The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Linux + unicast flood при прохождении трафика"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Linux + unicast flood при прохождении трафика"  
Сообщение от Wing email(ok) on 30-Окт-08, 10:21 
Есть несколько линуксовых vpn-серверов, крутятся на генту accel-pptp & fprobe-ulog.
Они воткнуты в циску Catalyst 3560.

Некоторое время назад один из серверов начал лагать. На циске на его порту увидел логи:
%STORM_CONTROL-3-FILTERED: A Unicast storm detected on Fa0/X. A packet filter action has been applied on the interface.
Т.е. с него с какого-то хрена валится юникастовый шторм =\

Сначала подумал на битые сетевухи - заменил. Не помогло.
Потом - на патчкорд, на битый порт в циске - всё заменил, не помогло =\

В итоге собрал новый комп, назначил тот же ип, воткнул вместо старого - и что бы вы думали? ;) Опять unicast storm detected ;(
Примерно в это время поставили вторую 3560, воткнул в неё - ровно то же самое.
Подумал, что какой-то хитрый ddos, поставил никому не известный не засвеченный ip, подцепился к нему - один хрен. Начал качать на все 100мбит из инета, через некоторое время - опять unicast storm.

В отчаянии увидел последнюю зацепку. Эти 2 последних компа с ядрами 2.6.25; а остальные - постарше - с 2.6.23. Откатился - безтолку ;( Слил с рабочего сконфигуренное ядро, собрал - все равно бестолку.

Самое хреновое, что и дампом не посмотришь, куда оно флудит - так как флудит только когда через него дохрена трафика проходит, не отфильтруешь.

Нет, самое хреновое - что собрал на днях серв под bgp-бордер, и если это всё-таки ядро - очень боюсь, как бы и на нём такая хрень не проявилась.

В итоге - виновато не ядро, не железо (абсолютно другой комп - то же самое), не ddos - менял ип на никому неизвестный, не циска - менял и её порты, и в другую тыкал, не патчкорды (заводские, кстати) - менял.
Народ, я в отчаянии, помогите кто чем может ;) Если не вылечить, то хотя бы как диагностировать?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Linux + unicast flood при прохождении трафика"  
Сообщение от Wing email(ok) on 31-Окт-08, 10:38 
Народ, а такой вопрос цисковедам...
Что циска считает юникастовым штормом?

Инет -> NAS -> cat 3560 -> юзеры
Если один юзер будет качать 80-90 мбит, может циска посчитать это штормом?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру