Jump to content
Калькуляторы

Баг или Фича?

Два коммутатора Сisco 2960G и SNR. На обоих создан Vlan 1010. Во влане тестово живет два устройства (88c3.97v4.91b4 и 04bf.6d98.49c9)

Со стороны циски всё ок видно два мака, а вот на SNR их три!?

Пробовал менять циску на другую серию, успехом это не увенчалось, всё равно циска срёт доп.маком...

 

Конфиг Сisco:

Скрытый текст

sh run
Building configuration...

Current configuration : 4242 bytes
!
version 15.0
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
service sequence-numbers
no service dhcp
!
hostname С1_5
!
boot-start-marker
boot-end-marker
!
vlan internal allocation policy ascending
!
vlan 1010
 name ACCESS
!
vlan 3084
 name MGT
!
ip tcp selective-ack
ip tcp timestamp
ip ssh version 2
!
!

interface GigabitEthernet0/1

shutdown

!

============//==================================

!
interface GigabitEthernet0/7

 description ACCESS
 switchport access vlan 1010
 switchport mode access
 spanning-tree bpdufilter enable
!
============//==================================

!
interface GigabitEthernet0/24

 description to_SNR
 switchport trunk allowed vlan 1010,3084
 switchport mode trunk
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan3084
 description MGT
 ip address 10.11.66.110 255.255.255.0
!
no ip http server
no ip http secure-server
no cdp run
!

 

Конфиг SNR:

Скрытый текст

sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia
sysContact support@nag.ru
!
!
authentication line console login local
!
!
clock timezone MSK add 3 0
!
!
ssh-server enable
!
no ip http server
!
no telnet-server enable
!
!
vlan 1
!
vlan 1010
 name ACCESS

!

vlan 3084
 name MGT
!
Interface Ethernet1/0/1

 description ACCESS
 bridge-protocol filter stp
 switchport access vlan 1010
!
Interface Ethernet1/0/2
 shutdown
!
Interface Ethernet1/0/3
 shutdown
!
Interface Ethernet1/0/4
 shutdown
!
Interface Ethernet1/0/5
 shutdown
!
Interface Ethernet1/0/6
 shutdown
!
Interface Ethernet1/0/7
 shutdown
!
Interface Ethernet1/0/8
 description to_CISCO
 switchport discard packet untag
 switchport mode trunk
 switchport trunk allowed vlan 1010;3084
!
Interface Ethernet1/0/9
 shutdown
 transceiver-monitoring enable
!
Interface Ethernet1/0/10
!
interface Vlan3084
 description description MGT
 ip address 10.11.66.112 255.255.255.0
!
!
no login
!
captive-portal
!
end

 

CISCO:
C1_5#sh mac address-table vlan 1010
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
 All    0100.0ccc.cccc    STATIC      CPU
 All    0100.0ccc.cccd    STATIC      CPU
 All    0180.c200.0000    STATIC      CPU
 All    0180.c200.0001    STATIC      CPU
 All    0180.c200.0002    STATIC      CPU
 All    0180.c200.0003    STATIC      CPU
 All    0180.c200.0004    STATIC      CPU
 All    0180.c200.0005    STATIC      CPU
 All    0180.c200.0006    STATIC      CPU
 All    0180.c200.0007    STATIC      CPU
 All    0180.c200.0008    STATIC      CPU
 All    0180.c200.0009    STATIC      CPU
 All    0180.c200.000a    STATIC      CPU
 All    0180.c200.000b    STATIC      CPU
 All    0180.c200.000c    STATIC      CPU
 All    0180.c200.000d    STATIC      CPU
 All    0180.c200.000e    STATIC      CPU
 All    0180.c200.000f    STATIC      CPU
 All    0180.c200.0010    STATIC      CPU
 All    ffff.ffff.ffff    STATIC      CPU
 1010    88c3.97v4.91b4    DYNAMIC     Gi0/7
 1010  04bf.6d98.49c9    DYNAMIC     Gi0/24
Total Mac Addresses for this criterion: 22

 

SNR:
S1_6#sh mac-address-table vlan 1010
Read mac address table....
Vlan Mac Address                 Type    Creator   Ports
---- --------------------------- ------- -----------------------
1010 00-22-0d-9c-v5-78           DYNAMIC Hardware Ethernet1/0/8   <------- НЕ ЗАДЕКЛАРИРОВАННЫЙ АДРЕС. mac vendor: Cisco Systems, Inc
1010  88-c3-97-v4-91-b4           DYNAMIC Hardware Ethernet1/0/8
1010  04-bf-6d-98-49-c9           DYNAMIC Hardware Ethernet1/0/1

 

Мож кто подскажет: это Баг или Фича?

Первая мысль была, это mac access-list: deny any host 0022.0d9c.d798

Но мож есть еще решение? Более изящное?

Share this post


Link to post
Share on other sites

Это MAC самого цисковского коммутатора. Чтобы его не было надо выключить на кошке CDP, STP и всё такое.

 

Share this post


Link to post
Share on other sites

Скорей всего STP. Как вариант - сделать дамп трафика и посмотреть, что именно за пакеты прилетают от циски

Share this post


Link to post
Share on other sites

В 20.01.2022 в 18:27, prolan сказал:

Скорей всего STP. Как вариант - сделать дамп трафика и посмотреть, что именно за пакеты прилетают от циски

 С киской - все возможно, скорее pvst, чем cdp, Если посмотреть маки на самой киске все - увидите кучу местных на cpu.

Share this post


Link to post
Share on other sites

RN3DCX, здравствуйте.

 

В 20.01.2022 в 14:32, RN3DCX сказал:

Мож кто подскажет: это Баг или Фича?

 

То, что коммутатор CISCO посылает свой MAC, это не BAG. Такое поведение коммутатора на L2 обусловлено тем, что по умолчанию запущенно несколько сервисов:

 

- CDP (Cisco Discovery Protocol)

 

- STP (Spanning Tree Protocol)

 

- Cisco DTP (Dynamic Trunking Protocol)

 

- Keepalive BPDU (для поиска потели в пределах порта)

- ECTP (Ethernet Configuration Testing Protocol), он же Ethernet LOOPBACK Keepalive (EtherType 0x9000)

 

 

Отключить сервисы на коммутаторе можно следующим образом:

 

CDP (Cisco Discovery Protocol):
no cdp advertise-v2
no cdp run

 

STP (Spanning Tree Protocol):
no spanning-tree vlan 1-4094

 

Cisco DTP (Dynamic Trunking Protocol):
interface GigabitEthernetX/X/X
switchport nonegotiate

 

Keepalive BPDU:

ECTP (Ethernet Configuration Testing Protocol):
interface GigabitEthernetX/X/X
no keepalive

 

 

Если Вы хотите попробовать избавится от MAC, для начала отключите CDP, Cisco DTP и Keepalive BPDU ECTP, не трогая STP. Скорей всего, мозолящий глаз MAC исчезнет. ;)

Edited by SUrov_IBM

Share this post


Link to post
Share on other sites

Благодарствую всем, кто поучаствовал в данном топике!!!

Отключение STP помогло. 

 

 

 

В 20.01.2022 в 22:13, SUrov_IBM сказал:

То, что коммутатор CISCO посылает свой MAC, это не BAG. Такое поведение коммутатора на L2 обусловлено тем, что по умолчанию запущенно несколько сервисов

Такой бонус был замечен только на циске. Eltex, Huawei, SNR - пошли другим путём.

 

В 20.01.2022 в 22:13, SUrov_IBM сказал:

не трогая STP

А нафига он нужен если сеть построена по схеме звезда?

 

В 20.01.2022 в 22:13, SUrov_IBM сказал:

no cdp advertise-v2
no cdp run

no cdp advertise-v2 - отключает использование рекламы cdp версии 2.

no cdp run - полностью выключает сdp.

 

 

Share this post


Link to post
Share on other sites

On 1/22/2022 at 10:32 AM, RN3DCX said:

А нафига он нужен если сеть построена по схеме звезда?

С петлями в пределах порта бороться, как вариант.

С Keepalive BPDU у меня что-то не получилось.

Share this post


Link to post
Share on other sites

В 22.01.2022 в 10:32, RN3DCX сказал:

Такой бонус был замечен только на циске. Eltex, Huawei, SNR - пошли другим путём.

Путь тот же. Только на кошке по умолчанию включено, а на остальных - выключено.

В 22.01.2022 в 10:32, RN3DCX сказал:

А нафига он нужен если сеть построена по схеме звезда?

Это она в начале звезда. А потом всё изменяется. То монтажники чего не туда воткнут/приварят, то порт на свичке "зеркалить начнёт"... Протокол полезный и не мешает жить. А надёжности прибавляет.

 

Share this post


Link to post
Share on other sites

cdp тоже полезно, но иногда и клиенты светятся. И возможно они тоже киску видят, что не есть хорошо.  при включенном cdp вижу в соседях мокротики и еще койкого...

 

В 22.01.2022 в 13:16, dr Tr0jan сказал:

С петлями в пределах порта бороться, как вариант.

С Keepalive BPDU у меня что-то не получилось.

 Ну на клиентских bpdufilter надо сразу включать, хоть дальше гадить не будет. Если не спится по ночам - включите bpduguard, он порт будет гасить.

Share this post


Link to post
Share on other sites

On 1/24/2022 at 4:56 PM, YuryD said:

Ну на клиентских bpdufilter надо сразу включать

Это в неконтролируемых сетях (в провайдинге я не работал).

В контролируемых сетях (сеть предприятия, например) - всё норм.

Share this post


Link to post
Share on other sites

В 24.01.2022 в 20:38, dr Tr0jan сказал:

Это в неконтролируемых сетях (в провайдинге я не работал).

В контролируемых сетях (сеть предприятия, например) - всё норм.

 Далее пошлость скажу. Если вы е.ёте даму, это не значит, что вы ее контролируете. Насчет контролируемых якобы сетей у госконтор и прочих фгупов, там даже есть 2-3 одмина на должности. Про предприятия ох-какого масштаба страны - те-же 2-3 админа, причем один в отпуску, второй и третий или заняты рассылой очередной партии мокротиков, или нихрена не имеют времени для разбирательства с траблемой, кроме открыть ТТ и сбежать со смены домой. Есть и умные, но их немного увы. Например , одна из БС стала сыпать bpdu левые, порт конечно начал класться, что нас как ластмильщиков напрягло. Пока не нашелся умный их одмин и не заблочил(а может и кольцо там нашел), прошло 2 дня.

Share this post


Link to post
Share on other sites

@YuryD, да причём тут сети госконтор и фгупов? Админил сетку окологосударственного коммерса о полутысячи АРМов, ещё столько же камер видеонаблюдения и ещё столько же всякого хлама типа принтеров, телефонов, скудов и прочей хрени. Полторы сотни каталистов 2960, несколько колец, MPLS. За 7 лет bpduguard очень здорово выручал от любителей воткнуть непонятно что в непонятно куда. Ровно три раза за это время bpduguard лочил легитимные порты (один раз провайдера и два раза - клиентов), проблема решалась за 10 минут.

 

Два года уже не работаю у этого коммерса, наверное потому что поумнел. Но у бывших коллег сетка до сих пор как часы работает.

Edited by dr Tr0jan

Share this post


Link to post
Share on other sites

В 24.01.2022 в 19:01, YuryD сказал:

Насчет контролируемых якобы сетей у госконтор и прочих фгупов, там даже есть 2-3 одмина на должности. Про предприятия ох-какого масштаба страны - те-же 2-3 админа, причем один в отпуску, второй и третий или заняты рассылой очередной партии мокротиков, или нихрена не имеют времени для разбирательства с траблемой, кроме открыть ТТ и сбежать со смены домой. Есть и умные, но их немного увы.

Вспомнился один, как модно сейчас говорить, кейс - а именно ит служба предприятия была подчинена СБ (прозрел от такого). Начальник этой самой СБ, мужчина предпенсионного возраста, считал единственно верной свою точку зрения строить сеть виденаблюдения на ~1500 камер на тупых неуправляемых свичах - т.к. так дешевле. А админ - ну он был с ним полностью согласен (но этот же самый человек на вопрос предоставления запасного коммутатора дал роутер хуавей и был удивлен, узнав что это роутер, а не коммутатор). На наше счастье, этого руководителя сб попросили оттуда собственники, т.к помимо ит он развел бардак и в самой сб.

Share this post


Link to post
Share on other sites

Dr Tr0jan, здравствуйте.

 

В 22.01.2022 в 11:16, dr Tr0jan сказал:

С Keepalive BPDU у меня что-то не получилось.

На самом деле, это я не правильно выразился, назвав Ethernet LOOPback Keepalive (EtherType 0x9000) "Keepalive BPDU". Это протокол ECTP (Ethernet Configuration Testing Protocol), к BPDU и обнаружению петель, этот протокол не имеет отношения.

Суть его заключается в том, чтобы устройство, получив LOOP фрейм, отправило его обратно, таким образом, отправившее LOOP фрейм устройство поймёт, что они взаимодействуют, поддерживая связь через Ethernet сеть. Мне кажется, это какой-то пережиток прошлого, придуманный CISCO, когда Ethernet проходил через соединения наподобие xDSL мостов и в настоящем времени является неактуальным.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.