Tại sao wireshark thu hút lưu lượng truy cập nước ngoài / không liên quan trên tổng đài truy cập đơn giản của tôi?

Trên một công tắc chính của công ty (Cisco 3750), tôi đã kết nối một PC vật lý Windows XP đơn giản trên một tổng đài (truy cập chế độ chuyển mạch, truy cập tổng đài vlan 30). KHÔNG có phiên giám sát nào tồn tại trên 3750. Ngoài ra, PC có một địa chỉ IP duy nhất trên một NIC. Tuy nhiên, khi tôi bắt đầu Wireshark chụp bừa bãi trên PC WinXP, một số cuộc hội thoại nước ngoài xuất hiện, cả LAN-to-LAN hoặc WAN-to-LAN (đó là src IP và dst IP không khớp với địa chỉ IP của PC). Lưu lượng này KHÔNG được phát (không phát L2 cũng không phát L3). Cấu hình của switch là cấu hình lớp 3 và lớp 2 đơn giản. Không có gì lạ mắt (được khuyến khích để làm lộn xộn các lý do)

Tôi đã kiểm tra bảng MAC và ARP của công tắc và tất cả có vẻ bình thường: tổng đài của PC chỉ hiển thị 1 địa chỉ MAC và các địa chỉ MAC và IP nước ngoài khác giải quyết các cổng thông thường của họ (sử dụng "show ip arp" và "show mac-addr", v.v. .)

Toàn bộ ý tưởng chụp đã được bắt đầu vì chúng tôi muốn khắc phục sự chậm trễ ứng dụng thường xuyên (theo các cách chụp khác, nhiều lần truyền lại TCP là thủ phạm có thể xảy ra).

Có ý kiến ​​gì không?

======================

EDIT sau một nghiên cứu về iOS có vẻ như có khả năng khá lớn là phiên bản iOS của tôi (12.2 (25) SEB4) có thể có lỗi nghiêm trọng về các bảng CAM và như vậy. Tôi sẽ nâng cấp vào tuần tới và xem lại để cập nhật.

[Xin lỗi vì đến bữa tiệc muộn, nhưng tình cờ gặp phải điều này khi tìm kiếm thứ khác] Khi bạn nói "một vài cuộc hội thoại nước ngoài xuất hiện", bạn có nghĩa là nhiều gói theo cả hai hướng, hoặc chỉ là gói không thường xuyên?

Nếu đó là cuộc hội thoại đầy đủ, thì bạn chắc chắn có vấn đề với chuyển đổi của mình.

Nếu đó là các gói không thường xuyên, thì tôi sẽ đổ lỗi cho việc thay đổi cây bao trùm. Nhớ lại rằng một công tắc nhớ các địa chỉ MAC trong 300 giây theo mặc định. Vì vậy, nếu công tắc của bạn KHÔNG thấy khung hình từ một thiết bị cụ thể trong 300 giây và các khung được gửi đến địa chỉ MAC đó, chúng sẽ được chuyển tiếp đến tất cả các cổng khác, bao gồm cả màn hình WinXP / Wireshark của bạn. Điều này sẽ tiếp tục cho đến khi chủ sở hữu của địa chỉ MAC gửi một khung.

Đối với các thiết bị chạy hệ điều hành hiện đại, cơ hội thiết bị KHÔNG gửi khung trong 300 giây là khá mong manh, mặc dù các thiết bị thụ động khác có thể im lặng trong khoảng thời gian đó.

Trở lại cây bao trùm. Nếu có thay đổi cấu trúc liên kết cây bao trùm (chẳng hạn như thiết bị kết nối / ngắt kết nối với cổng chuyển đổi), sự kiện Thông báo thay đổi cấu trúc liên kết sẽ được gửi đến cầu nối gốc. Cầu gốc sau đó đặt bit TCN trên tất cả các BPDU cho khoảng thời gian FWD_DELAY tiếp theo (15 giây). Khi các cầu nối nhìn thấy các BPDU với bit TCN được đặt, chúng sẽ giảm bộ định thời lão hóa cho bảng địa chỉ MAC xuống FWD_DELAY (15 giây). [Đây là một lý do tại sao bạn phải luôn luôn nhập lệnh cấu hình toàn cầu spanning-tree portfast - để dừng việc tạo TCN bất cứ khi nào cổng chuyển đổi được kích hoạt / hủy kích hoạt]

Vì vậy, NẾU có các thay đổi cây bao trùm, nhiều khả năng bạn sẽ thấy các gói không thường xuyên đến các địa chỉ MAC khác với địa chỉ của bạn.

Bạn không nói cụ thể nếu bất kỳ gói nào bạn thấy là từ một mạng con khác (= Vlan khác nếu thiết kế của bạn đúng). NHƯNG nếu bạn đang thấy các gói từ mạng con / Vlan khác, thì tôi khuyên bạn nên xem xét kỹ hệ thống cáp chuyển mạch của mình và kiểm tra cấu hình vlan gốc và trạng thái cổng Trunk của tất cả các liên kết này. Nếu có bất kỳ rò rỉ "mạng con / Vlan" nào, thì nó có thể tạo ra nhiều thay đổi cấu trúc liên kết, từ đó có thể giữ bộ đếm thời gian lão hóa đến 15 giây dẫn đến nhiều khung hình bất ngờ hơn xuất hiện khi chụp Wireshark của bạn.