Wireshark case: cổng stanby server gửi packet lung tung

Chia sẻ 1 case server lỗi cổng mà làm mạng toàn bị đổ oan L

Mô hình:

- Con zabbix sẽ monitor nhiều server, trong đó có con server trong hình kia

- Server chạy bonding active/stanby

- Nhưng gần đây không hiểu sao server thường bị mất giám sát tầm vài phút, sau đó lại được, lặp đi lặp lại.

- Khi monitor bị đứt đoạn thì ping tới server không thông.

- Cả server và Zabbix đều cùng LAN, nên không trace để xem tắc đoạn nào được.

Action:

- Thử thay SFP của server, switch: không ăn thua

- Thay cáp quang không ăn thua

- Đổi port ở phía switch =>vẫn bị thế

=> phải xin khách hàng cho remote vào bắt wireshark trên server, (lúc bị timeout)

Thực hiện:

- Khi timeout xảy ra, thử ping từ Zabbix tới Server và bắt gói cùng lúc

- Thấy ở Zabbix có gói đi; nhưng ở server không thấy gói nhận

->  Bị khách hàng đổ lỗi do switch.

- Sau đó ae vẫn nghi là do server => nên thử bắt tcpdump ở cổng standby xem sao;  thì thấy các gói tin từ ngoài vào đều đến cổng standby. 

=> Vậy là các gói tin từ ngoài đều đến cổng phụ, mà ko qua cổng chính. => Đã thấy sai sai ))

- Thử show mac trên switch thì thấy MAC server được học qua cổng phụ, còn cổng chính đang bị block. Nên server ko thể reply lại các bản tin vừa đến.

- Vậy có thể kết luận là server bị lỗi là do cổng phụ tự đẩy MAC lên switch, khiến sw thấy MAC server đang flapping giữa 2 port => nên nó block 1 cổng (ở đây là cổng chính) , => từ đó server không reply lại được các bản tin từ ngoài vào.

=> Sau đó gọi cho đội server xử lí tiếp, network vô tội ))