[proftp666]

Здравствуйте.

Писал шаблон для забикса, по интерфейсам, oid нужные все нашел в миб файле.

Выглядит так:

discovery[{#IFOPERSTATUS},1.3.6.1.2.1.2.2.1.8,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFNAME},1.3.6.1.2.1.31.1.1.1.1,{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFTYPE},1.3.6.1.2.1.2.2.1.3,{#PVID},1.3.6.1.4.1.40418.7.100.3.2.1.16]

Не могу теперь найти OID по которому можно узнать какой mac адрес у подключенного клиента к интерфейсу. Весь mib перерыл.

Подскажите пожалуйста, как его вычислить или кто его знает?

[Evgeny Mirhasanov]

@proftp666 Добрый день. Стандартное семейство OID 1.3.6.1.2.1.17.4.3.1 (dot1dTpFdbEntry) не решает эту задачу?

[proftp666]

Не решает(

[Evgeny Mirhasanov]

@proftp666 Вы хотите видеть MAC-адреса за определенным физическим портом?

[proftp666]

Да

 

к примеру по команде.

sh mac-address-table int e1/0/1

я вижу мак устройства подключенного к порту.

вот oid не могу найти

[Evgeny Mirhasanov]

@proftp666 Существует workaround. Допустим, мы хотим узнать MAC-адреса за 13-м портом, тогда:

1) snmpwalk -v2c -c public 192.168.1.82 1.3.6.1.2.1.17.4.3.1.2 | grep "INTEGER: 13"
SNMPv2-SMI::mib-2.17.4.3.1.2.0.24.174.148.204.237 = INTEGER: 13

2) snmpwalk -v2c -c public 192.168.1.82 1.3.6.1.2.1.17.4.3.1.1 | grep "24.174.148.204.237"
SNMPv2-SMI::mib-2.17.4.3.1.1.0.24.174.148.204.237 = Hex-STRING: 00 18 AE 94 CC ED


Проверяем, что все верно:

SNR-S2982G-24T-POE-E#sh mac-address-table int e1/0/13
Read mac address table....
Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -------------------------------------
1    00-18-ae-94-cc-ed           DYNAMIC Hardware Ethernet1/0/13

[proftp666]

спс.

теперь в забикс не прописывается, ошибку выдает

Изменено 1 декабря, 2021 пользователем proftp666

[Evgeny Mirhasanov]

@proftp666 это единственный вариант. Стандартными OID вот так вылавливать МАКи. В проприетарных это не реализовано.

[proftp666]

это вообще нереально мне кажется реализовать в забиксе. есть прошивка или планируется, что бы организовать получение адреса проприетарно? это же нужная вещь.

[zlt]

В 01.12.2021 в 13:20, Evgeny Mirhasanov сказал:

@proftp666 Существует workaround. Допустим, мы хотим узнать MAC-адреса за 13-м портом, тогда:

1) snmpwalk -v2c -c public 192.168.1.82 1.3.6.1.2.1.17.4.3.1.2 | grep "INTEGER: 13"
SNMPv2-SMI::mib-2.17.4.3.1.2.0.24.174.148.204.237 = INTEGER: 13

2) snmpwalk -v2c -c public 192.168.1.82 1.3.6.1.2.1.17.4.3.1.1 | grep "24.174.148.204.237"
SNMPv2-SMI::mib-2.17.4.3.1.1.0.24.174.148.204.237 = Hex-STRING: 00 18 AE 94 CC ED


Проверяем, что все верно:

SNR-S2982G-24T-POE-E#sh mac-address-table int e1/0/13
Read mac address table....
Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -------------------------------------
1    00-18-ae-94-cc-ed           DYNAMIC Hardware Ethernet1/0/13

# sh mac-address-table выдает для каждого mac-адреса в какой vlan этот mac-адрес.

 

Как получить это через snmp ???

[Kozubsky Vladimir]

Добрый день, @zlt. Вы иммеете ввиду как получить по SNMP вывод команды "sh mac-mac-address-table vlan <vlan_id>" ?

[enginer]

Добрый день. Подскажите пожалуйста. В вики https://nag.wiki/pages/viewpage.action?pageId=25107793 описан механизм отправки trap при обнаружении кольца на порту "При обнаружении петли за каким-либо портом отправляется SNMP Trap с OID 1.3.6.1.4.1.40418.7.101.112.1." , создаю кольцо на коммутаторе, на портах срабатывает loopback-detection, пытаюсь увидеть в zabbix сообщение, не получается. В шаблоне zabbix включен "snmptrap.fallback" отлавливать все входящие trap. Что делаю не так? 

[Evgeny Mirhasanov]

@enginer Добрый день. На какой  модели коммутатора и версии ПО проверяли? С таким конфигом успешно удалось получить трап по событию loopback-detection:
 

snmp-server enable
snmp-server securityip disable
snmp-server host 192.168.1.3 v2c public
snmp-server community ro 0 public
snmp-server enable traps
!
loopback-detection trap enable
!
!
!
vlan 1
!
Interface Ethernet1/0/1
 loopback-detection specified-vlan 1
 loopback-detection control block
!
Interface Ethernet1/0/2
 loopback-detection specified-vlan 1
 loopback-detection control block
!
interface Vlan1
 ip address 192.168.1.82 255.255.255.0
!

 

[enginer]

@Evgeny Mirhasanov

 

SNR-S2985G-24T

SoftWare Version 7.0.3.5(R0241.0519)
  BootRom Version 7.2.40

 

....

snmp-server enable traps
!

loopback-detection interval-time 5 30
!
loopback-detection control-recovery timeout 60
!
loopback-detection trap enable
!

!
ip dhcp snooping enable
!
!

 

настройка портов для теста:

 

Interface Ethernet1/0/x
 loopback-detection specified-vlan 1-4094
 loopback-detection control shutdown
!

 

Так же при очередном тесте, loopback-detection не сработал. Провел еще три теста, не сработал, то есть отлетело управление, пока не выключил кольцо. Кольцо создавал замыкая одним патчкордом два порта на одном коммутаторе. 

Изменено 15 августа, 2022 пользователем enginer

[Evgeny Mirhasanov]

@enginer Прилетают ли трапы на какие-то другие события? Например смену состяония порта с UP в DOWN и обратно?

[enginer]

@Evgeny Mirhasanov

 

Да, конечно. Если установить шаблон Template Module Interfaces SNMPv2 в zabbix , он определяет все порты. Так же срабатывают триггеры на состояние портов.

 

Вы выше писали "С таким конфигом успешно удалось получить трап по событию loopback-detection", где вам удалось его получить, в какой системе мониторинга? Покажите пример.

[Evgeny Mirhasanov]

@enginer Все просто, в 24-й порт подключен ноутбук с wireshark. LBD настроен на портах с 1 по 6. Создаем петлю, соединяя между собой порты 1 и 3 патчкордом. В wireshark видим трап, в теле которого в т.ч. "Port Ethernet1/0/3 vlan 1 is a loopback device".

lbd-trap.pcap

[enginer]

@Evgeny Mirhasanov 

Подскажите как обойти проблему. Провел ряд экспериментов функционала  loopback-detection, столкнулся с проблемой.

На пример, если порты настроены одинаково:

Interface Ethernet1/0/x
 loopback-detection specified-vlan 1;8
 loopback-detection control shutdown

тогда, если замкнуть оба порта патчем, кольцо обнаруживается и порты блокируются.

Но если порты настроены иначе, на пример:
 

Interface Ethernet1/0/1
 loopback-detection specified-vlan 1;8
 loopback-detection control shutdown 

!

!

Interface Ethernet1/0/2
 switchport mode trunk
 switchport trunk allowed vlan 101;201 
 switchport trunk native vlan 101
 loopback-detection specified-vlan 1-8;101;201
 loopback-detection control shutdown

тогда кольцо не обнаруживается!

Что не так?

[Evgeny Mirhasanov]

@enginer А если на порту e1/0/2 native vlan поменять со 101 на 1, то обнаружится?

[enginer]

@Evgeny Mirhasanov

Да, если убрать native vlan , тогда кольцо ловится.

Просто может возникнуть ситуация следующая, на пример :

 

Interface Ethernet1/0/1
 loopback-detection specified-vlan 1;8;101
 loopback-detection control shutdown 

Interface Ethernet1/0/2
 switchport access vlan 101
 loopback-detection specified-vlan 1;8;101
 loopback-detection control shutdown 

В таком конфиге портов, кольцо не ловится. Ибо при замыкание портов патчкордом, кольцо формируется в 1 vlan, а у меня в одном из портов четко указан 101 vlan access.

Мне кажется тут не совсем точный механизм блокировки кольца. Необходимы доработки, должен при любых настройках порта, при обнаружении кольца на порту блокировать порт либо трафик.

[Evgeny Mirhasanov]

@enginer А если на обоих портах просто прописать?

loopback-detection specified-vlan 1-4094

[enginer]

@Evgeny Mirhasanov

А что это нам даст? У меня конкретно задан vlan 101 access и как выяснилось в дефолте порта всегда 1 vlan. В условиях слежения за кольцами в vlan указаны 1 и 101 vlan  "loopback-detection specified-vlan 1;8;101"

Получается что при искусственном создании  кольца, у меня ложится вся сеть в 1 vlan и 101 , функция обнаружении кольца не срабатывает!

У меня на сети больше 50 коммутаторов, везде могут быть разные настройки порта.  

[azhur]

@enginer

Как я понял, вам нужен loopback-detection, игнорирующий vlan-ы, но похоже SNR такого не умеет?

В качестве обходного решения RSTP+bpduguard не подойдёт?

[enginer]

@azhur

Ок, примерный конфиг опишите пожалуйста. Попробую протестировать.

[enginer]

Про тестировал. Работает.

Глобально включаем: 

!
spanning-tree mode rstp
spanning-tree
!

На портах включаем :

spanning-tree portfast bpduguard recovery 30

 

При подключении патча в оба порта, один из портов блокируется!

 

@azhur Спасибо за подсказку!