ช่วยดูหน่อยครับ ไม่รู้ว่าปัญหามาจากอะไรแน่

ปัญหาคืออยู่ๆก็มี traffic วิ่งเข้ามาที่ switch จนเต็ม 100Mb ( switch ทำ vlan ไว้ 3 class )

กราฟ bw ที่ port uplink

โดย traffic วิ่งไปออกที่ port ที่ต่อเครื่องใน vlan นึง (อีก 2 vlan ปกติ)

ทำการ remote เข้าไปที่เครื่องและทำการ tcpdump ออกมา ได้ผลดังนี้
tcpdump -v -i eth0 -n 3000
05:44:17.414664 IP (tos 0x0, ttl 53, id 63559, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6273788:6275248(1460) ack 1 win 5840
05:44:17.414860 IP (tos 0x0, ttl 53, id 63561, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6276708:6278168(1460) ack 1 win 5840
05:44:17.415055 IP (tos 0x0, ttl 53, id 63562, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6278168:6279628(1460) ack 1 win 5840
05:44:17.415249 IP (tos 0x0, ttl 53, id 63564, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6281088:6282548(1460) ack 1 win 5840
05:44:17.415445 IP (tos 0x0, ttl 53, id 63566, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6284008:6285468(1460) ack 1 win 5840
05:44:17.415639 IP (tos 0x0, ttl 53, id 63567, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6285468:6286928(1460) ack 1 win 5840
05:44:17.415834 IP (tos 0x0, ttl 53, id 63569, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6288388:6289848(1460) ack 1 win 5840
05:44:17.416030 IP (tos 0x0, ttl 53, id 63570, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6289848:6291308(1460) ack 1 win 5840
05:44:17.416224 IP (tos 0x0, ttl 53, id 63572, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6292768:6294228(1460) ack 1 win 5840
05:44:17.416419 IP (tos 0x0, ttl 53, id 63574, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6295688:6297148(1460) ack 1 win 5840

เท่าที่ดูก็คือมันยิงมาจาก ip 27.254.41.52 (upyim)
http://27.254.41.52/mrtg

ยิงมาที่ ip 61.19.247.213
http://61.19.247.213/mrtg

ปัญหาคือเครื่อง ip 61.19.247.213 อยู่ตู้ใหนก็ไม่รู้ไม่ได้อยู่ในตู้ผม แต่ดันมี traffic วิ่งมาเข้า port ในตู้ผม (ซึ่งมันไม่ควรจะมี) แจ้งไปทาง cslox ก็บอกทำการ block ให้แล้ว แต่แมร่งก็ยังมี traffic ยิงมาที่เครื่อง 213 ทุกวันเหมือนเดิม
แจ้งไปทาง cat ก็บอกแจ้งให้ทางฝ่าย network ตรวจสอบให้ แต่ก็ยังเป็นอยู่อย่างเดิมทุกวัน เท่าที่ไล่เช็คแล้วไม่น่าจะมีปัญหาที่เครื่อง server แน่ๆ เพราะขนาดปิดเครื่องและ restart switch แล้วก็ยังมี traffic วิ่งเข้ามาอยู่ตลอด

ตอนนี้ก็เล็งไปที่ว่า switch ผมมันมีปัญหาอะไรหรือเปล่า หรือว่าเป็นปัญหาจากระบบ network ที่ cat เอง (ปัญหามีมาก่อนที่จะโดนตัดไฟ)

ปล. ถ้าท่านเจ้าของ ip ทั้ง 2 ผ่านมาก็ รู้ไว้ด้วยว่า เครื่องของท่าน ยิง/โดนยิง อยู่ทุกวัน เพียงแต่มันไม่ล่มท่านเลยอาจไม่รู้ตัว

บน 61.19.247.213 ก็มี Upyim ครับ (เว็บทราฟฟิกค่อนข้างเยอะ) เป็นไปได้หรือเปล่าว่า สองเครื่องนี้มันจะถูกตั้ง cronjop ให้คุยกันตามเวลาที่กราฟพุ่งใน MRTG
14 domains ที่ใช้ 61.19.247.213 รายงานไม่ 100% แต่ ping tophit.upyim.com แล้วยังได้ 61.19.247.213 อยู่

avideo.pakyim.com
thaifashionresearch.com

www.baikaewclinic.com
www.chicblooming.com
www.chicgang.com
www.communitythai.com
www.ctpetclub.com
www.fordfiestaclub.net
www.fordfocusclub.com
www.hae-girls.com
www.hugclip.com
www.mentype.com
www.sidetogame.com

เอ๊ะ สองเครื่องนั้นมันคุยกันเองปกตินะครับ upyim ทั้งคู่ มีอะไรหว่า

ปัญหาคือแล้ว traffic มันวิ่งมาเข้าที่สาย uplink ตู้ผมทำไมหว่า งงจริงๆ
หรือว่า traffic มันล้นสายนั้น เลยวิ่งมาเข้าสายผม 5555

หลายคนอาจสับสน

สองเครื่องนั้นไม่เกี่ยวกับตู้คุณแมน

อาจเพราะ idc config อะไรผิด port mirror หรือเปล่าให้เขาตรวจสอบ

อ่า เช็คแล้วเป็น traffic FTP ครับ backup ข้อมูลโยนข้าม idc กันเฉยๆ

ว่าแต่ทำไม traffic มันไปโดนฝั่งพี่แบบนั้นอะ มันเป็น unicast นา ประหลาดจัง
น่าจะเป็นปัญหาที่ switch ฝั่ง cat มากกว่าฮะ

ขอโทษนะครับทุก ๆ ท่าน
ถ้าผมขอแนวคิดว่าทำไมถึงคิดแบบนั้น จะได้ไหมครับ (อยากจะขอไว้เป็นประสบการณ์ของตัวเองด้วยครับ)

หากไม่ได้อย่างไงขออภัยด้วยครับ

ที่ว่า คิดแบบนั้น คือแบบใหนครับ มีถามตอบกันหลายโพสต์หลายประเด็น

น่าจะเป็นที่ cat แหละ แต่เปิด ticket ไปหลายวัน ก็ยังเหมือนเดิมจนชักจะหงุดหงิด :9bbc76d5:
เข้าใจว่า 2 เครื่องนั้นเขารับส่งไฟล์กันมานานแล้ว แต่อยู่ๆก็เพิ่งมาเป็นก่อนที่จะโดนตัดไฟไม่กี่วัน

ขออภัยครับพี่แมน คำว่า “คิดแบบนั้น” หมายถึงว่า อย่างคุณ ไอซ์ ที่บอกว่า

อ่า เช็คแล้วเป็น traffic FTP ครับ backup ข้อมูลโยนข้าม idc กันเฉยๆ

ว่าแต่ทำไม traffic มันไปโดนฝั่งพี่แบบนั้นอะ มันเป็น unicast นา ประหลาดจัง
น่าจะเป็นปัญหาที่ switch ฝั่ง cat มากกว่าฮะ

ทำไมถงรู้ว่าข้าม IDC เป็น Traffice FTP และก็รู้อีกว่าเป็น Backup
คำพูดที่ว่าเป็น [COLOR=#333333]unicast นาประหลาดจัง

และสรุปสุดท้ายว่า เป็นที่ switch ฝั่ง Cat มากกว่า

คือทำไมถึงคิดออกมาแบบนั้น อะไรแบบนี้หนะครบ ต้องอ่านแบบไหน ดูอย่างไง ทำนองนี้

หรือคำพูดของตัวท่านเอง

[/COLOR]ปัญหาคือแล้ว traffic มันวิ่งมาเข้าที่สาย uplink ตู้ผมทำไมหว่า งงจริงๆ
หรือว่า traffic มันล้นสายนั้น เลยวิ่งมาเข้าสายผม 5555[COLOR=#333333]

[/COLOR][COLOR=#333333]traffic มันวิ่งมาเข้าที่สาย uplink ตู้ผม มันดูอย่างไงอะไรทำนองนี้หนะครับ

ขออภัยด้วยถ้าหากคำพูดหรือความผิดไม่เหมาะสมครับ[/COLOR]

น่าจะเป็นแบบที่ผมเคยเจอ

เป็นที่ Network ของทาง IDC ครับ

เข้าใจว่าเครื่องอยู่ตู้เสี่ยป๊อป ไอซ์เช็คจาก traffic log ได้ เพราะเก็บ log ละเอียดยิบ ถึงรู้ว่าจากใหนไปใหน บอกได้ว่าเป็น ftp

ก็ดูจากกราฟ bw ที่จับจาก switch แต่ละ port ครับ
ที่บอกว่า traffic ที่รับส่งกันมันไม่ควรวิ่งเข้ามาที่ switch ตู้ผม เพราะเครื่องในตู้มันไม่เกี่ยวข้องแต่อย่างใด
ส่วนที่ว่า traffic ล้นสายนั้นพูดเล่นๆ ตามอาการที่มันเป็น

พอจะเล่ารายละเอียดได้มั้ยครับ แล้วตอนนั้นทาง IDC ใช้เวลาแก้ไขนานมั้ยครับ

ขอบคุณมากๆ ครับ แต่ยังงงๆ อยู่ (ทำให้วาดภาพออกมาได้บ้างว่าอะไรคืออะไร) ไว้เจอกับตัวคงน่าจะเข้าใจมากกว่านี้ ^ ^

ไม่เจอจะดีกว่านะ :th_059_:

ลักษณะคล้าย ๆ กันนี้ครับ มี Traffic ที่ไม่เกี่ยวข้อง เข้ามาที่ Switch แต่ก็น้อยกว่านี้เยอะครับ
(แต่ผมโดนชาร์จ Incoming Data Transfer)

IDC ไม่มีปัญญาแก้ครับ ไม่ยอมรับปัญหาต่างหาก เลยย้าย IDC ครับ

ย้าย IDC ดีไหมครับพี่
CAT IDC ทำปวดหัวและปวดใจ มาหลายครั้งแล้ว 5555 :beautifu2:

ก็ต้อง monitor ต้นทางปลายทางให้ได้ (ซึงกรณีนี้ผมดูได้) แค่นั้นแหละคัรบ มีข้อมูลในมือทุกอย่างจบ