Re: Remote syslog-Server einrichten

From: Bernd Walter <ticso(at)cicely12.cicely.de>
Date: Tue, 20 Apr 2004 01:29:35 +0200



On Mon, Apr 19, 2004 at 10:49:10PM +0000, Christian Weisgerber wrote:


> Bernd Walter <ticso(at)cicely.de> wrote:


> 


> > Das Problem haben alle Switche die sich dynamisch Konfigurieren.


> > Die bauen ihre MAC Tabellen durch die übertragenen Packete auf.


> > Wenn eine MAC nicht bekannt ist muss das Packet an alle Ports.


> > Da ein reiner syslog Server aber nahezu niemals Packete verschickt


> 


> ARP?



Obiges war nur die Kurzfassung.


ARP verschleiert das Problem leider nur.


Ein ARP Reply kommt seltener als der Switch expire.


Der ARP Cache unter FreeBSD hält 20 Minuten - so ein Switch macht


IIRC default was um die 5-6 Minuten oder noch weniger.


=> net.link.ether.inet.max_age (in Sekunden)


AFAIK kommen da beim ARP Cache noch bis zu 5 Minuten prune Intervall


dazu (net.link.ether.inet.prune_intvl).


Bei anderen OS sind die ARP Cache Zeiten recht ähnlich.



Wenn du mehrere Clients hast wirst du evtl über lange Zeit regelmässig


genug Requests haben, aber das verschiebt sich.


Ein Switch kann den Erfolg einer Zustellung dummerweise nicht erkennen


und wenn nur die ARP Antworten vom Rechner kommen ist der Switch Eintrag


zwischendurch weg.



Das ist keine Theorie - so Fall habe ich selbst erlebt und dir


Ursache war verdammt schwer zu finden, gerade weil die ARP Geschichte


das nur zeitweilig auftreten lässt.


Der Effekt waren Lastspitzen im LAN, die unregelmässig auftraten und


in keiner Außenanbindung wieder zu finden waren.


Von Security Aspekt mal zu schweigen waren die Lastspitzen für einige


Maschinen mit 10MBit Interfaces einfach zu hoch und haben zu Problemen


geführt - der syslog Traffik waren etliche MBit/s.


Wir wussten damals also ziemlich schnell, dass die Ursache lokal zu


suchen war, aber das wars dann auch schon.


Die Packete, die für die Last verantwortlich waren kammen ja von


mehreren Systemen und es waren letzlich ja genau so viele wie im


Normalfall.


Zudem tritt das Problem ja niemals auf, während man per ssh auf dem


syslog Server drauf ist...



-- 
B.Walter                   BWCT                http://www.bwct.de
bernd(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Tue 20 Apr 2004 - 01:33:33 CEST













search this site