[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Что за зверь ms-nlb-physserver и ms-nlb-virtserver?

В Срд, 27/08/2008 в 15:29 +0300, Покотиленко Костик пишет:
> Есть физически один большой свичёванный ethernet сегмент сети. В одной
> его части используются адреса 10.0.0.0/16 (админ я) в другой
> 192.168.100.0/24 (другой админ).
> 
> В один прекрасный момент я начинаю намечать тормоза в работе сети,
> поснифев немного в своём сегменте (на машине из 10.0.0.73) вижу:
> 
> 192.168.100.42:xxxx -> 192.168.100.1:445
> 192.168.100.1:445 -> 192.168.100.42:xxxx
> 
> подобный траф прёт как броадкаст, по всем свичам. Подумал было на
> arp-spoof, палчаса снифа arp-spoof не обнаружил. К тому же arpwatch
> заорал бы по почте. Но у arpspoof в логах вот это:
> 
> arpwatch: ethernet mismatch 192.168.100.1 2:1:c0:a8:64:1
> (2:bf:c0:a8:64:1) eth0
> 
> Пробую дальше:
> 
> # ping 192.168.100.1 &
> # while true; do arp -d 192.168.100.1; sleep 1; done
> 
> в это время на другой консоле tcpdump выдаёт:
> 
> 15:07:42.943396 02:01:c0:a8:64:01 > 00:50:da:cc:39:fd, ethertype ARP
> (0x0806), length 60: arp reply 192.168.100.1 is-at 02:bf:c0:a8:64:01
> 15:07:43.380350 02:01:c0:a8:64:01 > ff:ff:ff:ff:ff:ff, ethertype Unknown
> (0x886f), length 82:
>         0x0000:  c001 dec0 0402 0000 0100 0000 c0a8
> 6401  ..............d.
>         0x0010:  0000 0000 0106 0000 0000 0000 7300
> 6500  ............s.e.
>         0x0020:  7200 7600 6500 7200 3100 2e00 6500 7800
> r.v.e.r.1...e.x.
>         0x0030:  7000 6f00 2e00 6c00 6100 6e00 0000 0000
> p.o...l.a.n.....
>         0x0040:  0000 0000
> 
> Вопросы:
> 
> 1. Нормально ли это и что это за техника когда арп ответ приходит с
> адреса отличного от того про который ответ?
> 
> 2. Как я уже нагуглил 02:01:xx:xx:xx:xx это зарезервированный адрес для
> MS-NLB-PhysServer-01, но что это такое не нашёл. Что это?
> 
> 3. Как это всё может быть связанно с тем что свичи превратились в хабы
> для этих адресов?

Добавлю:

1. MS-NLB - это вроде Microsoft Network Load Ballancer.
2. Тот админ признался, что включил эту штуку. Когда её выключили всё
стало нормально. Плюс ещё у него сменился мак после выключения MS-NLB.
3. Единственное объяснение которое я вижу: поскольку весь траф от
192.168.100.1 (и других) шёл с *другого* мака, свичи запомнили его на
порту и не запомнили нормальный мак. И судя по всему, когда свич не
знает в какой порт пихать пакет (нет мака в памяти) он пихает его во все
порты.

Если кто может прокомментировать - буду рад.

-- 
Покотиленко Костик <casper@meteor.dp.ua>
Reply to: