[Omax]

День добрый, столкнулся с проблемой на коммутаторах CISCO.

Существует сеть из разных коммутаторов(Dlink,SNR,CISCO) vlan управления 100 сеть 192.168.10.XX.В один прекрасный день пинги до коммутаторов CISCO в сети начали расти, пинг около 2с, коммутаторы от других производителей работают стабильно, и клиенты подключенные к этим цискам тоже работают стабильно,проблема именно в cisco и именно в влане управления, если меняю влан управления на циске, то пинг до нее стабильный, думал может протокол какой включен именно их родной типа REP,но нет в конфиге нет ничего такого,подскажите пожалуйста в чем может быть проблема?

[dmg]

Может SSH-боты ломятся на него? Или флуд какой-то на адрес каталиста? Попробуйте отзеркалировать трафик управляющего влана на компьютер с tcpdump-ом/wireshark-ом и посмотреть, что там бегает.

[Omax]

Может SSH-боты ломятся на него? Или флуд какой-то на адрес каталиста? Попробуйте отзеркалировать трафик управляющего влана на компьютер с tcpdump-ом/wireshark-ом и посмотреть, что там бегает.

На коммутаторах нет внешних IP, боты не ломятся это точно.Все коммутаторы CISCO плохо пингуются, даже если новый установить коммутатор в сеть, то с ним такое же происходит

Изменено 10 апреля, 2013 пользователем Omax

[vurd]

Миррор управляющего влана вам поможет. Какой-то трафик попадает на CPU кошек. Может быть CDP, STP, ARP и over9000 всего остального, что требует участия CPU. Смотрите снифер, полюбому найдется.

[andryas]

Если не можете определить происхождение мусора в управляющем vlan то для начала можно отфильтровать его с помощью ACL, разрешив лиш те протоколы, которые Вам нужны. Хотя, как уже правильно ответили выше - достаточно отзеркалировать мусор на отдельный порт и поснифить его в момент возниконовения проблем.

[tartila]

День добрый, столкнулся с проблемой на коммутаторах CISCO.

Существует сеть из разных коммутаторов(Dlink,SNR,CISCO) vlan управления 100 сеть 192.168.10.XX.В один прекрасный день пинги до коммутаторов CISCO в сети начали расти, пинг около 2с, коммутаторы от других производителей работают стабильно, и клиенты подключенные к этим цискам тоже работают стабильно,проблема именно в cisco и именно в влане управления, если меняю влан управления на циске, то пинг до нее стабильный, думал может протокол какой включен именно их родной типа REP,но нет в конфиге нет ничего такого,подскажите пожалуйста в чем может быть проблема?

 

MikroTik случаем не стоит нигде в 100 VLAN или какой-нить циско-фон? На цисках STP включен? pvst+?

Изменено 10 апреля, 2013 пользователем tartila

[Omax]

зеркалирую, ниче такого сниффер не показывает, вообще как будто тишина со стороны того порта, а вот на коммутаторе в конфиге есть такое "spanning-tree mode pvst", пишу no spanning-tree mode pvst, но строчка остается все равно, как глобально вырубить STP?

[C@T]

глобально вы stp, скорее всего, не вырубите. В конкретном VLANе можете выключить stp командой "no spanning-tree vlan 100"

Это при условии , что Вы уверены, что в влане нет колец

ну и "show proc cpu | ex 0.00" покажите, чем там у Вас CPU занят?

Изменено 10 апреля, 2013 пользователем C@T

[Omax]

глобально вы stp, скорее всего, не вырубите. В конкретном VLANе можете выключить stp командой "no spanning-tree vlan 100"

Это при условии , что Вы уверены, что в влане нет колец

Так и сделал колец нет,все что возможно отключил, но все равно пинг высокий и потери, сейчас по новой снифер запускаю

[vurd]

Снифер на винде? Wireshark? Порт просто смиррорен?

У меня была проблема, что винда не видела инкапсулированный в вланы трафик, линух видел нормально. Попробуйте на миррор порту сделать access для управляющего влана.

[Omax]

Снифер на винде? Wireshark? Порт просто смиррорен?

У меня была проблема, что винда не видела инкапсулированный в вланы трафик, линух видел нормально. Попробуйте на миррор порту сделать access для управляющего влана.

Сниффер на windows 7(tcpdump) на cisco и комп подключены к коммутатору dlink 3200, оба порта в untagg в 100 влане

[NikAlexAn]

Сниффер на windows 7(tcpdump) на cisco и комп подключены к коммутатору dlink 3200, оба порта в untagg в 100 влане

 

Без мирроринга?

Так ничего не увидишь.

[Omax]

Сниффер на windows 7(tcpdump) на cisco и комп подключены к коммутатору dlink 3200, оба порта в untagg в 100 влане

 

Без мирроринга?

Так ничего не увидишь.

Port mirroring включен, я зеркалирую порт правильно

[NikAlexAn]

Port mirroring включен, я зеркалирую порт правильно

 

Проанализируйте что у вас с деревом STP. Все ли коммутаторы правильно видят root bridge? Оптимально ли выбран root?

А сколько вланов активных на каталистах?

У каталистов только MST совместим с протоколами STP SNR и D-Link.

А кстати какие каталисты, модель?

[Omax]

В нашей сети есть маленькое кольцо работает оно давно и исправно,а вот сейчас разглядел кое что. Только что подключил новый коммутатор к сети,коммутатора не в кольце, днял влан 100 на нем, выдал IP,закинул uplink порт в access 100 влан, сразу выдало сообщение "00:00:25: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk FastEthernet0/23 VLAN1.00:00:25: %SPANTREE-7-BLOCK_PORT_TYPE: Blocking FastEthernet0/23 on VLAN0001. Inconsistent port type." 23 порт это аплинк, соответственно порт заблокирован и пинга никакого нет, но я прописал no spanning-tree vlan 100 и порт разблокировался, пинг пошел но высокий, и с потерями, так все таки это кольцо, но почему именно на коммутаторах cisco,ведь в сети есть и другие коммутаторы

[andryas]

С кольцами в зоопарке нужно быть предельно осторожным. У меня д-линк в связке с циско похожие фокусы выделывал, причём не постоянно, а 2-3 раза на день длительностью 15-20 секунд. Только начинаешь искать проблему - само успевает нормализоваться.

Изучать кривизну длинковских протоколов времени не было, переделал на звезду - проблем нет, полёт нормальный.

Изменено 11 апреля, 2013 пользователем andryas

[Omax]

С кольцами в зоопарке нужно быть предельно осторожным. У меня д-линк в связке с циско похожие фокусы выделывал, причём не постоянно, а 2-3 раза на день длительностью 15-20 секунд. Только начинаешь искать проблему - само успевает нормализоваться.

Изучать кривизну длинковских протоколов времени не было, переделал на звезду - проблем нет, полёт нормальный.

Дело том что кольцо маленькое в сети и в нем нет коммутаторов CISCO, в нем dlink,SNR, все работает нормально , коммутаторы cisco в кольце абсолютно не присутствуют

[NikAlexAn]

В нашей сети есть маленькое кольцо работает оно давно и исправно,а вот сейчас разглядел кое что. Только что подключил новый коммутатор к сети,коммутатора не в кольце, днял влан 100 на нем, выдал IP,закинул uplink порт в access 100 влан, сразу выдало сообщение "00:00:25: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk FastEthernet0/23 VLAN1.00:00:25: %SPANTREE-7-BLOCK_PORT_TYPE: Blocking FastEthernet0/23 on VLAN0001. Inconsistent port type." 23 порт это аплинк, соответственно порт заблокирован и пинга никакого нет, но я прописал no spanning-tree vlan 100 и порт разблокировался, пинг пошел но высокий, и с потерями, так все таки это кольцо, но почему именно на коммутаторах cisco,ведь в сети есть и другие коммутаторы

Без схемы и конфигурации сложно что либо порекомендовать.

А почему для аплинка выбран именно аксесс тип порта?

А сругалась киска и вырубила порт так как есть различия в STP у неё и того дивайса куда вы её включили - на 100м влане она не должна видеть пакеты bpdu для 1го влана. То есть на 100й влан киске прибежал стандартный STP или RSTP BPDU.

Рекомендую настроить всё таки MST на этом зоопарке.

[NikAlexAn]

Дело том что кольцо маленькое в сети и в нем нет коммутаторов CISCO, в нем dlink,SNR, все работает нормально , коммутаторы cisco в кольце абсолютно не присутствуют

Включая глобально STP на d-link и snr - по умолчанию включаете STP на всех портах.

Если каталисты не в кольцах и кольца на портах не возможны можно выключить STP на используемых вланах - no spann vlan xxx.

[tartila]

В нашей сети есть маленькое кольцо работает оно давно и исправно,а вот сейчас разглядел кое что. Только что подключил новый коммутатор к сети,коммутатора не в кольце, днял влан 100 на нем, выдал IP,закинул uplink порт в access 100 влан, сразу выдало сообщение "00:00:25: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk FastEthernet0/23 VLAN1.00:00:25: %SPANTREE-7-BLOCK_PORT_TYPE: Blocking FastEthernet0/23 on VLAN0001. Inconsistent port type."

 

Это нормально. Вы, ведь, используете pvst на Cisco+не транковый порт.

 

В этом кольце, которое вы упомянули - используется 100 VLAN? Похоже, что кто-то из этого кольца перестал правильно отрабатывать STP. Соответственно, дебажить костыли в этом кольце, как вам уже раньше говорили.

Изменено 11 апреля, 2013 пользователем tartila

[Omax]

На коммутаторе DLINK с которого подключена CISCO STP выключен глобально, а то маленькое кольцо в сети, так там в STP только нужные порты ,на остальных портах STP выключено

[NikAlexAn]

На коммутаторе DLINK с которого подключена CISCO STP выключен глобально, а то маленькое кольцо в сети, так там в STP только нужные порты ,на остальных портах STP выключено

 

А forward BPDU на не STP портах выключен?

Судя по логу киски ей на порт прилетел BPDU.

[tartila]

А forward BPDU на не STP портах выключен?

Судя по логу киски ей на порт прилетел BPDU.

 

Скорее всего, с другой циски, у которой 100 VLAN tagged :)

Изменено 11 апреля, 2013 пользователем tartila

[NikAlexAn]

Скорее всего, с другой циски, у которой 100 VLAN tagged :)

 

Похоже.

Значит не правильно понял описание эксперимента :)

[Omax]

Мне интересно если порты dlink не пропускают через себя BPDU как они прилетают к cisco ?