Duvida tcpdump: muitos pacotes "MPCP, Opcode Pause"

[danistation]

Pessoal, tenho a seguinte topologia:



Não tenho problemas aparentes, mas recentemente estava cá mexendo com o tcpdump e observei as seguntes saídas na interface wan da máquina que roda o Asterisk:
tcpdump -n -i eth0

10:21:08.001839 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.043776 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.085721 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.127651 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.169588 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.211525 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.253462 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.295412 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.337337 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.379273 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.421210 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.463147 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.505086 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.547022 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.588960 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.630897 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.672834 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.714771 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.756708 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.798646 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.840582 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.882519 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.924460 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
10:21:08.966394 48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46

Esse bolo de coisas aparecem continuamente, o tempo inteiro. E isso tudo é de apenas 01 segundo.

Já na outra máquina, a que tem o proxy, o tcpdump não captura esse tipo de pacote.

Salvei esses pacotes em arquivo e abri no wireshark e o único detalhe a mais era a descrição do STP como Spanning-tree Protocol.

Procurando no google encontrei poucas informações a respeito, falando que o Opcode Pause seria uma flag do protocolo STP normalmente utilizado em switches e mesmo assim quando se trabalha com redundância entre eles. Serviria para inibir o trafego nas porta redundantes enquanto a porta principal estivesse ativa.

Foi isso que entendi sobre esse pacote.

Sobre o MAC de destino, seria um endereço multicast para onde o pacote é despachado, o que "justificaria" a captura desse pacote em todas as portas do switch wan.

Sobre o MAC de origem, não identifiquei ainda. Não sei se é do switch wan ou do roteador, pois com certeza não são das duas máquinas linux.

O Switch WAN é gerenciavel, um antiguinho intel 460T.

No momento a rede se comporta bem, navegante e downloads/uploads estão dentro dos limites do link de internet.


Minhas dúvidas:

- O que seriam realmente esses pacotes capturados pela interface wan da máquina que roda asterisk?

- Porque esses pacotes não são capturados pela interface wan da máquina que tem o proxy?

- O volume desses pacotes não é exageradamente alto? Não estariam consumindo recursos do switch?

- É possível detalhar melhor a captura dos pacotes com o tcpdump ao invés de utiilizar o wireshark para isso?

Agradeço e aguardo a ajuda da comunidade!

[trober]

tcpdump -n -i eth0

É possível detalhar melhor a captura dos pacotes com o tcpdump ao invés de utiilizar o wireshark para isso?

Incremente parâmetros "v", no seu tcpdump.

Por exemplo:

Código :

tcpdump -vvvvvvvnti eth0

Publique o resultado, para que possamos analisar e contribuir.

Saudações,

Trober

[danistation]

tcpdump -vvvvvvvneXti eth0

48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
0x0000: 0001 0000 0000 8808 0001 0000 0000 8808 ................
0x0010: 0001 0000 0000 8808 0001 0000 0000 8808 ................
0x0020: 0001 0000 0000 8808 0001 0000 0000 ..............
48:9c:fe:e6:39:67 > 01:80:c2:00:00:01, ethertype MPCP (0x8808), length 60: MPCP, Opcode Pause, length 46
0x0000: 0001 0000 0000 8808 0001 0000 0000 8808 ................
0x0010: 0001 0000 0000 8808 0001 0000 0000 8808 ................
0x0020: 0001 0000 0000 8808 0001 0000 0000 ..............

[danistation]

Pessoal, ainda não consegui me conectar ao console dos switches em questão por falta de cabos e adaptadores. O siwtch é um intel 410T gerenciável e, segundo algumas informações de uns fóruns lá da Rússia (traduzido pelo google) poderia ser alguma falha do próprio switch em ficar disparando estes pacotes. Colocaram que são pacotes para controle de redundância e que este protocolo pode ser desativado no próprio switch. Como ainda não tenho o hardware, vou ter que aguentar mais um pouco.

Porém, encontrei mais sobre este protocolo MPCP:
http://books.google.com.br/books?id=...h%2046&f=false

E segundo este outro texto é um protocolo que contém seis tipos de mensagens e, justamente a que estou capturando, "It was developed for a P2P Ethernet network for an overloaded receiver to stop to receive from its peer".

Ou seja, ainda estou confuso a respeito destes pacotes.

Poderiam me ajudar a interpretá-los melhor?