Наблюдаем смену части мак адреса 5 раз в секунду и более. Что это, вирус, вредоносное по, новая пандемия или очередной глюк DES-3528...?
В логах DES-3528 наблюдаем подобное подобное:
895 2009-11-13, 21:16:19 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-23-D9>, Port<9>)
894 2009-11-13, 21:16:17 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-8F-93>, Port<9>)
893 2009-11-13, 21:16:17 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-46-92>, Port<9>)
892 2009-11-13, 21:16:17 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-E4-40>, Port<9>)
891 2009-11-13, 21:16:16 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-4C-46>, Port<9>)
890 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-1F-54>, Port<9>)
889 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-D3-01>, Port<9>)
888 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-8D-BD>, Port<9>)
887 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-8A-F3>, Port<9>)
886 2009-11-13, 21:16:01 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-21-AD>, Port<9>)

1) Смена происходит так что у абонента в тот момент всё идеально работает и по старой связке ип + мак абонент доступен, а коммутатор блокирует только новую связку, выходит какбы данные адреса виртуальные и висят на том же устройстве.
2) В течении одной секунды может быть 5 и более смен мак адресов.
3) Пк абонента ради эксперимента проверенно почти всеми доступными антивирусами (нод, каспер, аваст, утилита от вебера керит, авира и прочие) результат один нет никакой заразы.
4) Данная проблема также загадочно исчезает как и появляется.
5) Из замеченного несколько таких абонентов на одном неуправляемом коммутаторе и он зависает напроч, если быть точным то всё же работает но пропускает примерно 1пинг из 100 и то не ковсем абонентам, избирательность ккому пропускать тот один из 100, а кому нет так и не ясна. Но вышестоящий управляемый коммутатор видит все ип и мак адреса за умершей мыльницей, ходя ни один из адресов не доступны(Предположительно изза переполнения мак таблицы в мыльнице)Коммутатору не легчает до перезагрузки по питанию.
6) В день прибавляется примерно по одному такому абоненту.
7) Хочу отметить, мы не первый провайдер у кого начали появятся подобные случаи
У кого какие мысли что это такое?

да какой-нить вирус. третьего не дано.

_________________
LiveComm

мы в чебах тоже с этим столкнулись . у нас комутаторы des 3028. когда начинаеться эта дурь.. в блок лист заносяться в итоге от 2000 связок и болле.. другие абоненты дохнут.. и сам свитч тоже, кпу проца под 90 процентов...
карочче. в длинке нам подсказали поставить новую прошивкку и там есть функция ограниения маков на порт.. в понедельник погоняю))
а вообще не пробовали узнать у абонентов винда семерка?
есть подозрение что во время работы защитника виндус семерки при полной проверке компа этот мак парад начинаеться

Удалось что-то выяснить по этой проблеме?

Вполне может быть такое, если линия испортилась.
У нас было такое. Сетевой принтер, подключенный к коммутатору на 1-м порту выдавал дикую таблицу маков. и при этом был недоступен.
Решилось банальной заменой линии до коммутатора

На DES-3028 можно решить прошивкой 2.50-В08 и IMPB Strict Mode, но линию до абонента всё равно придётся проверять, на всякий случай.

_________________
С уважением,
Бигаров Руслан.

Такое происходит сплошь и рядом, посмотрите счетчики ошибок на порту. В 99% случаев - виновата линия до абонента.

04:07:27:F9:97:87
04:0E:77:76:77:8B
04:47:77:78:7E:22
04:77:77:37:5F:F2
04:77:7A:37:57:F2
04:77:87:B7:BD:77
04:78:27:0D:97:71
04:87:37:78:78:7B
04:87:C2:77:67:97
04:87:C8:77:79:77
04:A8:C2:77:7A:7D
04:D7:D2:77:7A:7D

И так 1700 раз. Похоже? Если да, то менять/проверять/тестировать кабель до клиента.

Не похоже. В первом сообщении флуд маками заключается в подмене последних двух чисел мак-адреса пользователя, а не в банальном спаме битыми пакетиками.

Начали собирать статистику - получили следующее:
Независимо от того, какие Операционные системы, файрволы и антивирусы стоят у клиента, проблема наблюдается ТОЛЬКО у пользователей с сетевушками Realtek 8168.
Проблема успешно усугубляется глюками броадкомовских чипсетов (флудит один порт, а вместо него блокируются другие).

В основном проблема наблюдается при загрузке операционки. Сначала банальные link up/link down несколько раз, потом спам мак-адресами.
Где-то в инете нарыли инфу, что это стандартная проблема данных сетевух.

Жаль, что в таком варианте не удаётся диагностировать проблемы пользователей с неверными связками.
Ждём вариантов решения этой проблемы.

Собираемся переходить на DES3200-28, как там решать проблему с флудящими сетевыми карточками?

А что именно хотелось бы? Напомните пожалуйста в личку Ваш телефон.

используйте порт секьюрити
пожалуй больше никак

один раз видел флудящию сетевую карту которая тупо перебирала маки.
взяли абонента в отдельный влан посадили и все... и пускай там себе переберет...

_________________
Умная книжка по теории сетей и настройкам свичей:
ftp://ftp.dlink.ru/pub/Trainings/Switch_D-Link_newest_Basic.pdf

В своей сети наступили на те-же грабли.
При плохой линии коммутатор пытается обрабатывать битые пакеты.
Проблема как говорилось ниже усугубляется глюками броадкомовских чипсетов. Количество flood_fdb связок растет угрожающе быстро и загрузка коммутатора держится на высоком уровне (70-100%).
Я думаю что проблема в неправильной последовательности обработки пакетов. Если пролетела ошибка CRC на порту, то не стоит обрабатывать пакет дальше, нужно отбросить его. В данном случае коммутатор пытается занести с битого пакета MAC адрес в таблицу коммутации и успешно наступает на свои-же грабли MAC-VLAN.
В качестве экстренной меры применяем:
config ports xx learning disable
и вносим MAC адрес вручную. Загрузка коммутатора падает в разы.
Можно ли полечить эту проблему в ближайших версиях ПО коммутатора ?
Текущаа версия :
---------------------------
Device Type : DES-3028 Fast Ethernet Switch
Boot PROM Version : Build 1.00.B06
Firmware Version : Build 2.50.B08

_________________
В интернете три беды: дураки, вирусы и спам.

*Досчитал медленно до 10*

А чем Вас не устраивает использование функции Port Security!? Если используете IMPB, то stop_learning_threshlod задействовать!?

_________________
С уважением,
Бигаров Руслан.