Em um switch principal da empresa (Cisco 3750), conectei um PC físico Windows XP simples a uma porta de switch (acesso ao modo de porta de switch, acesso à porta de switch vlan 30). NÃO existem sessões de monitor no 3750. Além disso, o PC possui um único endereço IP em uma única NIC. No entanto, quando inicio uma captura promíscua do Wireshark no PC WinXP, aparecem várias conversas estrangeiras, LAN para LAN ou WAN para LAN (ou seja, src IP e dst IP não correspondem ao endereço IP do PC). Esse tráfego NÃO é transmitido (nem L2 nem L3). A configuração do comutador é uma configuração simples das camadas 3 e 2. Nada extravagante (omitido por bagunçar as razões)
Verifiquei a tabela MAC e ARP do switch e tudo parece normal: o switchport do PC mostra apenas 1 endereço MAC e os outros endereços MAC e IP estrangeiros resolvem para suas portas normais (usando "show ip arp" e "show mac-addr" etc. .)
Toda a ideia de captura foi iniciada porque queremos solucionar problemas freqüentes de aplicativos (de acordo com outras capturas, muitas retransmissões de TCP são o possível culpado).
Alguma ideia?
======================
EDITAR após uma pesquisa do IOS, parece que há uma grande chance de que a minha versão do IOS (12.2 (25) SEB4) possa ter erros sérios sobre tabelas CAM e tal. Vou atualizar na próxima semana e revisitar para atualizar.
Respostas:
[Desculpe pelo atraso na festa, mas me deparei com isso ao procurar outra coisa] Quando você diz "várias conversas estrangeiras aparecem", você quer dizer vários pacotes nas duas direções ou apenas um pacote ocasional?
Se houver conversas completas, você definitivamente tem um problema com a sua troca.
Se forem pacotes ocasionais, eu culparia as mudanças na árvore de expansão. Lembre-se de que um switch lembra os endereços MAC por 300 segundos por padrão. Portanto, se o seu switch NÃO viu um quadro de um dispositivo específico por 300 segundos e os quadros foram enviados para esse endereço MAC, eles seriam encaminhados para todas as outras portas, incluindo o seu monitor WinXP / Wireshark. Isso continuaria até o proprietário do endereço MAC enviar um quadro.
Para dispositivos que executam sistemas operacionais modernos, as chances de um dispositivo NÃO enviar um quadro por 300 segundos é muito pequena, embora outros dispositivos mais passivos possam ficar em silêncio por esse tipo de tempo.
Voltar à árvore de abrangência. Se houver uma alteração na topologia da árvore de expansão (como um dispositivo conectando / desconectando a uma porta do switch), um evento de Notificação de Alteração de Topologia será enviado para a ponte raiz. A ponte raiz define o bit TCN em todas as BPDUs para o próximo período FWD_DELAY (15 segundos). Quando as pontes veem as BPDUs com o bit TCN definido, elas reduzem os temporizadores de envelhecimento da tabela de endereços MAC para FWD_DELAY (15 segundos). [Esse é um motivo pelo qual você deve sempre inserir o comando de configuração global spanning-tree portfast padrão - para interromper a criação de TCNs sempre que uma porta do switch for ativada / desativada]
Portanto, se houver alterações na árvore de abrangência, é mais provável que você veja pacotes ocasionais em endereços MAC diferentes dos seus.
Você não diz especificamente se algum dos pacotes que você vê era de outra sub-rede (= outra VLAN, se o seu design estiver correto). MAS, se você estiver vendo pacotes de outra sub-rede / VLAN, sugiro que você observe com muito cuidado o cabeamento entre comutadores e verifique a configuração da vlan nativa e o status da porta Trunk de todos esses links. Se houver algum vazamento de "sub-rede / VLAN", ele poderá criar várias alterações na topologia que, por sua vez, poderão manter o cronômetro de envelhecimento em 15 segundos, levando a muitos quadros inesperados chegando à sua captura do Wireshark.
fonte