Korvet_068 Posted September 29, 2016 (edited) Добрый день. Имею на сети кучу свитчей, свитчи висят по одному на портах Cisco 6506. В этой куче есть два свитча Циско 2950, работают по GBIC. У них есть проблема - с периодичностью раз в 5 - 10 минут они отваливаются по управлению, при этом трафик через них вроде бы ходит нормально. Со свитчей в момент отвала не пингуется их шлюз. В логах порой видны сообщения о том что функция Loop guard погасила определённый VLAN на их транковом порту, но иногда таких сообщений нет, свитч просто пропадает на время по управлению. На обоих свитчах работает rapid-PVST. Пробовал гасить этот loopguard, не помогает, да и вроде бы в менеджмент влане петли нет, судя по логам. Софт на свитчах c2950-i6k2l2q4-mz.121-22.EA13.bin Конфиг порта шеститонника: ! interface GigabitEthernet1/21 description C2950_OF_395 switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate macro description cisco-switch spanning-tree link-type point-to-point spanning-tree guard root end Конфиг 2950: ! version 12.1 no service pad no service timestamps debug uptime service timestamps log datetime localtime no service password-encryption ! hostname C2950_M2_205 ! ! username hawk privilege 15 secret 5 $1$Q0ia$.DJvR9SF9oseKH5BTYoGo0 clock timezone MSK 3 errdisable recovery cause udld errdisable recovery cause link-flap errdisable recovery interval 60 mls qos map cos-dscp 0 8 16 24 32 46 46 56 ip subnet-zero ! no ip domain-lookup ip domain-name wtc.msk.ru ip ssh time-out 120 ip ssh authentication-retries 3 ip ssh version 2 vtp domain ATC_LAN vtp mode transparent udld aggressive ! ! spanning-tree mode rapid-pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id no spanning-tree vlan 1-2,21-22,44,81-84,94,96-99,102-110,116-119,122-124,128 no spanning-tree vlan 131-137,141-149,153-154,166-169,171-181,183-186,189,192 no spanning-tree vlan 193-212,214-219,221-239,250,270,282,300,320,330,350,400 no spanning-tree vlan 401-417,420,430,440,450-452,490,499-503,505,510,600,701 no spanning-tree vlan 702-704,710-717,720-722,730-749,788 ! ! macro global description cisco-global ! ! vlan 10 name MANAGEMENT_VLAN ! vlan 20 name FOR_INT_USE_ONLY ! vlan 21 name FOR_INT_USE_ONLY#2 ! vlan 22 --More-- name FOR_INT_USE_ONLY#3 ! vlan 35 name AS5345 ! vlan 40 name MANAGEMENT ! vlan 90 name BACKBONE ! vlan 91 name BACKBONE-1-2 ! vlan 93 name ASR ! vlan 94 name WTW.RU ! vlan 95 name BACKBONE-2 --More-- ! interface FastEthernet0/1 switchport access vlan 170 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/2 switchport access vlan 452 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/3 switchport access vlan 350 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/4 description m2-205 switchport access vlan 452 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/5 description 205 switchport access vlan 452 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/6 description 214-1 switchport access vlan 452 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/7 description 205 switchport access vlan 452 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/8 description 207- switchport access vlan 452 switchport mode access --More-- ! interface FastEthernet0/23 description HP_205 switchport access vlan 170 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/24 switchport access vlan 140 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface GigabitEthernet0/1 switchport mode trunk mls qos trust cos auto qos voip trust macro description cisco-switch spanning-tree link-type point-to-point ! interface GigabitEthernet0/2 description C6506E-lev3-30b_Gi1/31 switchport mode trunk switchport nonegotiate mls qos trust cos auto qos voip trust macro description cisco-switch spanning-tree link-type point-to-point ! interface Vlan1 no ip address no ip route-cache shutdown ! interface Vlan40 description -= Managment VLAN =- ip address 10.1.1.229 255.255.255.0 no ip route-cache ! ip default-gateway 10.1.1.1 ip http server ip http authentication local logging trap debugging logging facility local6 logging 6.18.14.11 snmp-server community public RO snmp-server trap-source Vlan40 snmp-server location Of1 307 snmp-server contact Dmitry S. snmp-server enable traps config snmp-server host 6.18.14.11 public alias exec sis show interfaces status ! line con 0 exec-timeout 0 0 login local line vty 0 4 exec-timeout 0 0 login local line vty 5 15 exec-timeout 0 0 login local ! ntp clock-period 17180185 ntp server 6.18.14.1 ! end C2950_M2_205# Остаётся физику проверять? Оптику светить. но сомневаюсь что два свитча одной модели резко сошли сума из-за плохого волокна. Edited September 29, 2016 by Korvet_068 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VPN Posted September 29, 2016 Откровенно сказать, у вас в конфиге наворочена каша. Зачем вы отключаете STP? У вас по факту не работает STP в вланах 1, 21-22. Далее у вас на портах доступа включен BPDU filter, т.е. петли на этих портах не ловятся. Если кабель коротнет, то вся надежда на keepalive, который по дефолту проверяет раз в 10 секунд, если мне память не изменяет. Это достаточно ненадежный способ. Либо стоит подправить таймер keepalive, либо воспользоваться BPDU Guard на портах доступа. Выпадать коммутатор может как раз из-за широковещательного шторма, спровоцированного петлей. Я бы навел порядок в конфиге и логировал события stp, после этого уже смотрел бы дальше, если проблема не решится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Korvet_068 Posted September 29, 2016 (edited) STP отключен так как 2950 поддерживает только 64 STP INSTANCE. Для вланов, которые заведомо никогда на этом свитче не появятся - спаннинг три отключен. С петлями на портах... опыт показал, что важнее настроить на портах фильтр броадкаста, сталкивался разок с тем что клиент положил всю сеть петлей на неуправляемом свитче, который не шлёт никаких BPDU. Версию со штормом я оценил как маловероятную, потому что загрузка проца при выпадении не подлетает и поток трафика на портах мизерный, несколько мегабит в секунду. Edited September 29, 2016 by Korvet_068 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VPN Posted September 29, 2016 STP отключен так как 2950 поддерживает только 64 STP INSTANCE. Для вланов, которые заведомо никогда на этом свитче не появятся - спаннинг три отключен. Инстанс STP появляется только при создании влана. Т.е. у вас может быть включен STP для всех вланов, но инстансы будут только для созданных активных вланов. А по итогу у вас, например, есть vlan 1, который у вас native vlan на транке и при этом на нем STP отключен. С петлями на портах... опыт показал, что важнее настроить на портах фильтр броадкаста, сталкивался разок с тем что клиент положил всю сеть петлей на неуправляемом свитче, который не шлёт никаких BPDU. У вас тогда никогда не сработает STP, можно его смело отключать при такой конфигурации, результат будет почти таким же. Если у вас подключен неуправляемый коммутатор, то петля должна обнаруживаться, если вышестоящий отправляет bpdu, но тогда они не должны быть отфильтрованы, как сделано у вас. Исключением будет являться проблема, когда широковещательный шторм привел к срыву крыши у коммутатора и он уже не в состоянии обработать BPDU, но такое, если и происходит, то редко. Вдобавок, никакой фильтрации броадкаста я у вас не наблюдаю (тот же шторм контроль на порту помог бы предостеречься не только от шторма из-за петли, но и по ряду других причин). Версию со штормом я оценил как маловероятную, потому что загрузка проца при выпадении не подлетает и поток трафика на портах мизерный, несколько мегабит в секунду. Даже нескольких мегабит броадкаста хватает, чтобы уложить напрочь железку. А по процессору - как вы мониторите? Если вы снимаете snmp, то вы можете снимать его достаточно редко, да и у вас коммутатор недоступен в момент проблемы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Korvet_068 Posted September 30, 2016 ] А по процессору - как вы мониторите? Я сижу на консоли свитча в момент его отваливания. И вижу что процессор не нагружен. тот же шторм контроль на порту помог бы предостеречься не только от шторма из-за петли, но и по ряду других причин Вот этот момент можете подробнее расписать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VPN Posted September 30, 2016 тот же шторм контроль на порту помог бы предостеречься не только от шторма из-за петли, но и по ряду других причин Вот этот момент можете подробнее расписать? На порт навешиваете нечто вроде такого storm-control broadcast level pps 200 200 storm-control multicast level pps 200 200 тем самым ограничивая широковещательный и мультикаст трафик до 200 pps, что спасает в случае флуда от абон. устройств, петель и прочих неприятностей. Т.е. проблему оно не решает, но позволяет избавиться от последствий. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ilili Posted October 5, 2016 Была похожая проблема, когда свитч был недоступен для удаленного управления. И да, как выше сказали, проблема именно в STP. У нас тогда "перепутался" рут с выносом и на проблемном свитче, магистральные порты были Desg для влана управления. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
v_r Posted October 5, 2016 На порт навешиваете нечто вроде такого storm-control broadcast level pps 200 200 storm-control multicast level pps 200 200 MAC-адрес получателя STP BPDU является мультикаст-адресом, storm-control будет дропать BPDU. Наблюдал такое неоднократно даже при лимите в 1000pps (свитч считает не 1000 пакетов за секунду а намного периодичнее, предположим 10 пакетов за 10мс, большее количество BPDU посылаются за меньший интервал). Как следствие STP постоянно перестраивался. Storm-control multicast в данном случае больше вредит чем помогает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VPN Posted October 5, 2016 MAC-адрес получателя STP BPDU является мультикаст-адресом, storm-control будет дропать BPDU. Наблюдал такое неоднократно даже при лимите в 1000pps (свитч считает не 1000 пакетов за секунду а намного периодичнее, предположим 10 пакетов за 10мс, большее количество BPDU посылаются за меньший интервал). Как следствие STP постоянно перестраивался. Storm-control multicast в данном случае больше вредит чем помогает. Не сталкивался с такими проблемами, на сети стоят сотни 2950 с уровнями в 200 pps. BPDU все же посылаются редко (раз в 2 секунды по умолчанию). Если их очень много, то уже есть шторм и тогда storm control срабатывает весьма закономерно. Может ли он в это время подрезать bpdu - да, конечно. Но рано или поздно хотя бы одна bpdu будет поймана и порт заблокируется с помощью STP. Пусть и не сразу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
