¿Por qué wireshark captura tráfico extranjero / no relevante en mi puerto de conmutación de acceso simple?

7

En un conmutador principal de la compañía (Cisco 3750), conecté una PC física simple con Windows XP en un puerto de conmutación (acceso de modo de puerto de conmutación, acceso de puerto de conmutación vlan 30). NO existen sesiones de monitor en el 3750. Además, la PC tiene una sola dirección IP en una sola NIC. Sin embargo, cuando inicio una captura promiscua de Wireshark en la PC WinXP, aparecen varias conversaciones extranjeras, ya sea de LAN a LAN o de WAN a LAN (es decir, src IP y dst IP no coinciden con la dirección IP de la PC). Este tráfico NO se transmite (ni la transmisión L2 ni la transmisión L3). La configuración del conmutador es una configuración simple de capa 3 y capa 2. Nada lujoso (omitido por abarrotar las razones)

He verificado la tabla MAC y ARP del conmutador y todo parece normal: el puerto del conmutador de la PC muestra solo 1 dirección MAC y las otras direcciones MAC e IP externas se resuelven en sus puertos normales (usando "show ip arp" y "show mac-addr", etc. .)

Toda la idea de captura se inició porque queremos solucionar problemas de retrasos frecuentes en la aplicación (según otras capturas, muchas retransmisiones TCP son el posible culpable).

¿Algunas ideas?

======================

EDITAR después de una investigación de IOS, parece que hay una gran posibilidad de que mi versión de IOS (12.2 (25) SEB4) pueda tener errores graves sobre las tablas CAM y demás. Actualizaré la próxima semana y volveré a visitar para actualizar.

Elias Bats
fuente
¿Vlan 30 tiene enrutadores con HSRP, GLBP o VRRP en ellos? Si es así, hay muchas posibilidades de que tenga inundaciones de unidifusión desconocidas; ver esta publicación para detalles de mitigación.
Mike Pennington
No HSRP, VRRP o cualquier diseño de alta disponibilidad no está presente. Parece que este tráfico es una inundación de unidifusión desconocida, tienes razón. Además, sospeché y comencé a buscar en la sección de errores de Cisco. Podría haber tropezado con algo interesante. Proporcionaré comentarios de todos modos.
Elias Bats
Agregue la configuración del interruptor, la salida de "sh ver" y el número total de direcciones mac en la tabla de cámaras. También sería útil un diagrama de los interruptores conectados a él.
Mike Pennington

Respuestas:

2

[Perdón por llegar tarde a la fiesta, pero me encontré con esto cuando buscaba algo más]. Cuando dices "aparecen varias conversaciones extranjeras", ¿te refieres a varios paquetes en ambas direcciones, o solo algún paquete ocasional?

Si se trata de conversaciones completas, entonces definitivamente tiene un problema con su interruptor.

Si se trata de paquetes ocasionales, entonces culparía a los cambios del árbol de expansión. Recuerde que un conmutador recuerda las direcciones MAC durante 300 segundos de forma predeterminada. Entonces, si su conmutador NO ha visto una trama de un dispositivo en particular durante 300 segundos, y las tramas se enviaron a esa dirección MAC, se enviarían a todos los demás puertos, incluido su monitor WinXP / Wireshark. Esto continuaría hasta que el propietario de la dirección MAC enviara una trama.

Para los dispositivos que ejecutan sistemas operativos modernos, las posibilidades de que un dispositivo NO envíe un marco durante 300 segundos son bastante escasas, aunque otros dispositivos más pasivos pueden permanecer en silencio durante ese tipo de tiempo.

De vuelta al árbol de expansión. Si hay un cambio en la topología del árbol de expansión (como un dispositivo que se conecta / desconecta a un puerto del conmutador), se envía un evento de Notificación de cambio de topología al puente raíz. Luego, el puente raíz establece el bit TCN en todas las BPDU para el próximo período FWD_DELAY (15 segundos). Cuando los puentes ven BPDU con el conjunto de bits TCN, reducen los temporizadores de antigüedad de la tabla de direcciones MAC a FWD_DELAY (15 segundos). [Esta es una razón por la cual siempre debe ingresar el comando de configuración global spanning-tree portfast default - para detener la creación de TCNs cada vez que se activa / desactiva un puerto de switch]

Entonces, si hay cambios en el árbol de expansión, es más probable que vea paquetes ocasionales en direcciones MAC que no sean las suyas.

No dice específicamente si alguno de los paquetes que ve eran de otra subred (= otra VLAN si su diseño es correcto). PERO si USTED está viendo paquetes de otra subred / VLAN, le sugiero que mire cuidadosamente su cableado entre conmutadores y verifique la configuración de vlan nativa y el estado del puerto troncal de todos estos enlaces. Si hay una fuga de "subred / VLAN", podría crear múltiples cambios de topología que a su vez podrían mantener el temporizador de envejecimiento a 15 segundos, lo que llevaría a que lleguen muchos más marcos inesperados en su captura de Wireshark.

rednectar
fuente