Salut,
Se da o retea de 1000 calculatoare. RSTP este activat pe uplink-uri dar nu
si catre pc-uri (normal).
Switch-urile au un fel de network loop protect dar nu toate suporta
capabilitatea asta.
Multe birouri au in podea o cutie cu mai multe prize de retea grupate.
Sunt 2 cazuri in care se produce bucla:
1. cablu conectat in podea dintr-o priza in alta, dar fara stp activat nu
se blocheaza niciun port.
2. bucla formata local intr-un switch virtual dintr-un calculator sau pe
un switch pe masa unui X, conectat in priza de retea din podea.
In cazul 2 sa zicem ca majoritatea switch-urilor stiu loop guard si pune
portul in errdisable. (dar sunt cazuri in care nu)
In cazul 1 e monster kill.
Se pot implementa diferite politici de securitate dar nu fac obiectul
acestui mail (Sticky Mac si altele dar nu se pot aplica)
Intrebarea: Cum pot face cu o masina care are linux pusa in bridge in
swich (port mirror uplink),sa detectez bucla eventual cat mai multe
informatii.
Ok pot folosi TCPdump-ul si un script sa identific volumul de
broadcast la fiecare cateva minute si la un threshold sa alerteze.
Cred ca si Cacti poate face asta nu neaparat cu tcpdump. Dar
asta nu ma ajuta decat sa depistez cand a inceput bucla.
O alta metoda ar fi sa folosesc momentul t cand s-a produs
bucla si un logwatch sa vad ce cabluri s-au conectat si unde.
Tot nu este de ajuns, caut o metoda prin care analizand
traficul de broadcast/unicast cu tcpdump pus pe un port mirror/uplink sa
pot obtine cat mai multe detalii din ce switch provine, mac-urile
porturilor implicate in loop (probabil in arp-uri) ..si altele care imi
scapa din vedere. Nu neaparat tcpdump dar poate exista alt soft etc...
Astept orice propunere.
Multumesc anticipat.
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
