[survivor]

Доброго времени суток!

 

Есть у меня catalyst 2950 в котором сидят DSLAM'ы от натекса.... на DSLAM'ах - port isolation, на свиче порты в разных вланах + включен RSTP. Порты на свиче - switchport mode trunk...

 

Был у меня случай, когда один абонент взял два подключения и воткнул их в один свич.... натекс просто висел, пока методом тыка не нашли абонента и не отключили...

Сейчас у меня похожая ситуация: время от времени порт на циске переключается в err-disable режим. В логах:

Jun 15 11:27:22.701: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up

Jun 15 11:27:24.861: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

Jun 15 11:28:35.499: %ETHCNTR-3-LOOP_BACK_DETECTED: Keepalive packet loop-back detected on FastEthernet0/1.

Jun 15 11:28:35.499: %PM-4-ERR_DISABLE: loopback error detected on Fa0/1, putting Fa0/1 in err-disable state

 

пробовал отключать keepalive на порту - остается в up'е но dslam перестает пропускать абонентский трафик - петля то осталась.... Кабели менял на 100 процентно рабочие и неоднократно...

 

Может опять у какого-то абонента два подключения в одном свиче? На натексах STP вообще нет, на зухелях 1248 stp работает только на ethernet'ах, так что STP на DSLAM'е в данной ситуации не решение....

 

Вообще, как защищаться от таких ситуаций? Было у кого-нибудь что-нибудь похожее?

 

Спасибо заранее! :-)

[Andrеw]

Разнести все DSLAM'ы по разным VLAN'ам, задействовать защиту от петли на DSLAM'е. Если такого в нем не предусмотрено, то единственный вариант - это выдавать каждому подключению отдельный VLAN

Изменено 16 июня, 2009 пользователем Andrеw

[survivor]

Хм... я же говорю:

 

"на DSLAM'ах - port isolation"

"на свиче порты в разных вланах + включен RSTP"

 

тем не менее....

[Andrеw]

Port isolation - это не защита от петли, а всего-лишь изоляция абонентских портов друг от друга. Если два таких модема соединить друг с другом, то будет петля )

[survivor]

насколько я понимаю, чтобы получилась петля нужно осуществить кольцевую передачу данных... т.е. замкнуть езернет с ДВУХ сторон!

В обычном свиче если воткнуть в два порта один кабель получается петля из-за того, что в свиче есть активная матрица (вторая часть кольца).

Если на dslam'е включен port-isolation то вторая часть кольца отсутствует!!!

[Andrеw]

неправильно понимаете. кольцо получается catalist - dslam - modem - switch - modem - dslam - catalist

 

Причем, прошу заметить, непосредственной коммутации между соседними портами ДСЛАМ'а не происходит, и Port Isolation в данном случае никак не спасает

Изменено 16 июня, 2009 пользователем Andrеw

[survivor]

1) если непосредственной коммутации между портами dslam'а нет - то и второй половины кольца нет...

2) каталист никак не может быть второй половиной кольца - так как в данном случае используется только ОДИН его порт :-) а свич не направит frame обратно даже если это броадкаст...

 

 

[nnm]

Правильные DSLAM умеют:

1. Ограничивать число MAC, которые он учит с абонентского порта.

2. Не учить с абонентского порта MAC, который сейчас выучен на другом порту.

3. Дропать фреймы, которые нарушают п. 1 и 2.

 

Если Ваши так умеют, то хорошо-бы это включить...

[Beginner]

А не у отдельного абонента кольцо? Уверены что на разных портах DSLAM'а?

[terrible]

"на свиче порты в разных вланах + включен RSTP"

 

тем не менее....

а абонентские порты по RSTP как настроены?

[KT315]

Взять мыльницу, воткнуть в неё патчкорд 2мя концами, и подключить к модему. Не оно получится?

[chert]

для зюха: switch mac antispofing

оно?

Вопрос:

Почему на DSL-коммутаторе происходит автоматическое отключение абонентских портов (состояние порта - Disable), после чего приходиться включать их вручную?

Ответ:

 

Подобная ситуация может быть связана с работой функции MAC anti-spofing в xDSL-коммутаторе.

 

В настоящее время функция MAC anti-spoofing реализована в DSL-коммутаторах серии IES-1248-xx начиная с версии микропрограммы V3.52 и в DSL-коммутаторах IES-5000/5005/6000 начиная с версии микропрограммы V3.90 (из комплекта микропрограмм R5.0). По умолчанию эта функция включена.

 

При использовании функции MAC anti-spoofing порт DSL переходит в состояние Disable, если на линейной карте обнаружено дублирование MAC-записей или перемещение MAC-адреса между портами (DSL или Ethernet).

У меня работает

Изменено 18 июня, 2009 пользователем chert

[Kristoff_Vampire]

петля там 100% и никакой порт изолайтед не работает. Один и тот же мак светится с двух концов на DSLAM. Andrew тебе правильно растолковал. Если никаких фич нет. Может попробуй отключить на езернете изучение маков и жёстко прописать мак НАСА или роутера чо там у тебя. тогда вроде он тебе вроде больших проблем не предоставит.