Geçersiz bir kaynak mac adresini izleme

13

Bir Cisco 4500 içeren ve ~ 2 düzine cisco erişim anahtarına bağlı olan uzak bir sitenin desteğini miras aldım - başta 2950'ler ve birkaç 3750 ve 3560'lar. Tüm erişim anahtarları doğrudan 4500'e bağlı değildir - yetersiz kablolama nedeniyle görünüşte yapılan anahtarların papatya zinciri vardır. Son zamanlarda çerçeveleri geçersiz bir kaynak mac adresi ile alındığını belirten 4500 üzerinde mesajlar fark ettim:

*Sep 10 09:29:48.609: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 102563 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Te5/1 in vlan 1460

Te5 / 1'e bağlı cihaz bir erişim anahtarıdır (Cisco 3750). Sırayla diğer 6 erişim anahtarına bağlıdır. Biraz googling yapıldıktan sonra 4500, geçersiz kaynak mac adreslerini kaydeden tek cisco platformudur. Okuduğumdan itibaren, diğer platformlar (2960, 3750, vb.) Kareleri birlikte iletiyor gibi görünüyor, ancak bunları geçersiz olarak kaydetmiyor veya mac adres tablosuna bir giriş eklemiyorlar. Geçersiz kaynak mac adreslerinin kök nedeninin hatalı bir nic, bir yazılım hatası veya belki de yanlış yapılandırılmış bir vmware sunucusu olabileceğinden şüpheleniyorum. Sorunlu bağlantı noktasını izlemek için erişim anahtarlarında hangi araçlar bulunur?

cisco  switch  layer2 
User123456
kaynak
1
Gönderiyi sildim, hiç görünür olmadıklarının farkında değildim. Anahtar onları CAM koymak olmaz, o zaman en iyi bahis anahtarları üzerinde SPAN oturumu çalıştırmak olduğunu sanırım ama o zaman bile kaynak bağlantı noktası bulmak zor olurdu. Başka bir seçenek, bilinmeyen tek noktaya yayını devre dışı bırakmak ve herhangi bir şeyin kopup kopmadığını görmek olacaktır. Yine de iletişimin çalışmasına şaşırdım. Bu MAC'a sahip bir ana bilgisayar, alt ağları alt ağlar gönderirse, GW'nin ana bilgisayarın MAC'sini görmek ve çerçeveyi kapsüllemek için ARP'ye sahip olması gerekir, GW'nin garip ARP eşlemeleri var mı?
Daniel Dib
2
Supportforums.cisco.com/docs/DOC-36000'e göre bu çerçeveler HW'ye düşürülmelidir, en azından anahtarların performansını etkilememelidir.
Daniel Dib
1
Evet, bu bağlantıya göre: "Geçersiz MAC adresine sahip paketlerin yine de bırakılacağını unutmayın, diğer tüm Cisco Catalyst anahtarları sessizce bu paketleri HW'ye düşürüyor, 4k platformu bu tür bir olay gözlendiğinde açıkça günlük kaydı mesajı oluşturuyor." ... ancak 4500'ün 3750'ye bağlı bağlantı noktası olan Te5 / 1'e gelen karelerden şikayetçi olduğundan bu durumun gerçekten böyle olmayacağını biliyorum. Bu, 3750'nin kareleri geçersiz / DOC-36000'in söylediklerine rağmen kaynak mac.
Kullanıcı123456
Böl ve Fethet!
generalnetworkerror
Herhangi bir cevap size yardımcı oldu mu? öyleyse, cevabı kabul etmelisiniz, böylece soru sonsuza kadar ortaya çıkmayacak, bir cevap arıyor. Alternatif olarak, kendi cevabınızı verebilir ve kabul edebilirsiniz.
Ron Maupin

Yanıtlar:

4

Çerçevelerin arayüzlerde ve / veya erişim anahtarlarındaki vlanslarda MAC ACL kullanılarak engellenip engellenemeyeceğini deneyebilirsiniz. Blokları seçici olarak uygulayarak ve 4500 üzerindeki hata mesajlarının kaybolup kaybolmadığını kontrol ederek, trafiğin kaynağına girebilirsiniz.

4500'deki hata iletisinde belirtilen bağlantı noktasının da yardımcı olabileceğini görmek için kabloları hareket ettirmek de yardımcı olabilir, ancak bir üretim ortamında zor olabilir.

Gerben
kaynak
7

Genellikle bunu gördüğümde, kötü yapılandırılmış bir VM'den gelir (genellikle bir kullanıcı makinesinde barındırılır). Duruma ve ortama bağlı olarak, izlenmesi zor olabilir (bunların çoğunu, öğrencilerin yaptığı gibi hareket eden ve gelen / giden CS ve ECE bölüm binalarındaki bir üniversitede gördüm).

Zaten birkaç harika cevabınız var, ancak takip edebileceğiniz başka bir seçenek, aşağı akım anahtarlarına (37xx, 36xx, 29xx) aşağıdaki yapılandırmayı eklemektir:

   mac address-table static 0000.0000.0000 vlan <VLAN ID> drop

Bu, bu MAC ile iletmek yerine herhangi bir trafiği düşürür ve donanımda yapılması gerektiğinden (MAC aramalarının yazılımda yapılmasına neden olan herhangi bir özellik / problemin engellenmesi), performans üzerinde olumsuz bir etkisi olmamalıdır.

YLearn
kaynak
Bu öneri için teşekkür ederim. Bu, çerçevelerin gövdeler boyunca büyük bir kazanç olan diğer anahtarlara iletilmesini önleyecektir. Bu yapılandırmayı temel alan bir bağlantı noktası bırakan kareleri gözlemlemek için günlük kaydı veya hata ayıklama komutları kullanılabilir mi?
Kullanıcı123456
@fcorrao, maalesef bu yapılandırmayla değil. Gerben'in önerisini yapmayı denemek ve bir MAC ACL veya Dave'in limanlardan trafik yakalama önerisini kullanmak zorunda kalacaksınız. Ama benim düşüncem, sadece yanlış yapılandırılmış cihazın olumsuz etkileneceğidir, bu yüzden ya onu tanıtacaklar ya da kendilerini fark etmeyeceklerdir.
YLearn
0

Günlük mesajlarını kullanıcı şikayetleriyle uğraşmak yerine kendi başınıza keşfettiğiniz için bu hatanın ağ performansını etkilemediği anlaşılıyor. Bu, sorunun şu anda kullanımda olmayan bazı bağlı, ancak kısmen yapılandırılmış veya yanlış yapılandırılmış bir yazılım veya hizmetten kaynaklandığından şüphelenmeme neden oluyor.

En iyi kursunuz, bazı kullanıcılar bir sorun bildirene kadar bu uyuyan köpeğin yalan söylemesine izin vermek olabilir. Alternatif olarak, boş zamanınız varsa, @Daniel Dib'in önerdiği gibi SPAN oturumlarını çalıştırabilir ve şüpheli bir bağlantı noktası veya cihaz belirleyene kadar çıktıyı yakından inceleyebilirsiniz.

Dave in Ohio
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.