Перейти к содержимому
Калькуляторы

Добрый день,скажите пожалуйста для настройки  loopback detection,достаточно просто указать правило на порту,или все таки глобально в config тоже нужно прописывать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@_prox, loopback-detection в режиме shutdown достаточно настроить на порту.

Также, в случае применения режима shutdown, для восстановления линка по таймауту нужно глобально задать его.

loopback-detection control-recovery timeout <timeout>
!
Interface Ethernet1/0/X
 loopback-detection specified-vlan <vlan_list>
 loopback-detection control shutdown
!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, Victor Tkachenko сказал:

@_prox, loopback-detection достаточно настроить на порту.

В случае применения режима shutdown для восстановления линка по таймауту нужно глобально задать его.


loopback-detection control-recovery timeout <timeout>
!
Interface Ethernet1/0/X
 loopback-detection specified-vlan <vlan_list>
 loopback-detection control shutdown
!

 

спасибо большое

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Купили несколько коммутаторов SNR-S2985G-8T, SNR-S2985G-24T, SNR-S2985G-48T. Собрал стенд. Соединил все 3 коммутатора последовательно по цепочке (Uplink-Downlink-порты). Тестирую функцию loopback-detection. Если соединить 2 пользовательских порта на одном коммутаторе, то петля ловится и порт отключается. А если соединить любой пользовательский порт одного коммутатора с пользовательским портом другого, то петля не ловится, в логе появляются записи:

 

<warnings> DEFAULT[RX Thread]:Port-security flapping has happened on Interface Ethernet1/0/1 and violation mode is restrict, the current unknown source mac addr is xx-xx-xx-xx-xx-xx, vlan id 77!

и всё. Подскажите, почему не ловится петля?

 

ПО на всех одинаковое:

  SoftWare Version 7.0.3.5(R0241.0339)
  BootRom Version 7.2.40

 

Настройки следующие:

! SNR-S2985G-8T

! Пользовательские порты
Interface Ethernet1/0/1-8
 description test user
 storm-control broadcast 112
 storm-control multicast 112
 switchport access vlan 77
 switchport association multicast-vlan 501
 mac-notification all trap
 ip access-group users_acl in
 loopback-detection specified-vlan 77
 loopback-detection control shutdown
 switchport port-security
 switchport port-security maximum 2
 switchport port-security violation restrict

! Все Uplink-Downlink порты настроены
Interface Ethernet1/0/9-10
 switchport mode trunk
 switchport trunk allowed vlan 77;102;501
 ip dhcp disable
 ip dhcp snooping trust
! SNR-S2985G-24T

! Пользовательские порты
Interface Ethernet1/0/1-24
 description test user
 storm-control broadcast 112
 storm-control multicast 112
 switchport access vlan 77
 switchport association multicast-vlan 501
 mac-notification all trap
 ip access-group users_acl in
 loopback-detection specified-vlan 77
 loopback-detection control shutdown
 switchport port-security
 switchport port-security maximum 2
 switchport port-security violation restrict

! Все Uplink-Downlink порты настроены
Interface Ethernet1/0/25-28
 switchport mode trunk
 switchport trunk allowed vlan 77;102;501
 ip dhcp disable
 ip dhcp snooping trust
! SNR-S2985G-48T

! Пользовательские порты
Interface Ethernet1/0/1-48
 description test user
 storm-control broadcast 112
 storm-control multicast 112
 switchport access vlan 77
 switchport association multicast-vlan 501
 mac-notification all trap
 ip access-group users_acl in
 loopback-detection specified-vlan 77
 loopback-detection control shutdown
 switchport port-security
 switchport port-security maximum 2
 switchport port-security violation restrict

! Все Uplink-Downlink порты настроены
Interface Ethernet1/0/49-52
 switchport mode trunk
 switchport trunk allowed vlan 77;102;501
 ip dhcp disable
 ip dhcp snooping trust

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Loop-detection это не про это. Если нужно между несколькими свичами, то это протоколы типа STP, ERPS  и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 hours ago, VolanD666 said:

Loop-detection это не про это. Если нужно между несколькими свичами, то это протоколы типа STP, ERPS  и т.п.

Чего это "не про это" ? Еще как "про это".

Включать на абонентском порту "STP, ERPS  и т.п." - верный путь к проблемам.

 

2 hours ago, raveren said:

 


<warnings> DEFAULT[RX Thread]:Port-security flapping has happened on Interface Ethernet1/0/1 and violation mode is restrict, the current unknown source mac addr is xx-xx-xx-xx-xx-xx, vlan id 77!

 

Возможно port-security срабатывает раньше, чем loopback-detection

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, ShyLion сказал:

Включать на абонентском порту

А да, не увидел про абонентский порт :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

23 часа назад, ShyLion сказал:

Возможно port-security срабатывает раньше, чем loopback-detection

Отключал port-security. В логах при этом тишина становится. При аналогичной схеме на D-Link'ах сразу петля срабатывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это вопрос по реализации loopback-detection у SNR.... Есть документация где-то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@raveren Познавательно, но маловато для понимания.

 

1. Не раскрыто содержание BPDU.

2. Не указано работает ли луп-детектион только на порт или в целом на устройство.
 

СОВЕТ:

Попробуйте провести эксперимент прогоняя кольцевой трафик через неуправляемый коммутатор - будет понятно, по крайне мере, по п.2.

Можно еще посниферить BPDU.

 

З.Ы.

Есть функция контроля только в отдельном влане и закрытие инстанса - это интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@_prox Доброе утро! Сразу не увидели сообщение, в следующий раз пишите в разделе SNR.


Петля не определяется, так как LBD-сообщения от одного коммутатора перехватываются другим (при условии что на обоих портах включен loopback-detection). Функционал создан в первую очередь для защиты от петель на стороне клиента. Если есть цель защититься от петли между коммутаторами - необходимо использовать STP, ERPS и т.д.

 

@sdy_moscow На всякий случай добавлю, что по настройке loopback-detection есть статья.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 hours ago, Aleksey Sonkin said:

Петля не определяется, так как LBD-сообщения от одного коммутатора перехватываются другим

Чет как по мне, так очень спорное решение. Надо бы добавить какую-то опцию, чтобы блокировать при поимке BPDU от другого коммутатора, может с каким-то общим на всех ключем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@ShyLion Для этого существует spanning-tree bpdu-guard :) loopback-detection используется на последней миле, он не подразумевает того, что за этим портом будет находиться другой коммутатор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 04.03.2020 в 12:22, Aleksey Sonkin сказал:

@ShyLion Для этого существует spanning-tree bpdu-guard :) loopback-detection используется на последней миле, он не подразумевает того, что за этим портом будет находиться другой коммутатор.

А я считаю, что loopback-detection на то и loopback-detection, чтобы отлавливать петли независимо от мили. Если использовать spanning-tree bpdu-guard, то у нас тех. поддержку завалят звонками о том, почему у них сеть не работает. Мы обходимся bpdu-filter, т.к. много пользовательских устройств по разным причинам время от времени присылают BPDU. Кто-то случайно в LAN наш кабель воткнул, кто-то учится настраивать Mikrotik. Пользуясь случаем, прошу изменить логику работы вашей функции. От этого станет только лучше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А может логичнее будет сделать что-то типа Restricted TCN?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как по мне, на всего оператора выбирается кодовое слово, которое вставляется в BPDU loopguard'а. Таким образом свитч будет знать, что это сообщение от его собрата а не от абонентского СНР свича и нужно блокировать порт. Делов на день работы погромиста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@ShyLion проще не блокировать прохождение пакетов, которыми обнаружение петли происходит. Там даже логику текущей работы менять не надо будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у длинков есть lbd per vlan, в снры это не завезли, но вопрос поднимался

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это уже что-то из разряда MSTP.

На абонентском порту, как мне кажется, излишне.

 

47 minutes ago, raveren said:

@ShyLion проще не блокировать прохождение пакетов, которыми обнаружение петли происходит. Там даже логику текущей работы менять не надо будет.

что значит "не блокировать прохождение" ? прохождение куда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 04.03.2020 в 07:17, Aleksey Sonkin сказал:

Петля не определяется, так как LBD-сообщения от одного коммутатора перехватываются другим (при условии что на обоих портах включен loopback-detection). Функционал создан в первую очередь для защиты от петель на стороне клиента. Если есть цель защититься от петли между коммутаторами - необходимо использовать STP, ERPS и т.д. 

@ShyLion прохождение дальше по другим портам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зачем loopdetect BPDU проходить внутрь операторской сети? чтобы что? чтобы дойти до свича-автора и положить транк? или порт отправления? эдак нехороший абон сможет чужие порты ложить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

27 минут назад, ShyLion сказал:

Зачем loopdetect BPDU проходить внутрь операторской сети? чтобы что? чтобы дойти до свича-автора и положить транк? или порт отправления? эдак нехороший абон сможет чужие порты ложить.

Затем, чтобы реально ловить петли! Вы выше почитайте, как D-Link у меня на стенде обнаруживает петлю. Кладётся всегда порт отправителя. На Up/Downlink портах функция LBD отключена. Всё нормально отрабатывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я рад за Вас, коллега.

Во первых я Ваш стенд не видел, во вторых длинки в моем личном рейтинге на последних местах.

 

По моему скромному мнению негоже служебному траффику нарезать круги по сети.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я конечно понимаю что абоненты существа не предсказуемые, но блин как он соединит петлей 2 дома (2 подъезда еще можно с соседом через стенку договориться). 

Это же еще постараться надо...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.