Bir köprüleme (ethernet) döngüsünü nasıl teşhis edebilirim?

Yayılma ağacının başarısız olduğu (veya yayılma ağacınızın olmadığı) ve bir ethernet döngüsüne sahip olduğu için, sorunun nerede olduğunu teşhis etmenin en iyi yolu nedir?

Hangi anahtar ?, hangi kablo? ve bunun gibi.

Tamam, öyleyse şöyle bir topolojiniz olduğunu varsayalım:

          SW1
         /   \
        /     \
       /       \
PC A--SW2-----SW3--PC B

Bazı nedenlerden dolayı bir köprü köprüsü var, STP devre dışı bırakılmış veya birisi yanlış yere filtre uygulamış.

PC A PC B ile iletişim kurmak istiyor. Önce PC B'nin MAC'i için ARP'ler, hedef MAC ffff.ffff.ffff ile bir yayın. Böylece çerçeve hem SW1 hem de SW3'e gider. SRC MAC, PC A'dır. SW1 daha sonra çerçeveyi SW3'e doğru tutar ve SW3, SW2'den SW1'e gelen çerçeveyi taşar.

SW1 ve SW3, ilk kare içeri girdiğinde PC A'nın MAC'sini öğrendi. İkincisi ters yönden geldiğinde yeniden öğrenmek zorunda. Bu olaylar çok hızlı gerçekleştiği ve art arda gerçekleştiği için, MAC çırpma hakkında şikayetçi log mesajları göreceksiniz. "MAC FLAP 0000.0000.0001, Gi0 / 24 ve Gi0 / 23" arasında uçuyor. Bu bir döngü olduğunu gösteren iyi bir işarettir.

O zaman yapabileceğiniz şey bu MAC'i izlemeye çalışmak. Aynı alt ağdaki bir cihazın ARP önbelleğine bakmayı deneyin ve bu cihazın hangi IP'ye sahip olduğunu görün. Böylece MAC ile sh mac adres tablosu veya IP ile izlemeyi deneyebilirsiniz, belki de tüm IP'lerin ve bunların nerede olduklarının bir listesi vardır.

Ana bilgisayar bir DHCP sunucusundan bir IP adresi alırsa, ana bilgisayarın nereden geldiğini bulmak için orada da deneyebilirsiniz. Seçenek 82'yi etkinleştirdiyseniz, bu çok yardımcı olacaktır.

Diğer işaretler CLI'nin çok durgun olacağı yönünde. CPU yükü çok yüksek olacak. Anahtarlar, ASIC'lerde hemen hemen her şeyi yapar, bu nedenle bir anahtar% 50'nin üzerinde bir CPU yüküne sahipse, muhtemelen iyi değildir. SNMP izlemesi yapmalı ve yüksek CPU yükü izlemelisiniz. Ayrıca MAC kapak mesajlarını arayın. Anahtarların bir ilmeği varsa, LED'ler muhtemelen deli gibi yanıp söner olacaktır.

Döngülere karşı korumak için yapabileceğiniz şeyler:

• STP'yi etkinleştirin! (Yaa)
• CPU yükünün SNMP izlemesi
• STP topolojisi değişiklikleri gibi belirli olaylar için SNMP tuzaklarını etkinleştir
• Yayını sınırlamak için portlarda fırtına kontrolünü etkinleştir
• VLAN'larınızı L2 topolojinizde çok fazla kullanmayın
• Bağlantı noktası güvenliğini etkinleştirin ve bağlantı noktası başına MAC adresi sayısını sınırlayın
• DHCP'yi çalıştırıyorsanız Option82'yi etkinleştirin

Kullanıcılarımdan biri son zamanlarda birinin masasından bir masaüstü anahtarı ödünç aldı. Düğmeyi iade ettikten sonra, yakınlardaki tüm gevşek ethernet uçlarını taktılar. Bu kablolardan biri ağa, diğeri ise aynı kablonun iki ucuydı. Masaüstü anahtarı ağa takılı ve ayrıca kendisine takılı. Anahtarın STP'si yoktu, bu yüzden ağdan gelen yayınlar diğer kabloya her iki yönde de dönecekti. Kuşkusuz, ilmekledi portlarda bir yayın alındığında, tekrar ağa kopyalanır. HSRP'yi kesinlikle çılgına çevirdi ve - zayıf tasarım nedeniyle - aynı zamanda kampüste OSPF'nin bitişik başarısızlıklarına neden oldu.

Sorunun ilk belirtisi e-postama iletilen bir macflap oldu. Bu hemen bizi doğru kablo dolabına yönlendirdi. Oradan liman LED'lerine, arayüz pps'lerine ve loglarına dayalı bir eleme işlemi yapıldı. Söylemeye gerek yok, o zamandan beri bütün kampüsü araştırdım. En iyi koruyucu önlem muhtemelen bpduguard'dır. O zamandan beri bu özelliği kullandım ve bu oldukça basitti. E-postamda bu errize edilebilir syslog'a ulaşmak mutluluktan başka bir şey değil.

Çoğu cihazda CPU% 100'e kadar çeker ve yapabileceğiniz tek şey yedekli fiziksel bağlantıları kesmektir. İşlemci sakinleştiğinde, bağlantıları birer birer geri takın ve hangisinin döngüye neden olduğunu görebilirsiniz.

Büyük şasi için (6500 gibi) Tüm bıçakları çıkartıp bir defada tekrar takmak zorunda kaldım. Bir keresinde hangi bıçağın bulunduğunu öğrendikten sonra, tüm bireysel bağlantıları (16 GBIC) çekip bunları bir defada bir araya getirmem gerekti. Asla eğlenceli değil.

Bazı daha modern ekipmanlarla başa çıkmayı kolaylaştıran korumalı bir CPU vardır - hala kutuyla etkileşime girebilirsiniz. Bu noktada trafik sayaçlarına bakmak ve hatalı bağlantıyı tespit etmek mümkün olur.

Geçenlerde her limanda yayın limitlerini kullandıkları bir şirkette başladım. Bir liman yayın yaptıkça kapasitesinin>% 5'ini geçerse, anahtar ERRDISABLE'a girer.

 storm-control broadcast level 5.00  
 storm-control action shutdown

Bu, bir grup kablosuz ağları LAN'a bağlayan cihazları takma eğiliminde olduğunda hayat kurtarıcı olmuştur.

Asıl sorunuz için olsa da, her zaman manuel olarak buldum.

IOS için:

Muhtemelen portlar arasında çırparak MAC adreslerine sahip olacaksınız .. içinde MAC_MOVE_NOTIFICATION(veya benzeri) hataları arayın :

sh logg

Şimdi limanı bulmak için:

sh int g0/1 controller

sıradan Multicastve Broadcastsayılardan uzak durun. Herhangi bir çarpışma kötü bir işarettir.

Son fakat en az değil, oturum açamazsınız, çünkü CPU pwned :)

sh proc cpu

Anahtar burada nasıl? Yalnızca L2 anahtarıysa, ~ 10% üzerinde bir şey istemezsiniz

Yönetilmeyen durumdaysanız veya yönetilmeyen (oturum açma ayrıntıları yoksa veya anahtar işletim sistemi bilgisi, vb.), Anahtarların ve köprü döngüsünün eşdeğeri durumunda, döngüyü elle nasıl bulacağımı açıklarım. Bu aynı zamanda, "STP'niz yok" şeklindeki orijinal sorunun temelini de içermektedir.

Bu döngüyü hata bulmak için temel algoritma STP'ye benzer, çünkü BPDU'ları içinde bağlantı noktası kimlikleri bulunan göndermeye kolayca erişemezsiniz.

• İlk önce, anahtarlardan birindeki bir porta paket boşaltma / koklama özelliğine sahip bir cihaz bağlayın. Bu cihaz artık ağacınızın kök cihazı haline geldi.
  • Birden fazla yerde, örneğin bir "kampüs" veya benzeri bir yerde hata bulmak zorunda kalırsanız, taşınabilir bir ssh istemcisi ile paket atma makinesine uzaktan giriş yaparak kazanmaya devam edersiniz.
    • Ben şahsen Linux dizüstü bilgisayarımı Internet bağlantısı olan bir ekranda tcpdump ile kullanırdım ve örneğin ssh veya telefondan ssh ile kullanırdım.
  • Kendinizi uzaktan giriş yapamıyorsanız, muhtemelen döngü hızında akan tcpdump'ı görsel olarak izlemek için bir arkadaşınızı kullanın, böylece döngü kaynağı cihazına giden yolun bağlantısı kesildiğinde bir farkın fark edilmesini kolaylaştırır.
• Daha sonra, kök anahtarınızdan başlayarak, esas olarak bir ağacı yeniden oluşturmanız gerekecek.
  1. Ayrıca, kök aygıtınıza beslenen birden fazla döngü bağlantısına sahip olduğunuz senaryoya sahip olabileceğiniz için, bağlı tüm bağlantı noktalarını aynı anda kaldırarak başlamanız gerekir.
  2. Bağlantı noktalarını birer birer yeniden bağlayın ve herhangi bir zamanda paket patlaması tekrar görülürse, bu bağlantı noktasını diğer ucundaki bağlı anahtara izleyin.
  3. Döngülenmiş bağlantı noktalarını bulana ve manuel ağacınızda daha fazla yineleme yapamayana kadar 1. adımı yineleyin.
  4. Bu anahtardaki döngü durumunu çözdükten sonra, ağaçtaki yukarıdaki anahtara geri dönün ve 2. adıma geçin. Bu özyineleme, son anahtar kök anahtarınıza yeniden bağlanıncaya kadar devam eder.

Bu, döngüsel bağlantı noktaları için tamamen kapsamlı bir manuel aramadır.

Tipik olarak sadece ilmekli olan bir çift bağlantı noktası olacaktır; bu, ilk olarak tüm bağlı (bağlantı) bağlantı noktalarının çıkarılması ve daha sonra bunların birer birer yeniden bağlanmasıyla kapsamlı ve güvenli arama anlamına gelir. 'Ağaç' sadece bir port çift aşağı çevrilmişse, bir seferde bir portun bağlantısını keserek bulabilirsiniz.

Yine de, genel, "hataya dayanıklı", yöntem veya algoritma, yukarıda tanımladığım gibi olur.

Ahh. Ama tamam, buna devam etmem için iki yol düşünebilirim ...

Göz küresi: Anahtarların bağlantı noktası göstergeleri varsa, hangi bağlantı noktalarının en aktif olduğunu göz küresi yapabilmelisiniz. Bunlar ilk önce bakmaya başlayanlar. Umarım kablolar etiketlenir, böylece iki meşgul bağlantı noktasını bulmak için düşük asma meyvelerini aynı kabloyla iki anahtarda arayabilirsiniz.

SNMP izleme: SNMP (veya benzeri) kullanım istatistiklerine sahipseniz, en meşgul anahtarı ve en meşgul portları arayın. O zaman git kablolara bak.

... etiketlenmemiş kablolarınız varsa, en işlek bağlantı noktalarını kontrol etmenin bir parçası olarak izlemeye ve etiketlemeye başlayın.

Bu soruyu, söz konusu katman 2 etki alanı için tam bir kesinti olmadığı ve CPU'ların sabitlendiğinden yönetim erişiminiz olmadığı anlayışına dayanarak cevaplayacağım.

Bir köprüleme döngüsünü gidermek için en iyi yol, ortadan kalkıncaya kadar köprüleri çıkarmaya başlamaktır. Diyelim ki tüm erişim anahtarları bir çift dağıtım anahtarına bağlanan standart bir anahtarlı erişim katmanınız var. İlk erişim anahtarına gidin ve anahtar bağlantılarının LED'leri zihinselleşmeyi keserse, bu anahtar değildir, tekrar takın ve bir sonrakine geçin. Bağlantıların fişini çektiğiniz ve LED'lerin hızla yanıp sönmeye devam ettiği bir anahtara gelinceye kadar tekrarlayın, bu döngüdeki sizin anahtarınızdır.

Şimdi, LED sakinleşene kadar son kullanıcı portlarından çıkarma işlemini başlatınız, ne zaman çıkarırlarsa, en son çıkardıklarınız sorun portuydu, kabloyu takip edin ve kullanıcıyı uygun şekilde çarpıştırın.

Dürüst olmak gerekirse, cihaza uzaktan (ya da konsol kablosuyla) uzaktan bağlanırsanız, çok halsiz olduğunu fark edersiniz, CLI'ye gelen harfleri yazdığınızda bir gecikme olacaktır.

Bir Cisco anahtarı ise 2 kolay olan arayüz istatistiklerine bakmaktır, sürekli% 100 (veya 255/255) kullanımda olacaktır. Anahtarlarla uğraşmaktan yıllarımda, yasal olarak% 100 kullanım oranına ulaşmış bir liman görmedim. Bunun dışında, CPU kullanımını kontrol et (genellikle "işlem cpu geçmişini göster"), döngülü arayüzler, yüksek seviye bir anahtar kullanmıyorsanız genellikle CPU'nuza oldukça sert bir şekilde çarpacaktır.

STP gerçekten de etkin olmalı!

Bu sorunun ABD’nin diğer ucundaki bir ağda ortaya çıkmasını sağladım ve bazı birinci düzey analistlere telefonla ve kendi sitelerle olan bağlantımla uzaktan yardım etmek zorunda kaldım. Mesele, yıllar içinde ağa yavaşça ekledikleri birçok marka anahtarına sahip olmaları nedeniyle daha da karmaşıktı. Ofisi taşırken, her bir limanın nereye gittiğini işaretlediler ve ardından yeni ofisteki her şeyi aynı şekilde yeniden birleştirdiler ve her şeyi başlattılar. İşe yarayan ağaca sahip olan bir avuç anahtarın aynı şekilde birleşmediğini ve her türlü ilmek ve sorunu yaşadıklarını söylemeye gerek yok. Zamana kadar her şeyi tamir ettiğimde, en az üç yönetilmeyen anahtarın altyapının geri kalanıyla döngülere bağlandığı keşfedildi.

Yönetilmeyen anahtarların her birini izleyebilmemin yolu nedi adında bir araç kullanmaktı (yönetilebilen anahtarlarda lldp / cdp'yi etkinleştirdim). İlk önce nedi ile haritalar oluşturdum. Daha sonra haritanın bir anahtardan diğerine bağlantı gösterdiği alanlarda, sonra tekrar aynı anahtara geri döndüm. Ya döngü ile ilgili arayüzleri manuel olarak kapattım ya da yerinde kişinin kablolarını çıkarmasını sağladım. Sonunda, tüm çılgınca kapalı marka anahtarlarına rağmen, ağı gerektiği gibi çalıştırabildim.

Burada yapılabilecek tek şey, komutları kullanarak anahtara bağlı hangi makineleri görmektir show cdp neighborveya show lldp neighbor.

BPDU koruma komutu kullanılmıyorsa ve birisi daha düşük önceliğe (veya daha eski bir mac adresine) hileli bir anahtar bağlarsa, yeni cihaz kesinlikle bir soruna neden olacak olan Yayılma Ağacı kökü olarak anlaşacaktır.

Tecrübelerime göre, her zaman yeni bağladığım, kapattığım veya bağlantı noktası kanalına eklediğim kablo oldu. Daha sert, başkasının yaptığı ve derhal mücadele etmediğidir.

Bir döngü belirlemek gerçekten sahip olduğunuz anahtarın markasına bağlıdır. Örneğin, bir Extreme anahtarında, elrp istemcisini bir VLAN üzerinde çalıştırabilirim ve anahtar temelde bu VLAN için tüm bağlantı noktalarında bir yayın çerçevesi gönderir ve herhangi biri tarafından geri dönüp dönmediğini görürse, hangisi olduğunu söyler. port (lar) çerçeveye geri alındı, böylece loop adayları ortaya çıkarıldı.

Bir Cisco'da, künt bir araçtan daha fazla olan fırtına kontrolünü etkinleştirebilirsiniz, çünkü durum bir süre boyunca bağlantı noktasını temelde bloke eder (durum silinene kadar (ya da izin verilebilir durumu temizleyene kadar) - genellikle bu şekilde Önemli olan, yalnızca yayılma ağacını veya ileri BPDU'ları yapmayan aygıtların karma topolojisinde Cisco anahtarlarını kullandığınızda geçerlidir.

Şüphesiz bulduğum en hızlı yaklaşım, arabirimlerin paket / sn oranlarını izlemektir. Uygun CLI filtresine sahip bir hızlı gösteri arayüzü, her bir arayüzü ve paket / sn oranını listeleyecektir. Döngünün kaynağını bulmak için çılgın bir yüksek paket / sn GİRİŞ oranı olan tek arayüzü arayın. Tipik bir işletme ortamında, tipik kullanım profilleri ile her zaman hatasız çalışır. Arayüzlü 6500 modelinde kaynağı bulmak çok uzun sürmüyor ...

Döngü sırasında, son istasyondaki çok sayıda yayın trafiği (örneğin ARP İsteği) için CPU üzerindeki yükü de artırabilir (örneğin, CPU üzerinde bir sağlama toplamı hesaplayan ucuz 100Mbit / s realtek kartı kullanıyorsanız). Kablo bağlantısı kesildiğinde bir halka bulmak fiziksel olarak mümkün olduğunda, bağlantı 2 bağlantı noktasında hemen kaybolur.