В рамках разбора ситуации с большим количеством запросов к DNS серверу в локальной сети, помимо выявления основного источника "шума", обратили внимание на один из второстепенных источников, который показался нам странным. Большое количество запросов к DNS серверу прилетало от коммутаторов начального уровня серии Cisco Small Business. Например от коммутатора SG350X-48MP 48-Port Gigabit PoE Stackable Managed Switch местный DNS сервер за пол часа наблюдений словил около 2000 запросов на разрешение разных имён. При этом практически весь этот трафик содержал запросы на разрешение имён как публичных, так и внутренних NTP серверов.
Первый резонный вопрос, который у нас возник, - зачем коммутаторам Cisco понадобилось разрешать публичные имена NTP серверов, ведь везде в конфигурации у нас прописаны внутренние NTP серверы ?
После изучения ситуации выяснилось, что конфигурация коммутаторов содержит "теневые" настройки источников времени. То есть, если выполнять привычную команду вывода полной конфигурации коммутатора "show running-config", то никаких NTP серверов, кроме тех, что мы указали явно (серверы локальной сети), не отображается. Однако если выполнить запрос настроек источников времени командой "show sntp configuration", то мы увидим такие предопределённо заданные источники, как:
sw119# show sntp configuration
...
Server : pool.ntp.org
Polling : Enabled
Encryption Key : Disabled
Server : time-pnp.cisco.com
Polling : Enabled
Encryption Key : Disabled
...
Чтобы отключить эти источники, нужно явно прописать в конфигурацию соответствующие команды:
no sntp server pool.ntp.org
no sntp server time-a.timefreq.bldrdoc.gov
no sntp server time-b.timefreq.bldrdoc.gov
no sntp server time-c.timefreq.bldrdoc.gov
no sntp server time-pnp.cisco.com
Пример настройки источников в конфигурации коммутатора, где явно указаны 2 NTP сервера в локальной сети и отключены "вшитые" публичные NTP серверы:
sw119# show run | i sntp
sntp server ntp01.holding.com
sntp server ntp02.holding.com
no sntp server pool.ntp.org
no sntp server time-a.timefreq.bldrdoc.gov
no sntp server time-b.timefreq.bldrdoc.gov
no sntp server time-c.timefreq.bldrdoc.gov
no sntp server time-pnp.cisco.com
Обратите внимание на то, что от версии к версии прошивки перечень этих предопределённых источников времени может меняться. То есть после очередного обновления микрокода коммутатора, снова может произойти "рецидив" и потребуется дополнительная корректировка отключения ненужных источников времени.
После явного исключения предопределённых публичных NTP серверов в конфигурации коммутатора, трафик на разрешение этих имён к DNS серверу прекратился.
Однако, это ещё не всё. Интенсивные запросы к DNS серверу стали меньше, но не так, как мы предполагали. Постоянная "бомбёжка" DNS сервера запросами на разрешение имён NTP серверов локальной сети продолжилась. То есть, десятки таких коммутаторов в круглосуточном режиме продолжают выполнять эдакий "лайтовый" DDoS местных DNS серверов. Это приводит к мысли о том, что в микрокоде этих коммутаторов явно есть проблема взаимосвязи на стыке DNS и NTP клиента. И чтобы полностью купировать эту проблему не остаётся ничего иного, как прописать в конфигурации подобных коммутаторов внутренние источники времени в виде IP адресов.
Добавить комментарий