survivor Опубликовано 16 июня, 2009 · Жалоба Доброго времени суток! Есть у меня catalyst 2950 в котором сидят DSLAM'ы от натекса.... на DSLAM'ах - port isolation, на свиче порты в разных вланах + включен RSTP. Порты на свиче - switchport mode trunk... Был у меня случай, когда один абонент взял два подключения и воткнул их в один свич.... натекс просто висел, пока методом тыка не нашли абонента и не отключили... Сейчас у меня похожая ситуация: время от времени порт на циске переключается в err-disable режим. В логах: Jun 15 11:27:22.701: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up Jun 15 11:27:24.861: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up Jun 15 11:28:35.499: %ETHCNTR-3-LOOP_BACK_DETECTED: Keepalive packet loop-back detected on FastEthernet0/1. Jun 15 11:28:35.499: %PM-4-ERR_DISABLE: loopback error detected on Fa0/1, putting Fa0/1 in err-disable state пробовал отключать keepalive на порту - остается в up'е но dslam перестает пропускать абонентский трафик - петля то осталась.... Кабели менял на 100 процентно рабочие и неоднократно... Может опять у какого-то абонента два подключения в одном свиче? На натексах STP вообще нет, на зухелях 1248 stp работает только на ethernet'ах, так что STP на DSLAM'е в данной ситуации не решение.... Вообще, как защищаться от таких ситуаций? Было у кого-нибудь что-нибудь похожее? Спасибо заранее! :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrеw Опубликовано 16 июня, 2009 (изменено) · Жалоба Разнести все DSLAM'ы по разным VLAN'ам, задействовать защиту от петли на DSLAM'е. Если такого в нем не предусмотрено, то единственный вариант - это выдавать каждому подключению отдельный VLAN Изменено 16 июня, 2009 пользователем Andrеw Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 16 июня, 2009 · Жалоба Хм... я же говорю: "на DSLAM'ах - port isolation" "на свиче порты в разных вланах + включен RSTP" тем не менее.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrеw Опубликовано 16 июня, 2009 · Жалоба Port isolation - это не защита от петли, а всего-лишь изоляция абонентских портов друг от друга. Если два таких модема соединить друг с другом, то будет петля ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 16 июня, 2009 · Жалоба насколько я понимаю, чтобы получилась петля нужно осуществить кольцевую передачу данных... т.е. замкнуть езернет с ДВУХ сторон! В обычном свиче если воткнуть в два порта один кабель получается петля из-за того, что в свиче есть активная матрица (вторая часть кольца). Если на dslam'е включен port-isolation то вторая часть кольца отсутствует!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrеw Опубликовано 16 июня, 2009 (изменено) · Жалоба неправильно понимаете. кольцо получается catalist - dslam - modem - switch - modem - dslam - catalist Причем, прошу заметить, непосредственной коммутации между соседними портами ДСЛАМ'а не происходит, и Port Isolation в данном случае никак не спасает Изменено 16 июня, 2009 пользователем Andrеw Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 16 июня, 2009 · Жалоба 1) если непосредственной коммутации между портами dslam'а нет - то и второй половины кольца нет... 2) каталист никак не может быть второй половиной кольца - так как в данном случае используется только ОДИН его порт :-) а свич не направит frame обратно даже если это броадкаст... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nnm Опубликовано 16 июня, 2009 · Жалоба Правильные DSLAM умеют: 1. Ограничивать число MAC, которые он учит с абонентского порта. 2. Не учить с абонентского порта MAC, который сейчас выучен на другом порту. 3. Дропать фреймы, которые нарушают п. 1 и 2. Если Ваши так умеют, то хорошо-бы это включить... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Beginner Опубликовано 16 июня, 2009 · Жалоба А не у отдельного абонента кольцо? Уверены что на разных портах DSLAM'а? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 17 июня, 2009 · Жалоба "на свиче порты в разных вланах + включен RSTP" тем не менее.... а абонентские порты по RSTP как настроены? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KT315 Опубликовано 17 июня, 2009 · Жалоба Взять мыльницу, воткнуть в неё патчкорд 2мя концами, и подключить к модему. Не оно получится? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chert Опубликовано 18 июня, 2009 (изменено) · Жалоба для зюха: switch mac antispofing оно? Вопрос:Почему на DSL-коммутаторе происходит автоматическое отключение абонентских портов (состояние порта - Disable), после чего приходиться включать их вручную? Ответ: Подобная ситуация может быть связана с работой функции MAC anti-spofing в xDSL-коммутаторе. В настоящее время функция MAC anti-spoofing реализована в DSL-коммутаторах серии IES-1248-xx начиная с версии микропрограммы V3.52 и в DSL-коммутаторах IES-5000/5005/6000 начиная с версии микропрограммы V3.90 (из комплекта микропрограмм R5.0). По умолчанию эта функция включена. При использовании функции MAC anti-spoofing порт DSL переходит в состояние Disable, если на линейной карте обнаружено дублирование MAC-записей или перемещение MAC-адреса между портами (DSL или Ethernet). У меня работает Изменено 18 июня, 2009 пользователем chert Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kristoff_Vampire Опубликовано 18 июня, 2009 · Жалоба петля там 100% и никакой порт изолайтед не работает. Один и тот же мак светится с двух концов на DSLAM. Andrew тебе правильно растолковал. Если никаких фич нет. Может попробуй отключить на езернете изучение маков и жёстко прописать мак НАСА или роутера чо там у тебя. тогда вроде он тебе вроде больших проблем не предоставит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...