5 votos

¿Qué causa un puerto del switch recibir datos no destinados a ella?

Vamos a tener una falla intermitente que está afectando a uno de nuestros sistemas de control en uno de nuestros HP Procurve interruptores.
Por alguna razón, este PLC (10mbit puerto 192.168.6.56), que está conectada directamente al Conmutador HP intermittantly inicio de la recepción de datos que no está destinada para ella. Los datos que se envían desde un servidor NAS de Thecus con el firmware más reciente (192.168.6.218) a un físico de IBM Servidor que ejecuta Win2003R2 y SAP (192.168.6.225). El problema no acaba de enviar a este servidor, lo ha sido para otros servidores físicos en el pasado, pero siempre desde el servidor NAS de Thecus.
Estoy usando un monitor de puerto de wireshark lo que está pasando en la entrada/salida del PLC que normalmente no sería de alrededor de 1 mb en/fuera por 2 o 3 minutos - sólo un servidor pidiendo al estado de las bobinas. Cuando se produce el problema, hay una avalancha de datos que se colocan en el PLC de la línea - en este capturados ejemplo, acerca de 67mb en menos de un minuto.
Debido a esto, no hay manera de que el PLC puede ser consultado como el puerto es, efectivamente, Dosificado, en vez de matar parte de nuestra fábrica. Sé que en la Producción en la misma vlan, ya QUE no es una buena idea - estoy de acuerdo, sin embargo, no puede ser cambiado en el momento (habrá que esperar 3 meses), así como el problema sólo ha comenzado sucediendo en los últimos 3 meses. Aquí está una tapa de pantalla de uno de los paquetes que se envían desde el servidor NAS de Thecus que fue capturada desde el PLC puerto en el Conmutador HP:
Screen Grab of stray packet
Y hay más de 700 de estos en este 1024 kb archivo.
Si alguien tiene alguna idea de qué puede estar pasando, alguna ayuda sería muy apreciada. Si necesita saber algo más, que me haga saber!
Saludos!

1voto

grog_7 Puntos 26

Es el CAM (dirección MAC) de la tabla en el interruptor de sobrecarga? Si es así, va a enviar el tráfico en todos los puertos, ya que no sabe a que puerto se supone que el uso-de esta esencia pone el interruptor en un hub. Un ataque común es la inundación de la tabla CAM de un router con MAC no válida direcciones hasta que la LEVA de la tabla se cae, entonces oler todo el tráfico que viene en el ataque de host.

http://en.wikipedia.org/wiki/MAC_flooding

Esto también puede suceder con mal configurado el equipo. ¿De añadir algo nuevo a su red por todo el tiempo de esto comenzó a suceder?

Usted puede configurar la seguridad de puerto en la mayoría de los conmutadores HP, que va a limitar el número de direcciones MAC de cada puerto puede aprender, y mitigar el ataque:

http://www.hp.com/rnd/device_help/help/hpwnd/webhelp/HPJ4121A/security_perports.htm

0voto

John Wilcox Puntos 53

Asegúrese de que el tráfico proviene realmente de Thecus NAS. Creo que alguien es suplantación de la dirección mac.

0voto

user1693454 Puntos 48

Parece que hay una posible falla en el Thecus, sin embargo, HP ayuda a mirar otra vez cuando se produce el fallo - ganas de ver si es el interruptor que está causando la inundación o el nas.
Quieren ver dos diferentes capturas cuando la falla ocurre: una captura de la NAS usando un puerto espejo, así como una captura del interruptor (enchufe del ordenador portátil de interruptor y no reflejan nada) mientras que la falla ocurre.
Gracias por la ayuda!

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: