Korvet_068 Опубликовано 29 сентября, 2016 (изменено) · Жалоба Добрый день. Имею на сети кучу свитчей, свитчи висят по одному на портах Cisco 6506. В этой куче есть два свитча Циско 2950, работают по GBIC. У них есть проблема - с периодичностью раз в 5 - 10 минут они отваливаются по управлению, при этом трафик через них вроде бы ходит нормально. Со свитчей в момент отвала не пингуется их шлюз. В логах порой видны сообщения о том что функция Loop guard погасила определённый VLAN на их транковом порту, но иногда таких сообщений нет, свитч просто пропадает на время по управлению. На обоих свитчах работает rapid-PVST. Пробовал гасить этот loopguard, не помогает, да и вроде бы в менеджмент влане петли нет, судя по логам. Софт на свитчах c2950-i6k2l2q4-mz.121-22.EA13.bin Конфиг порта шеститонника: ! interface GigabitEthernet1/21 description C2950_OF_395 switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate macro description cisco-switch spanning-tree link-type point-to-point spanning-tree guard root end Конфиг 2950: ! version 12.1 no service pad no service timestamps debug uptime service timestamps log datetime localtime no service password-encryption ! hostname C2950_M2_205 ! ! username hawk privilege 15 secret 5 $1$Q0ia$.DJvR9SF9oseKH5BTYoGo0 clock timezone MSK 3 errdisable recovery cause udld errdisable recovery cause link-flap errdisable recovery interval 60 mls qos map cos-dscp 0 8 16 24 32 46 46 56 ip subnet-zero ! no ip domain-lookup ip domain-name wtc.msk.ru ip ssh time-out 120 ip ssh authentication-retries 3 ip ssh version 2 vtp domain ATC_LAN vtp mode transparent udld aggressive ! ! spanning-tree mode rapid-pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id no spanning-tree vlan 1-2,21-22,44,81-84,94,96-99,102-110,116-119,122-124,128 no spanning-tree vlan 131-137,141-149,153-154,166-169,171-181,183-186,189,192 no spanning-tree vlan 193-212,214-219,221-239,250,270,282,300,320,330,350,400 no spanning-tree vlan 401-417,420,430,440,450-452,490,499-503,505,510,600,701 no spanning-tree vlan 702-704,710-717,720-722,730-749,788 ! ! macro global description cisco-global ! ! vlan 10 name MANAGEMENT_VLAN ! vlan 20 name FOR_INT_USE_ONLY ! vlan 21 name FOR_INT_USE_ONLY#2 ! vlan 22 --More-- name FOR_INT_USE_ONLY#3 ! vlan 35 name AS5345 ! vlan 40 name MANAGEMENT ! vlan 90 name BACKBONE ! vlan 91 name BACKBONE-1-2 ! vlan 93 name ASR ! vlan 94 name WTW.RU ! vlan 95 name BACKBONE-2 --More-- ! interface FastEthernet0/1 switchport access vlan 170 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/2 switchport access vlan 452 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/3 switchport access vlan 350 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/4 description m2-205 switchport access vlan 452 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/5 description 205 switchport access vlan 452 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/6 description 214-1 switchport access vlan 452 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/7 description 205 switchport access vlan 452 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/8 description 207- switchport access vlan 452 switchport mode access --More-- ! interface FastEthernet0/23 description HP_205 switchport access vlan 170 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/24 switchport access vlan 140 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface GigabitEthernet0/1 switchport mode trunk mls qos trust cos auto qos voip trust macro description cisco-switch spanning-tree link-type point-to-point ! interface GigabitEthernet0/2 description C6506E-lev3-30b_Gi1/31 switchport mode trunk switchport nonegotiate mls qos trust cos auto qos voip trust macro description cisco-switch spanning-tree link-type point-to-point ! interface Vlan1 no ip address no ip route-cache shutdown ! interface Vlan40 description -= Managment VLAN =- ip address 10.1.1.229 255.255.255.0 no ip route-cache ! ip default-gateway 10.1.1.1 ip http server ip http authentication local logging trap debugging logging facility local6 logging 6.18.14.11 snmp-server community public RO snmp-server trap-source Vlan40 snmp-server location Of1 307 snmp-server contact Dmitry S. snmp-server enable traps config snmp-server host 6.18.14.11 public alias exec sis show interfaces status ! line con 0 exec-timeout 0 0 login local line vty 0 4 exec-timeout 0 0 login local line vty 5 15 exec-timeout 0 0 login local ! ntp clock-period 17180185 ntp server 6.18.14.1 ! end C2950_M2_205# Остаётся физику проверять? Оптику светить. но сомневаюсь что два свитча одной модели резко сошли сума из-за плохого волокна. Изменено 29 сентября, 2016 пользователем Korvet_068 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VPN Опубликовано 29 сентября, 2016 · Жалоба Откровенно сказать, у вас в конфиге наворочена каша. Зачем вы отключаете STP? У вас по факту не работает STP в вланах 1, 21-22. Далее у вас на портах доступа включен BPDU filter, т.е. петли на этих портах не ловятся. Если кабель коротнет, то вся надежда на keepalive, который по дефолту проверяет раз в 10 секунд, если мне память не изменяет. Это достаточно ненадежный способ. Либо стоит подправить таймер keepalive, либо воспользоваться BPDU Guard на портах доступа. Выпадать коммутатор может как раз из-за широковещательного шторма, спровоцированного петлей. Я бы навел порядок в конфиге и логировал события stp, после этого уже смотрел бы дальше, если проблема не решится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Korvet_068 Опубликовано 29 сентября, 2016 (изменено) · Жалоба STP отключен так как 2950 поддерживает только 64 STP INSTANCE. Для вланов, которые заведомо никогда на этом свитче не появятся - спаннинг три отключен. С петлями на портах... опыт показал, что важнее настроить на портах фильтр броадкаста, сталкивался разок с тем что клиент положил всю сеть петлей на неуправляемом свитче, который не шлёт никаких BPDU. Версию со штормом я оценил как маловероятную, потому что загрузка проца при выпадении не подлетает и поток трафика на портах мизерный, несколько мегабит в секунду. Изменено 29 сентября, 2016 пользователем Korvet_068 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VPN Опубликовано 29 сентября, 2016 · Жалоба STP отключен так как 2950 поддерживает только 64 STP INSTANCE. Для вланов, которые заведомо никогда на этом свитче не появятся - спаннинг три отключен. Инстанс STP появляется только при создании влана. Т.е. у вас может быть включен STP для всех вланов, но инстансы будут только для созданных активных вланов. А по итогу у вас, например, есть vlan 1, который у вас native vlan на транке и при этом на нем STP отключен. С петлями на портах... опыт показал, что важнее настроить на портах фильтр броадкаста, сталкивался разок с тем что клиент положил всю сеть петлей на неуправляемом свитче, который не шлёт никаких BPDU. У вас тогда никогда не сработает STP, можно его смело отключать при такой конфигурации, результат будет почти таким же. Если у вас подключен неуправляемый коммутатор, то петля должна обнаруживаться, если вышестоящий отправляет bpdu, но тогда они не должны быть отфильтрованы, как сделано у вас. Исключением будет являться проблема, когда широковещательный шторм привел к срыву крыши у коммутатора и он уже не в состоянии обработать BPDU, но такое, если и происходит, то редко. Вдобавок, никакой фильтрации броадкаста я у вас не наблюдаю (тот же шторм контроль на порту помог бы предостеречься не только от шторма из-за петли, но и по ряду других причин). Версию со штормом я оценил как маловероятную, потому что загрузка проца при выпадении не подлетает и поток трафика на портах мизерный, несколько мегабит в секунду. Даже нескольких мегабит броадкаста хватает, чтобы уложить напрочь железку. А по процессору - как вы мониторите? Если вы снимаете snmp, то вы можете снимать его достаточно редко, да и у вас коммутатор недоступен в момент проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Korvet_068 Опубликовано 30 сентября, 2016 · Жалоба ] А по процессору - как вы мониторите? Я сижу на консоли свитча в момент его отваливания. И вижу что процессор не нагружен. тот же шторм контроль на порту помог бы предостеречься не только от шторма из-за петли, но и по ряду других причин Вот этот момент можете подробнее расписать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VPN Опубликовано 30 сентября, 2016 · Жалоба тот же шторм контроль на порту помог бы предостеречься не только от шторма из-за петли, но и по ряду других причин Вот этот момент можете подробнее расписать? На порт навешиваете нечто вроде такого storm-control broadcast level pps 200 200 storm-control multicast level pps 200 200 тем самым ограничивая широковещательный и мультикаст трафик до 200 pps, что спасает в случае флуда от абон. устройств, петель и прочих неприятностей. Т.е. проблему оно не решает, но позволяет избавиться от последствий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilili Опубликовано 5 октября, 2016 · Жалоба Была похожая проблема, когда свитч был недоступен для удаленного управления. И да, как выше сказали, проблема именно в STP. У нас тогда "перепутался" рут с выносом и на проблемном свитче, магистральные порты были Desg для влана управления. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 5 октября, 2016 · Жалоба На порт навешиваете нечто вроде такого storm-control broadcast level pps 200 200 storm-control multicast level pps 200 200 MAC-адрес получателя STP BPDU является мультикаст-адресом, storm-control будет дропать BPDU. Наблюдал такое неоднократно даже при лимите в 1000pps (свитч считает не 1000 пакетов за секунду а намного периодичнее, предположим 10 пакетов за 10мс, большее количество BPDU посылаются за меньший интервал). Как следствие STP постоянно перестраивался. Storm-control multicast в данном случае больше вредит чем помогает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VPN Опубликовано 5 октября, 2016 · Жалоба MAC-адрес получателя STP BPDU является мультикаст-адресом, storm-control будет дропать BPDU. Наблюдал такое неоднократно даже при лимите в 1000pps (свитч считает не 1000 пакетов за секунду а намного периодичнее, предположим 10 пакетов за 10мс, большее количество BPDU посылаются за меньший интервал). Как следствие STP постоянно перестраивался. Storm-control multicast в данном случае больше вредит чем помогает. Не сталкивался с такими проблемами, на сети стоят сотни 2950 с уровнями в 200 pps. BPDU все же посылаются редко (раз в 2 секунды по умолчанию). Если их очень много, то уже есть шторм и тогда storm control срабатывает весьма закономерно. Может ли он в это время подрезать bpdu - да, конечно. Но рано или поздно хотя бы одна bpdu будет поймана и порт заблокируется с помощью STP. Пусть и не сразу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...