой има вирусче (аз съм виждал такова, което праща мнооого пакети и всеки с различен src IP и src MAC);
4) има окъсил кабел (loop-ва се);

но за мен 99% проблеъм е с ARP пакетите.

@crackbrained - пробвай освен това, което ти написах s tcpdump, да изключваш и един по един портовете за да видиш кога ще изчезне проблема.

Съжалявам, мислех да опиша топологията, но ....
Всичко пред суитча идва през аксес пойнт директно свързан с доставчика.
AP---- switch-----------
          |         |      |    |
     AP2client  FTP   PC  PC
Нещо от този род е, благодаря ви за дотук изказаните мнение, мисля че скоро проблема ще излезе наяве.
@VladSun значи правил съм и това нещо, да изключа кабела съответно на ftp сървъра, абсолютно на секундата изчезва проблема, имам чувството че се получава някакъв много неприятен loop. Още по-интересното е защо само Wireless-а го отнася в цялата тази история . А за ARP flood, мисля че няма чак такива хакерчета към моя доставчик, спокойна мрежа сме

AP-то към доставчика в bridge режим ли работи?

Знаеш ли забравил съм, мисля че е в бридж, трябва да попитам ISP-то, понеже нямам в момента достъп за да погледна.
P.S
arping 10.10.10.75 -c 10000 -w10 -I eth0
ARPING 10.10.10.75 from 10.10.10.70 eth0
Unicast reply from 10.10.10.75 [00:50:FC:F2:BF:2A]  3.008ms
..................................................................................
Sent 11 probes (1 broadcast(s))
Received 11 response(s)

@VladSun прав си, това се получава заради arp. Този суитч е "тъп" и него влизат IP адреси различни сегменти, и при малко по-голям трафик се шашка суитча и предизвиква гадни работи. Съвсем на скоро имах подобен проблем. Цял ден се чудих какво става .. после видях, че програмиста си правил едни експерименти   и си разменял кабели и тн.. (абе малко глупаво звучи цялата работа ама..)
 Та на въпроса на човека.. crackbrained виж набутай кабела от АР на доставчика в 1 мрежова карта, а от друга изведи връзка към суитча(ако имаш възможност и мрежови карти под ръка).
 Рапортувай после дали проблема е изчезнал или съм изплямпал 1 тон глупости  

Мдам, според мен едва ли някой си играе да прави arp floods.

По-скоро става някакъв bridging loop. С оглед на тия 802.11-ки дето станаха масови, хич няма да е зле да почнат да вкарват масово STP и в по-евтините устройства  

Сега ще смена един кабел, кабела от wireless-а до суитча, и ще смена суитча, после ще пиша за подробности, искам да ви благодаря за дотук дадените съвети

edit 11.06.2006: case closed, както казват хората, явно проблема наистина беше в суитча, не съм очаквал точно от него проблем, след 2 години безотказна работа .
Мерси на всички за replyz които дадоха относно темата.
 

Привет другарю, реши ли проблема. Дай някаква информация, ако си го решил да има информация за други след теб

Ами, да мисля че проблема се реши, след смяната на суитча, вече 3 дена работи мрежата без проблем. Просто явно суитча си се е скапал и по-точно имам подозрения към кеша му ........ Пък съвет, какъв да дам, еми проверявайте и най-дребните неща, които най-малко подозирате