Я хотел бы попросить помощи в понимании этого захвата tcpdump. Tcpdump запущен на сервере 10.13.255.27 и получил пакет:
root@server27 ~]# tcpdump -i eth0 dst host 10.13.255.26 and not src net 10.13.255.0/24 -nn -vv
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:55:48.604841 IP (tos 0x0, ttl 58, id 52803, offset 0, flags [DF], proto TCP (6), length 1420)
10.19.13.152.48002 > 10.13.255.26.40650: Flags [.], cksum 0x13eb (correct), seq 4107760935:4107762315, ack 911518208, win 998, length 1380
10.19.13.152 - это сервер, который выходит в сеть 10.13.255.0/24 через vpn.
Спрашивается, почему этот пакет был отправлен на 10.13.255.27? И 26, и 27 подключены к коммутатору Summit200 по одному и тому же vlan, и ни один из них не является виртуальным.
заранее спасибо
Ты бежишь tcpdump в беспорядочном режиме. Это означает, что tcpdump настроит сетевой интерфейс для приема всех пакетов по каналу независимо от MAC-адреса назначения.
По умолчанию сетевой интерфейс отбрасывает все пакеты, не предназначенные для этого хоста. Любой пакет, не предназначенный для этого хоста, автоматически отбрасывается сетевым интерфейсом без уведомления ядра.
Вы можете использовать -p флаг tcpdump чтобы он не менял настройки сетевого интерфейса. Однако имейте в виду, что интерфейс мог быть переведен в беспорядочный режим по другим причинам.
Из ваших выходных данных мы не можем увидеть, соответствует ли MAC-адрес назначения пакета сетевому интерфейсу, на котором он был получен. Где искать дополнительную информацию, зависит от того, какой из двух случаев.
Если MAC-адрес назначения совпадает с сетевым интерфейсом, он был получен тогда вам нужно посмотреть в таблице маршрутизации на предыдущем переходе, через который был маршрутизирован пакет, чтобы понять, почему он был перенаправлен на ваш MAC.
Если MAC-адрес назначения не соответствует сетевому интерфейсу, он был получен на тогда MAC-адрес должен отсутствовать в CAM на коммутаторе. Это может указывать либо на то, что у вас больше MAC-адресов в локальной сети, чем может содержать CAM на коммутаторе, либо на то, что целевой MAC-адрес пакета просто не отправлял никаких пакетов в последнее время.