VanDyke есть вопрос.

[myst]

Вроде как ты адекватный специалист. Опишу ситуацию, есть старенькая 3550, с 3мя тоннелями до офисов, остальные порты в акцесс вланах, пробовали менять иос, когда на компьютере в акцесс-влане включаеш снифер - виден траффик из тоннеля. Куда думать?

[myst]

И чего это делает в курилке?

Вопрос риторический, тут гадание на кофейной гуще, я даже не знаю что дебажить... ip cef?

[VanDyke]

А траф виден только при promiscuous mode или даже без него?

[myst]

А траф виден только при promiscuous mode или даже без него?

только при promiscuous (неразборчивый режим в терминологии виндов)

[myst]

Перенести в Сети может?

не надо, вопрос врятли найдет ответ.

[VanDyke]

myst
А снифишь wireshark?

[myst]

myst
А снифишь wireshark?

да

[VanDyke]

myst
wireshark в promisc mode ловит предназначенные не себе пакеты. Т.е. циска вполне может посылать траф независимо от того, включен ли сниффер или нет.
Попробуй debug ip packet с access-list повесить на порт если есть такая возможность. Если это так - тогда уже надо курить почему вместо hext hop посылается траф на все порты.

[myst]

myst
wireshark в promisc mode ловит предназначенные не себе пакеты. Т.е. циска вполне может посылать траф независимо от того, включен ли сниффер или нет.
Попробуй debug ip packet с access-list повесить на порт если есть такая возможность. Если это так - тогда уже надо курить почему вместо hext hop посылается траф на все порты.

дык в том и вопрос, почему она посылает траф на все порты? все в ствоих вланах и на разных физических портах...

[VanDyke]

дык в том и вопрос, почему она посылает траф на все порты?

Ну вначале у меня было подозрение на сниффер - некоторые вполне могут броадкастом срать чтобы перехватить побольше. Но wireshark так точно не делает.
А туннели afaik под cef не подпадают и работают через process switching - можно или курить sh int stat или банально вырубить cef если есть возможность.
ЗЫ next-hop туннелей нормально кстати в sh arp/sh mac-address появились? Роуты никакие не смотрят next-hop-ом на интерфейс?

[myst]

дык в том и вопрос, почему она посылает траф на все порты?

Ну вначале у меня было подозрение на сниффер - некоторые вполне могут броадкастом срать чтобы перехватить побольше. Но wireshark так точно не делает.
А туннели afaik под cef не подпадают и работают через process switching - можно или курить sh int stat или банально вырубить cef если есть возможность.
ЗЫ next-hop туннелей нормально кстати в sh arp/sh mac-address появились? Роуты никакие не смотрят next-hop-ом на интерфейс?

Роуты никакие, все прозрачно. некст хопов нету. траффик из тоннелей светится на всех портах коммутатора.
ЗЫ на ip cef  я грешил в первую очаредь, но дебаг не принес ясности.

[VanDyke]

. траффик из тоннелей светится на всех портах коммутатора.

весь трафик кстати или только исходящий (входящий)?

[myst]

В обе стороны. От всех абонентов.

[VanDyke]

myst
вот думаю и не могу придумать причину, по которой циска будет специально дублировать входящие пакеты на остальные порты. Ведь это кстати должно неслабо грузить CPU. Да и кроме SPAN - в голову не приходит вообще как такое можно сделать.

[myst]

myst
вот думаю и не могу придумать причину, по которой циска будет специально дублировать входящие пакеты на остальные порты. Ведь это кстати должно неслабо грузить CPU. Да и кроме SPAN - в голову не приходит вообще как такое можно сделать.

Вот именно на этом у меня мысль и остановилась.