Поднят на линуксе скрипт, который составляет базу мак-адресов, скрипт сутки помнит маки который были изучены на порту коммутаторах, и во время изучения нового мака, он ищет совпадение в своей базе. Если совпадение есть происходит Alarm, вываливается сообщение:
!!! ALERT !!!
DOUBLE MAC 00269E7B5D6B
Hacker location: 10.160.6.109::5 (model:DES3028)
Victim location: 10.160.6.113::8 (model:DES3028)
То есть, мак который у клиента на 10.160.6.113::8, появился еще почему то и на 10.160.6.109::5.
Смотрим логи коммутатора 10.160.6.109::5
Код:
23883 0000-00-00 10:22:40 Port 5 link up, 100Mbps FULL duplex
23882 0000-00-00 10:22:38 Port 5 link down
23881 0000-00-00 10:21:52 The flooding MAC is detected (VID: 1206, MAC: 00-1D-7D-92-B9-FE)
Код:
DES-3028G:5#sh fdb port 5
Command: show fdb port 5
VID VLAN Name MAC Address Port Type
---- -------------------------------- ----------------- ---- ---------------
1206 8MIK_06RING 00-E0-4D-54-82-8D 5 DeleteOnTimeout
Total Entries : 1
DES-3028G:5#
Код:
DES-3028G:5#show flood_fdb
Command: show flood_fdb
Flooding FDB State : Enabled
Log State : Enabled
Trap State : Disabled
Value VLAN ID MAC Address Time Stamp
------ ------- ------------------- ----------
4290 1206 00-1D-7D-92-B9-FE 73567
4290 3206 00-22-B0-6D-AF-7A 73567
4786 1206 00-13-77-65-82-5C 15699
4786 1206 1C-6F-65-85-EC-44 15699
7895 1206 00-1D-92-85-75-9E 35296
7895 1206 90-FB-A6-E0-5F-7E 35296
DES-3028G:5#
Смотрим логи 10.160.6.113::8
Логи чисты.
Код:
DES-3028G:5#show flood_fdb
Command: show flood_fdb
Flooding FDB State : Enabled
Log State : Enabled
Trap State : Disabled
Value VLAN ID MAC Address Time Stamp
------ ------- ------------------- ----------
644 1206 00-1A-4D-FC-20-54 275805
644 1206 6C-62-6D-D8-AA-98 275805
1312 1206 00-14-85-3A-4C-02 * 264315
1312 1506 00-1E-8C-47-13-F8 264315
2374 1206 00-1E-8C-47-13-F8 327935
2374 1506 00-14-85-3A-4C-02 327935
4290 1206 00-1D-7D-92-B9-FE 670129
4290 3206 00-22-B0-6D-AF-7A 670129
4786 1206 00-13-77-65-82-5C 612230
4786 1206 1C-6F-65-85-EC-44 612230
4949 901 90-E6-BA-D3-A9-70 497740
4949 1506 00-1A-92-CE-D5-44 497740
5914 1206 6C-62-6D-75-6D-9B 459649
5914 1206 6C-F0-49-16-68-EF 459649
7409 1206 00-04-61-A9-B3-6D 363330
7409 1206 F0-7D-68-82-81-83 363330
7895 1206 00-1D-92-85-75-9E 631827
7895 1206 90-FB-A6-E0-5F-7E 631827
DES-3028G:5#
Удаление флуда не помогает. Таких сообщений за день бывает очень много.
Прошивали коммутаторы на более актуальную прошивку 2.80.B08, а так стояла 2.60. Проблема не решается.
Собственные размышления, в момент включения какого либо оборудование на коммутаторе 10.160.6.109::5. На порту почему то появляется ДВА мака, один клиента, и один мак другого клиента. В дальнейшем это повторится без системы, то есть либо при опять же включении порта, либо же просто хаотично.... Причем появиться может не только в этом коммутаторе, но и на другом коммутаторе, скажу более в другом кольце.
В кольцах используем коммутаторы 3028, 3200-28, 3526 винегрета нет. Кольца включены в агрегаторы 3627g, на них поднят QnQ.
Данный вопрос поднят изза того что отказываемся от PPPoE и переходим на DHCP, где авторизация происходит по маку...
Кто сталкивался с такой проблемой, подскажите что делать....
Вход
Регистрация
FAQ
Поиск
