RPasha Posted March 11, 2011 Posted March 11, 2011 Здравствуйте Коллеги Кто может подсказать почему Cisco коммутатор + xdsl модем Zyxel возникает mac-flap, а с коммутатором Zyxel и Procurve отсутствует???? Петель нет и все проверено "ручками" и такая ситуация возникает еще и с другими модемами. ============================== На Cisco: errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery interval 30 spanning-tree mode rapid-pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id interface FastEthernet0/xx switchport mode access spanning-tree bpdufilter enable spanning-tree bpduguard enable ============================== Конечно можно ограничивать количество mac на портах где это возникает, но это частичное решение. ____ PS пишу в первые и извиняюсь за оформление :) Вставить ник Quote
darkagent Posted March 12, 2011 Posted March 12, 2011 плохо проверяли. mac-move notification возникает если маки реально видны с нескольких портов. одно дело если это один определенный мак - возможно у двух разных сетевых устройств совпали (на асусовых матерях такое бывало и на роутерах дешевых), но если прыгает несколько маков - ищите петлю. смотрите по всему участку может где portfast включен со всеми вытекающими. Вставить ник Quote
RPasha Posted March 17, 2011 Author Posted March 17, 2011 плохо проверяли. mac-move notification возникает если маки реально видны с нескольких портов. одно дело если это один определенный мак - возможно у двух разных сетевых устройств совпали (на асусовых матерях такое бывало и на роутерах дешевых), но если прыгает несколько маков - ищите петлю. смотрите по всему участку может где portfast включен со всеми вытекающими. Большое Спасибо за наводку!!!! В моем случае применил: mac-address-table notification interval 60 mac-address-table notification history-size 32 mac-address-table notification И все пропало :) (интервал и размер можно подбирать для различных сетей) Вставить ник Quote
bmp82 Posted March 18, 2011 Posted March 18, 2011 Была у меня такая проблема с зукселями, но 5000,6000,1248,1212 на стыке с цисками 2950,3750,3400. Проблема была решена только установкой аггрегирующего зукселя 3124,3712,4726, без разницы. Главное поднять между ними Multiple Rapid Spanning Tree и петли не затрагивают циску. И еще было много клиентов которые били подключены через зуксель по адсл и через циску по оптике, так после монтажа такой схемы в лучшем случае появлялся макфлапинг, а бывало и весь район падал. Циска с чужими петлями никак не рабирается, падает и все. Вставить ник Quote
Korvet_068 Posted November 17, 2015 Posted November 17, 2015 Можно ли настроить порт абонента так, чтобы при возникновении флаппинга маков порт абонента гасился? Свитч Циско. Вставить ник Quote
GrandPr1de Posted November 17, 2015 Posted November 17, 2015 #switchport port-security violation shutdown не? Вставить ник Quote
zi_rus Posted November 17, 2015 Posted November 17, 2015 не но задачу я не понял, с чем именно и каким образом может зафлапать мак на абонентском порту Вставить ник Quote
megahertz0 Posted November 17, 2015 Posted November 17, 2015 У меня такой прикол был когда монтажники, работающие на отшибе (район в 60 км) настроили пачку абонских роутеров, склонировав на них мак рабочего ноута. Все не вылазило до поры до времени пока район не объединили в один сегмент сети и один влан. Вставить ник Quote
GrandPr1de Posted November 17, 2015 Posted November 17, 2015 чет на больную голову туплю сильно хотя на цискофорумах советуют таки пользовать port-security mac flap произойдет или при одинаковых маках, как пример выше или при петле на абонских портах кроме как port-security switchport port-security mac-address 1234.5678.9123 придумать ничего не могу, кроме как такой прибивки статикой мак адресов другой защиты не нагуглил и придумать не могу. Вставить ник Quote
zi_rus Posted November 17, 2015 Posted November 17, 2015 port-security конечно поможет, но прежде чем внедрять какое-то решение, надо понять от чего защищаемся. в любом случае port-security не погасит порт в обоих случаях, его эффект будет в другом одинаковые маки надо исправлять а петля между двумя абонентскими портами - вы в это верите? такое случается только когда абоненты это другие сети, для ШПД это не актуально, а если и так, то лучше уж storm-control, вот он сможет погасить порт в случае петли Вставить ник Quote
Korvet_068 Posted November 17, 2015 Posted November 17, 2015 Мак флапает при петле, когда фреймы по кругу бегают. Разок у меня цепочку свитчей доступа воткнули концами в разные аггрегирующие коммутаторы и весь кластер домов заколбасило. Порт-сесурити это примитивная фича, она не умеет видеть флапинг, только ограничивает число маков на порту и конкретизирует эти самые разрешнные маки. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.