Сегодня столкнулся в одном из филиалов с какой-то совсем странной вещью.
Есть у меня там несколько мелких подсетей, закоммутированных на VLAN-маршрутизатор. То есть как. Есть управляемый 3Com-овский свитч из серии "Baseline" aka "Вазелин". Есть три "серых" внутренних сети, каждая подключена к определённому порту. Порты разбиты на VLAN-ы. Есть два транковых порта, которые навешивают 802.1q-метки на кадры и передают их "умным" устройствам. В качестве таких "умных" устройств выступают обычная линуксовая машинка с различными сервисами на борту и Mikrotik, который занимается маршрутизацией, NAT-ом и прочими глупостями. В этот же "вазелин" приходит и аплинк от провайдера.
Какое-то довольно долгое время (порядка полугода) всё это работало как задумано. А потом со странной периодичностью связь начало тошнить. Выглядит это как недолгое пропадание интернета и самопроизвольное восстановление линка через 10...15 минут.
Сегодня вот снова началась какая-то шняга. Позвал провайдера, взял его за грудки и стал трясти. Он почесал репу, посмотрел логи и заявил, что это у него сработала защита Port Protection. Типа, порт его коммутатора, в который воткнута линия в мою сторону, увидел до фига незнакомых несанкционированных MAС-адресов и в качестве профилактики выключился на какое-то время. Выждал тайм-аут, после чего включился обратно. Затем процесс повторился.
Я сперва не поверил, попросил его показать логи. Он показал. Я в них увидел с десяток хостов из своей внутренней серой подсети, а также их настоящие IP и MAC адреса. То есть представитель провайдера оказался прав, проблемы действительно возникли на моей стороне. На этот раз уже я сел чесать репу.
Каким-то образом мой внутренний VLAN "прорвался" и "протёк" в порт провайдера. Но как? И кто виноват? Свитч? Микротик? Линуксовая машина?
И что же именно случилось? Почему довольно долго всё работало нормально, и вдруг начало кривить? Что изменилось? И почему перезагрузка микротика не исправила ситуацию, а пятиминутное отключение витой пары из провайдерского порта решило вопрос?
Может, кто-то "отравил" мой свитч ARP-запросами (ARP Poisoning)? Но кто и с какой стороны? Изнутри моей сети? Но в ней все устройства администрирую я сам, везде есть антивирусы, там всё чисто. Из сети провайдера? Но как же тогда его хвалёный Port Protection? И почему тогда "протекли" VLAN-ы, вроде ж они должны были бы остаться изолированными даже в случае ARP Poisoning. Или нет?
В общем, я до сих пор сижу и гадаю что же это было. И как диагностировать, если вдруг ситуация в будущем повторится снова.