RN3DCX Posted January 20, 2022 · Report post Два коммутатора Сisco 2960G и SNR. На обоих создан Vlan 1010. Во влане тестово живет два устройства (88c3.97v4.91b4 и 04bf.6d98.49c9) Со стороны циски всё ок видно два мака, а вот на SNR их три!? Пробовал менять циску на другую серию, успехом это не увенчалось, всё равно циска срёт доп.маком... Конфиг Сisco: Скрытый текст sh run Building configuration... Current configuration : 4242 bytes ! version 15.0 no service pad service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption service sequence-numbers no service dhcp ! hostname С1_5 ! boot-start-marker boot-end-marker ! vlan internal allocation policy ascending ! vlan 1010 name ACCESS ! vlan 3084 name MGT ! ip tcp selective-ack ip tcp timestamp ip ssh version 2 ! ! interface GigabitEthernet0/1 shutdown ! ============//================================== ! interface GigabitEthernet0/7 description ACCESS switchport access vlan 1010 switchport mode access spanning-tree bpdufilter enable ! ============//================================== ! interface GigabitEthernet0/24 description to_SNR switchport trunk allowed vlan 1010,3084 switchport mode trunk ! interface Vlan1 no ip address shutdown ! interface Vlan3084 description MGT ip address 10.11.66.110 255.255.255.0 ! no ip http server no ip http secure-server no cdp run ! Конфиг SNR: Скрытый текст sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia sysContact support@nag.ru ! ! authentication line console login local ! ! clock timezone MSK add 3 0 ! ! ssh-server enable ! no ip http server ! no telnet-server enable ! ! vlan 1 ! vlan 1010 name ACCESS ! vlan 3084 name MGT ! Interface Ethernet1/0/1 description ACCESS bridge-protocol filter stp switchport access vlan 1010 ! Interface Ethernet1/0/2 shutdown ! Interface Ethernet1/0/3 shutdown ! Interface Ethernet1/0/4 shutdown ! Interface Ethernet1/0/5 shutdown ! Interface Ethernet1/0/6 shutdown ! Interface Ethernet1/0/7 shutdown ! Interface Ethernet1/0/8 description to_CISCO switchport discard packet untag switchport mode trunk switchport trunk allowed vlan 1010;3084 ! Interface Ethernet1/0/9 shutdown transceiver-monitoring enable ! Interface Ethernet1/0/10 ! interface Vlan3084 description description MGT ip address 10.11.66.112 255.255.255.0 ! ! no login ! captive-portal ! end CISCO: C1_5#sh mac address-table vlan 1010 Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- All 0100.0ccc.cccc STATIC CPU All 0100.0ccc.cccd STATIC CPU All 0180.c200.0000 STATIC CPU All 0180.c200.0001 STATIC CPU All 0180.c200.0002 STATIC CPU All 0180.c200.0003 STATIC CPU All 0180.c200.0004 STATIC CPU All 0180.c200.0005 STATIC CPU All 0180.c200.0006 STATIC CPU All 0180.c200.0007 STATIC CPU All 0180.c200.0008 STATIC CPU All 0180.c200.0009 STATIC CPU All 0180.c200.000a STATIC CPU All 0180.c200.000b STATIC CPU All 0180.c200.000c STATIC CPU All 0180.c200.000d STATIC CPU All 0180.c200.000e STATIC CPU All 0180.c200.000f STATIC CPU All 0180.c200.0010 STATIC CPU All ffff.ffff.ffff STATIC CPU 1010 88c3.97v4.91b4 DYNAMIC Gi0/7 1010 04bf.6d98.49c9 DYNAMIC Gi0/24 Total Mac Addresses for this criterion: 22 SNR: S1_6#sh mac-address-table vlan 1010 Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ----------------------- 1010 00-22-0d-9c-v5-78 DYNAMIC Hardware Ethernet1/0/8 <------- НЕ ЗАДЕКЛАРИРОВАННЫЙ АДРЕС. mac vendor: Cisco Systems, Inc 1010 88-c3-97-v4-91-b4 DYNAMIC Hardware Ethernet1/0/8 1010 04-bf-6d-98-49-c9 DYNAMIC Hardware Ethernet1/0/1 Мож кто подскажет: это Баг или Фича? Первая мысль была, это mac access-list: deny any host 0022.0d9c.d798 Но мож есть еще решение? Более изящное? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted January 20, 2022 · Report post Это MAC самого цисковского коммутатора. Чтобы его не было надо выключить на кошке CDP, STP и всё такое. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prolan Posted January 20, 2022 · Report post Скорей всего STP. Как вариант - сделать дамп трафика и посмотреть, что именно за пакеты прилетают от циски Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted January 20, 2022 · Report post В 20.01.2022 в 18:27, prolan сказал: Скорей всего STP. Как вариант - сделать дамп трафика и посмотреть, что именно за пакеты прилетают от циски С киской - все возможно, скорее pvst, чем cdp, Если посмотреть маки на самой киске все - увидите кучу местных на cpu. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted January 20, 2022 (edited) · Report post RN3DCX, здравствуйте. В 20.01.2022 в 14:32, RN3DCX сказал: Мож кто подскажет: это Баг или Фича? То, что коммутатор CISCO посылает свой MAC, это не BAG. Такое поведение коммутатора на L2 обусловлено тем, что по умолчанию запущенно несколько сервисов: - CDP (Cisco Discovery Protocol) - STP (Spanning Tree Protocol) - Cisco DTP (Dynamic Trunking Protocol) - Keepalive BPDU (для поиска потели в пределах порта) - ECTP (Ethernet Configuration Testing Protocol), он же Ethernet LOOPBACK Keepalive (EtherType 0x9000) Отключить сервисы на коммутаторе можно следующим образом: CDP (Cisco Discovery Protocol): no cdp advertise-v2 no cdp run STP (Spanning Tree Protocol): no spanning-tree vlan 1-4094 Cisco DTP (Dynamic Trunking Protocol): interface GigabitEthernetX/X/X switchport nonegotiate Keepalive BPDU: ECTP (Ethernet Configuration Testing Protocol): interface GigabitEthernetX/X/X no keepalive Если Вы хотите попробовать избавится от MAC, для начала отключите CDP, Cisco DTP и Keepalive BPDU ECTP, не трогая STP. Скорей всего, мозолящий глаз MAC исчезнет. ;) Edited January 25, 2022 by SUrov_IBM Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted January 22, 2022 · Report post Благодарствую всем, кто поучаствовал в данном топике!!! Отключение STP помогло. В 20.01.2022 в 22:13, SUrov_IBM сказал: То, что коммутатор CISCO посылает свой MAC, это не BAG. Такое поведение коммутатора на L2 обусловлено тем, что по умолчанию запущенно несколько сервисов Такой бонус был замечен только на циске. Eltex, Huawei, SNR - пошли другим путём. В 20.01.2022 в 22:13, SUrov_IBM сказал: не трогая STP А нафига он нужен если сеть построена по схеме звезда? В 20.01.2022 в 22:13, SUrov_IBM сказал: no cdp advertise-v2 no cdp run no cdp advertise-v2 - отключает использование рекламы cdp версии 2. no cdp run - полностью выключает сdp. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dr Tr0jan Posted January 22, 2022 · Report post On 1/22/2022 at 10:32 AM, RN3DCX said: А нафига он нужен если сеть построена по схеме звезда? С петлями в пределах порта бороться, как вариант. С Keepalive BPDU у меня что-то не получилось. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted January 22, 2022 · Report post В 22.01.2022 в 10:32, RN3DCX сказал: Такой бонус был замечен только на циске. Eltex, Huawei, SNR - пошли другим путём. Путь тот же. Только на кошке по умолчанию включено, а на остальных - выключено. В 22.01.2022 в 10:32, RN3DCX сказал: А нафига он нужен если сеть построена по схеме звезда? Это она в начале звезда. А потом всё изменяется. То монтажники чего не туда воткнут/приварят, то порт на свичке "зеркалить начнёт"... Протокол полезный и не мешает жить. А надёжности прибавляет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted January 24, 2022 · Report post cdp тоже полезно, но иногда и клиенты светятся. И возможно они тоже киску видят, что не есть хорошо. при включенном cdp вижу в соседях мокротики и еще койкого... В 22.01.2022 в 13:16, dr Tr0jan сказал: С петлями в пределах порта бороться, как вариант. С Keepalive BPDU у меня что-то не получилось. Ну на клиентских bpdufilter надо сразу включать, хоть дальше гадить не будет. Если не спится по ночам - включите bpduguard, он порт будет гасить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dr Tr0jan Posted January 24, 2022 · Report post On 1/24/2022 at 4:56 PM, YuryD said: Ну на клиентских bpdufilter надо сразу включать Это в неконтролируемых сетях (в провайдинге я не работал). В контролируемых сетях (сеть предприятия, например) - всё норм. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted January 24, 2022 · Report post В 24.01.2022 в 20:38, dr Tr0jan сказал: Это в неконтролируемых сетях (в провайдинге я не работал). В контролируемых сетях (сеть предприятия, например) - всё норм. Далее пошлость скажу. Если вы е.ёте даму, это не значит, что вы ее контролируете. Насчет контролируемых якобы сетей у госконтор и прочих фгупов, там даже есть 2-3 одмина на должности. Про предприятия ох-какого масштаба страны - те-же 2-3 админа, причем один в отпуску, второй и третий или заняты рассылой очередной партии мокротиков, или нихрена не имеют времени для разбирательства с траблемой, кроме открыть ТТ и сбежать со смены домой. Есть и умные, но их немного увы. Например , одна из БС стала сыпать bpdu левые, порт конечно начал класться, что нас как ластмильщиков напрягло. Пока не нашелся умный их одмин и не заблочил(а может и кольцо там нашел), прошло 2 дня. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dr Tr0jan Posted January 24, 2022 (edited) · Report post @YuryD, да причём тут сети госконтор и фгупов? Админил сетку окологосударственного коммерса о полутысячи АРМов, ещё столько же камер видеонаблюдения и ещё столько же всякого хлама типа принтеров, телефонов, скудов и прочей хрени. Полторы сотни каталистов 2960, несколько колец, MPLS. За 7 лет bpduguard очень здорово выручал от любителей воткнуть непонятно что в непонятно куда. Ровно три раза за это время bpduguard лочил легитимные порты (один раз провайдера и два раза - клиентов), проблема решалась за 10 минут. Два года уже не работаю у этого коммерса, наверное потому что поумнел. Но у бывших коллег сетка до сих пор как часы работает. Edited January 24, 2022 by dr Tr0jan Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted January 24, 2022 · Report post В 24.01.2022 в 19:01, YuryD сказал: Насчет контролируемых якобы сетей у госконтор и прочих фгупов, там даже есть 2-3 одмина на должности. Про предприятия ох-какого масштаба страны - те-же 2-3 админа, причем один в отпуску, второй и третий или заняты рассылой очередной партии мокротиков, или нихрена не имеют времени для разбирательства с траблемой, кроме открыть ТТ и сбежать со смены домой. Есть и умные, но их немного увы. Вспомнился один, как модно сейчас говорить, кейс - а именно ит служба предприятия была подчинена СБ (прозрел от такого). Начальник этой самой СБ, мужчина предпенсионного возраста, считал единственно верной свою точку зрения строить сеть виденаблюдения на ~1500 камер на тупых неуправляемых свичах - т.к. так дешевле. А админ - ну он был с ним полностью согласен (но этот же самый человек на вопрос предоставления запасного коммутатора дал роутер хуавей и был удивлен, узнав что это роутер, а не коммутатор). На наше счастье, этого руководителя сб попросили оттуда собственники, т.к помимо ит он развел бардак и в самой сб. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted January 25, 2022 · Report post Dr Tr0jan, здравствуйте. В 22.01.2022 в 11:16, dr Tr0jan сказал: С Keepalive BPDU у меня что-то не получилось. На самом деле, это я не правильно выразился, назвав Ethernet LOOPback Keepalive (EtherType 0x9000) "Keepalive BPDU". Это протокол ECTP (Ethernet Configuration Testing Protocol), к BPDU и обнаружению петель, этот протокол не имеет отношения. Суть его заключается в том, чтобы устройство, получив LOOP фрейм, отправило его обратно, таким образом, отправившее LOOP фрейм устройство поймёт, что они взаимодействуют, поддерживая связь через Ethernet сеть. Мне кажется, это какой-то пережиток прошлого, придуманный CISCO, когда Ethernet проходил через соединения наподобие xDSL мостов и в настоящем времени является неактуальным. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...