К чему могут привести сетевые пакеты, состоящие из PUU?

У нас есть система, которая страдает от перебоев связи в гигабитной сети Ethernet. Нагрузка на сеть такова, что слегка нагружает 100-мегабитную сеть, но везде есть гигабитные коммутаторы, сетевые карты и кабели — по крайней мере, так мне сказал заказчик, который построил сеть, к которой мы подключаемся.

Мы подключили ноутбук с Wireshark через концентратор 100baseT и обнаружили, что он сообщает о большом количестве пакетов «Ethernet II», где необработанные данные, отображаемые в виде ASCII, в основном выглядят следующим образом:

ПУУУУУУУУУУУУУУУУУУУУУУУУУУУУУУУУУУУУУУ

Естественно, я сразу же назвал этот выпуск «Сетевой PUU», и последовало много смешков.Нам всем за сорок или около того, но я думаю, что некоторые из нас никогда не вырастут (виноваты!)

В любом случае, если говорить более серьезно, эти данные искажали другие совершенно корректные пакеты. Заголовки IPv4 заменяли байты на U байтов, а также повреждение данных, из-за чего программное обеспечение отклоняет данные, даже если контрольные суммы IP не совпадают. Мы почти уверены, что эти данные, выплескивающиеся в сеть, вызывают перебои в связи. Чего мы не знаем, так это того, откуда она может исходить.

Кто-нибудь когда-нибудь видел, как это происходит раньше? Вы решили это? Вы разобрались, откуда оно взялось?

====ОТРЕДАКТИРОВАНО====

В исходное описание добавлено упоминание о хабе, поскольку, судя по комментариям ниже, он является наиболее вероятным источником порчи! Инструмент, который мы использовали, чтобы попытаться найти проблему с сетью, похоже, добавил новую и более серьезную проблему с сетью.

В любом случае, если говорить более серьезно, эти данные искажали другие совершенно корректные пакеты. Заголовки IPv4 заменяли байты на байты U, а также имело место повреждение данных, из-за чего программное обеспечение отклоняло данные, даже если контрольные суммы IP не совпадали.

Удивительно, что просто чередование битов (U это ASCII 0x55 или 01010101b) на самом деле составляют действительные кадры Ethernet или даже действительные IP-пакеты.Если это повреждение распространяется также и на неповрежденные фреймы/пакеты, оно может быть вызвано, скорее всего, неисправным коммутатором (плохая буферная память) или неисправным хостом (сетевой картой или ОЗУ).

Если данные кадра повреждены при передаче по кабелю, FCS, скорее всего, не сможет выполнить проверку, что приведет к тому, что следующий коммутатор потеряет этот кадр. Однако, если такой кадр передается по сети с действительным FCS, он должен быть поврежден. перед что FCS был рассчитан, что указывает на неисправный коммутатор или хост.

Вам нужно будет отследить этот трафик. Если исходный MAC-адрес недействителен или не может быть проверен на промежуточных (неуправляемых) коммутаторах, вам необходимо проследить обратный путь по кабелям.

Похоже, у вас плохая сетевая карта. Если исходный MAC-адрес действителен, вы можете найти его, проверив таблицы MAC-адресов коммутатора. Если он поврежден, вам просто нужно начать отключать устройства, чтобы найти его.

Это звучит так, как будто у вас где-то есть устройство (вероятно, коммутатор на 100 Мбит/с), которое не может справиться с потоком трафика и начинает портить пакеты, когда его внутренние буферы переполняются.
(Или у него просто плохая оперативная память).

Он не замечает, что у него есть поврежденные пакеты, и с удовольствием повторно передает их со свежевычисленными новыми контрольными суммами.Таким образом, плохие пакеты принимаются другими коммутаторами (контрольная сумма в порядке, коммутаторам все равно, что содержимое бессмысленно) и пересылаются по всей сети.

На самом деле все еще хуже:
Рассмотрим, как коммутаторы узнают, какое устройство (mac-адрес) за каким портом находится. Любой пакет, предназначенный для mac-адреса, который еще не изучен коммутатором, рассылается на все порты коммутатора (кроме того, с которого он пришел). Это эффективно превращает пакет для неузнаваемого mac-адреса во временную трансляцию.
Поскольку ваши коммутаторы никогда не узнают эти mac-адреса (в конце концов, они повреждены, а не настоящие mac-адреса), они ВСЕ обрабатываются как широковещательные рассылки...
По сути, это наводняет всю сеть недоставленными пакетами.
(И обратите внимание, что обычные средства смягчения широковещательных штормов в этом случае не работают. Они действуют только на НАСТОЯЩИЕ широковещательные пакеты, а не на эти обучающие потоки.)

Единственный способ устранить эту проблему — отключить по одному переключателю за раз и посмотреть, исчезнет ли проблема. Если вы можете сузить его до 1 коммутатора, это будет сам коммутатор или устройство, подключенное за этим коммутатором.

Разница между концентратором и коммутатором заключается в том, что когда коммутатор сталкивается с коллизией, он либо отбрасывает второй пакет, либо сохраняет его, а затем пересылает, когда заканчивается первый пакет; где концентратор с радостью позволит произойти столкновению и просто заменит содержимое пакета на 10101..., чтобы указать, что это было столкновение, и продолжит отправку до тех пор, пока оба пакета не закончатся.

Решение здесь состоит в том, чтобы избавиться от концентраторов, поскольку они устарели. Они перестали делать концентраторы до того, как стал доступен 1G, поэтому концентратор должен быть 100M или медленнее. Стандарт сети 1G не поддерживает концентраторы.

Немного истории: до того, как появились концентраторы, были повторители. Разница между ретранслятором и концентратором заключается в том, что ретранслятор получает аналоговый сигнал, слегка очищает его, превращая в красивую прямоугольную волну, а затем ретранслирует его, где концентратор на самом деле немного смотрит на то, что находится в пакете, и пытается убедитесь, что пакет хорошо сформирован. Однако ни один из них ничего не делает для исправления столкновений, они просто позволяют им происходить. Ретрансляторы и концентраторы пришли из тех времен, когда Ethernet считался небуферизованной шиной, и только одно устройство в сети могло говорить одновременно. Когда Ethernet был настоящей шиной (10base2 и 10base5), для запуска пакета вы передавали стартовые биты (10101...) до тех пор, пока первый бит не достигнет самых дальних концов сети, и если за это время вас никто не прервал. , затем вы продолжаете свой пакет. Если вас прервут, произойдет столкновение, и обе стороны отступят и попытаются снова в случайное время позже. Если одна сторона не прерывается, то у вас поздняя коллизия. Ваш хаб превращает ваши поздние столкновения во все стартовые биты. Возможно, что-то в пути не распознает пакет как поздний конфликт и вместо того, чтобы отбрасывать его, преобразует его в действительный пакет. Или ваш неразборчивый анализатор пакетов видит недействительные пакеты так же, как и действительные.

Сравните это с коммутатором, который не только устраняет коллизии, но и может поддерживать полный дуплекс, когда пакет передается, а другой принимается. Стандарт 100M поддерживает коммутаторы, которые как поддерживают, так и не поддерживают полнодуплексный режим, и это согласовывается между устройствами при подключении кабеля. и поэтому концентраторов 1G не существует.