Hallo,
Als eerste een situatie schet van ons netwerk.
De servers zijn verbonden via switch1. Tussen switch 1 en switch2 ligt en GB verbinding over UTP.
De switches zijn gewoon standaard geconfigureerd (fabrieksinstellingen) Alleen STP is gedisabled. Geen exotische dingen dus.
Dinsdag ochend op eens een een "bobbel" in het netwerkverkeer; gebruikers worden met bosjes uit Terminal server gegooid. Na 1 minuut lijkt alles weer normaal. Echter klaagt men sinds dinsdag dat de preformance achteruit gegaan is. (na ijlende letters in Word b.v).
Oke ik trek de patchkasten open waarin switch 2 tm/6 hangen en iedere switch leek wel een kerstboom. Ik plug mijn laptopje in een vrije poort en begin te sniffen. Tot mijn grote verbazing zie ik ook het rdp verkeer van andere gebruikers langs komen. Mijn 3com's stonden dus niet meer te switchen maar vrolijk te repeaten, behalve switch1 deze bleef zijn werk gewoon doen. (deze switch is +/- 2 jaar oud, de rest 3 tot 5 jaar)
Nu heb 3 machines op een van die 3COM switches hangen. Het enige verschil met deze 3 machines en de rest is dat deze een pakket hebben draaien waarmee gesnift kan worden.
1. Een redhad Linux machine met TCPDUMP
2. Een Windows XP systeem met Ethereal
3. Een Windows2000 systeem met Sniffer PRO (van NAI)
Het rare is dat ik het verkeer van deze machines niet zie als ik aan het sniffen ben (op broadcast verkeer na dan)!
Ik heb deze machines al eens op een poort gestoken waarvan ik zeker wist dat ik RDP verkeer gesnift had. Echter deze machines lijken imuun.
Nog sterker:
Op b.v switch 6 steek ik een van bovenstaande 3 machines.
NU begin ik op switch2 te sniffen. Ik zie nu al het verkeer langs komen, echter het unicast verkeer van de machine die ik op switch 6 gestoken heb zie ik niet!
De netwerkkaarten die we gebruiken zijn voornmamelijk 3COM en Intel. Het zit niet in de netwerkkaart daar heb ik al naar gekeken)
3COM meldt ons hierover dat dit alleen voor zou kunnen komen als de MAC tabel van de switch vol zit. Deze switches kunnen +/- 65000 Mac adressen opslaan in hun tabel. Aangezien we 'maar' +/- 350 apparaten in ons netwerk hebben staan kan dit het niet zijn. Ik heb de MAC tabel op switch 1 uitgelezen en deze bevatte 348 MAC adressen.
Nadat ik de switches spanningloos heb gemaakt werkt alles weer. Ik vraag me alleen af hoe zo iets kan ontstaan, want dit lijkt me niet echt normaal.
(ik heb het trouwens al een keer eerder meegemaakt.
Sappig detail: Aan een aantal van die 3COM switches hangen nog een aantal 8 poorts 'elcheapo switches. Hier heb ik ook op gesnift en dan zie ik alleen multicast verkeer (en verkeer wat voor mijzelf bedoeld is)
Iemand hier die er iets zinnigs over kan zeggen?
Als eerste een situatie schet van ons netwerk.
code:
1
2
3
4
5
6
7
8
| 1 = 3COM 3300TM 24 prt 1 GB uplink (koper) 2 = 3COM 3300 12 prt 1 GB uplink (koper) 3 = 3COM Superstack 10/100 baseline switch, 24 prt (niet manageble) 4 = 3COM Superstack 10/100 baseline switch, 24 prt (niet manageble) 5 = 3COM Superstack 10/100 baseline switch, 24 prt (niet manageble) 6 = 3COM 4300 48 prt Switch 5 en 6 worden mbv media converters verbonden over glas. |
De servers zijn verbonden via switch1. Tussen switch 1 en switch2 ligt en GB verbinding over UTP.
De switches zijn gewoon standaard geconfigureerd (fabrieksinstellingen) Alleen STP is gedisabled. Geen exotische dingen dus.
Dinsdag ochend op eens een een "bobbel" in het netwerkverkeer; gebruikers worden met bosjes uit Terminal server gegooid. Na 1 minuut lijkt alles weer normaal. Echter klaagt men sinds dinsdag dat de preformance achteruit gegaan is. (na ijlende letters in Word b.v).
Oke ik trek de patchkasten open waarin switch 2 tm/6 hangen en iedere switch leek wel een kerstboom. Ik plug mijn laptopje in een vrije poort en begin te sniffen. Tot mijn grote verbazing zie ik ook het rdp verkeer van andere gebruikers langs komen. Mijn 3com's stonden dus niet meer te switchen maar vrolijk te repeaten, behalve switch1 deze bleef zijn werk gewoon doen. (deze switch is +/- 2 jaar oud, de rest 3 tot 5 jaar)
Nu heb 3 machines op een van die 3COM switches hangen. Het enige verschil met deze 3 machines en de rest is dat deze een pakket hebben draaien waarmee gesnift kan worden.
1. Een redhad Linux machine met TCPDUMP
2. Een Windows XP systeem met Ethereal
3. Een Windows2000 systeem met Sniffer PRO (van NAI)
Het rare is dat ik het verkeer van deze machines niet zie als ik aan het sniffen ben (op broadcast verkeer na dan)!
Ik heb deze machines al eens op een poort gestoken waarvan ik zeker wist dat ik RDP verkeer gesnift had. Echter deze machines lijken imuun.
Nog sterker:
Op b.v switch 6 steek ik een van bovenstaande 3 machines.
NU begin ik op switch2 te sniffen. Ik zie nu al het verkeer langs komen, echter het unicast verkeer van de machine die ik op switch 6 gestoken heb zie ik niet!
De netwerkkaarten die we gebruiken zijn voornmamelijk 3COM en Intel. Het zit niet in de netwerkkaart daar heb ik al naar gekeken)
3COM meldt ons hierover dat dit alleen voor zou kunnen komen als de MAC tabel van de switch vol zit. Deze switches kunnen +/- 65000 Mac adressen opslaan in hun tabel. Aangezien we 'maar' +/- 350 apparaten in ons netwerk hebben staan kan dit het niet zijn. Ik heb de MAC tabel op switch 1 uitgelezen en deze bevatte 348 MAC adressen.
Nadat ik de switches spanningloos heb gemaakt werkt alles weer. Ik vraag me alleen af hoe zo iets kan ontstaan, want dit lijkt me niet echt normaal.
(ik heb het trouwens al een keer eerder meegemaakt.
Sappig detail: Aan een aantal van die 3COM switches hangen nog een aantal 8 poorts 'elcheapo switches. Hier heb ik ook op gesnift en dan zie ik alleen multicast verkeer (en verkeer wat voor mijzelf bedoeld is)
Iemand hier die er iets zinnigs over kan zeggen?
:strip_icc():strip_exif()/u/298/pinguinlinux.jpg?f=community)
:strip_icc():strip_exif()/u/2442/crop57194a31e5db2_cropped.jpeg?f=community)
) Ik heb nu een 3300 achter een UPS geplaatst. Het is nu dus afwachten op de volgende fout en dan kijken of deze switch er dan geen last van heeft.