HUB
А теперь задачка, которую я пытаюсь решить последние два дня и которая окончательно рушит мой мозг и подвергает сомнению все мои познания в сетевых технологиях.
Имеется
Стандартная схема подключения к сети, через крупного провайдера. Есть кабель, который приходит в WAN порт (eth1) на котором в статике есть IP /24
Согласно законам физики (я же не маразматик еще), на eth1 должно быть видно либо броадкасты, либо то, что отправлено ко мне на MAC.
Но, я обратил внимание, что при всех остальных портах в disabled на eth1 приезжает трафика в 25 мегабит.
Меня не столько беспокоит 25 мегабит (хотя вашу мать еще как беспокоит) в мой eth1, сколько какого хрена они там вообще оказались. Я не говорю, что они там не только в MAC не попадают, являются private IP, но даже в подсеть 89.19.A.0/24 не попадают.
Отсюда у меня два вопроса:
- Какого х..?
- Каким образом они умудрились это сделать?
У меня есть только один вариант как это можно было устроить. Но подумав, что это имеет место на жизнь - мне становится страшно. Копнем глубже. Глянем дамп мегов на несколько сотен. Есть очень интересные совпадения.
Большая часть пакетов от разных айпишников (src) идут от одного и тогоже мака.
Итого, какая-то a2:ab:51 делает на своем конце nat и пропихивает дальше, причем неизвестному количеству получателей в 10.37.0.0/16 ну или чуть уже.
А что же у нас такое 00:90:1a:a2:ab:51
Ммммм... а кто же у нас такие Unisphere Solutions. Гугль на это дает два варианта - это какая-то система хранения (нам не совсем подходит тут), но есть ссылки на какую-то древнюю железку от Juniper.
А вот это уже нам больше подходит. Какой-то Juniper на границе делает трансляцию адресов и пропихивает это дальше.
Так может и хрен с ним, а что пропихивает то? Да кучу всего. И DNS и всякие ошметки от файликов.
А вот это за 30 секунд на интерфейсе и это только HTTP.
Никому не надо чужих, кук?
Ну или детские ботиночки, недорого.
В общем, поверьте мне, там много всего. Остался вопрос как, как они это делают. Как они пихают это во все порты, даже которым это не надо.
Я честно потратил два дня, пытаясь понять где они дали денег IANA или кому там еще, чтобы поменять логику работы L2 уровня. И не смог придумать. Ну кроме одной идеи, от которой мне правда становится дико.
В каком единственном случае (я так думаю) интерфейс может по L2 получить пакет, не со своим MAC? Ответ, на первый взгляд может быть только один - это когда FF:FF:FF... или... когда нам этот пакет сверху пихнули в интерфейс. А в каком случае это может произойти? Только тогда, когда у нас единственный домен коллизий. А в каком случае это может быть. Мне известен только один вариант.
Наш старый добрый HUB, он же концентратор. Больше вариантов у меня нет. Итого схема приобретает примерно следующий вид.
А теперь собственно вопрос:
В каком моменте я допустил ошибку и еб.....я на отличненько, ибо верить в такую схему я отказываюсь.
UPD
В погоне за сенсацией, пропустил самое простое на что намекнули. Скорее всего никакого хаба там, конечно, нет а есть переполнение ARP таблицы. По какой причине это происходит - это вопрос второй. MAC Flood, Hash Collision или просто древнее оборудование. Важно то, что при каком бы то ни было раскладе, отдавать трафик своих клиентов на броадкаст - это конечно, очень очень плохо.