Jump to content
Калькуляторы

MAC-FLAP с коммутатором Cisco MAC-FLAP в syslog, а в реальности колец нет и с Procurve нет

Здравствуйте Коллеги

Кто может подсказать почему Cisco коммутатор + xdsl модем Zyxel возникает mac-flap, а с коммутатором Zyxel и Procurve отсутствует???? Петель нет и все проверено "ручками" и такая ситуация возникает еще и с другими модемами.

==============================

На Cisco:

errdisable recovery cause udld

errdisable recovery cause bpduguard

errdisable recovery cause security-violation

errdisable recovery cause channel-misconfig

errdisable recovery cause pagp-flap

errdisable recovery cause dtp-flap

errdisable recovery cause link-flap

errdisable recovery cause psecure-violation

errdisable recovery cause gbic-invalid

errdisable recovery cause dhcp-rate-limit

errdisable recovery cause unicast-flood

errdisable recovery cause vmps

errdisable recovery interval 30

 

spanning-tree mode rapid-pvst

no spanning-tree optimize bpdu transmission

spanning-tree extend system-id

 

 

interface FastEthernet0/xx

switchport mode access

spanning-tree bpdufilter enable

spanning-tree bpduguard enable

 

==============================

 

Конечно можно ограничивать количество mac на портах где это возникает, но это частичное решение.

____

PS пишу в первые и извиняюсь за оформление :)

Share this post


Link to post
Share on other sites

плохо проверяли. mac-move notification возникает если маки реально видны с нескольких портов. одно дело если это один определенный мак - возможно у двух разных сетевых устройств совпали (на асусовых матерях такое бывало и на роутерах дешевых), но если прыгает несколько маков - ищите петлю. смотрите по всему участку может где portfast включен со всеми вытекающими.

Share this post


Link to post
Share on other sites
плохо проверяли. mac-move notification возникает если маки реально видны с нескольких портов. одно дело если это один определенный мак - возможно у двух разных сетевых устройств совпали (на асусовых матерях такое бывало и на роутерах дешевых), но если прыгает несколько маков - ищите петлю. смотрите по всему участку может где portfast включен со всеми вытекающими.

 

Большое Спасибо за наводку!!!!

В моем случае применил:

 

mac-address-table notification interval 60

mac-address-table notification history-size 32

mac-address-table notification

 

И все пропало :)

(интервал и размер можно подбирать для различных сетей)

Share this post


Link to post
Share on other sites

Была у меня такая проблема с зукселями, но 5000,6000,1248,1212 на стыке с цисками 2950,3750,3400. Проблема была решена только установкой аггрегирующего зукселя 3124,3712,4726, без разницы. Главное поднять между ними Multiple Rapid Spanning Tree и петли не затрагивают циску.

 

И еще было много клиентов которые били подключены через зуксель по адсл и через циску по оптике, так после монтажа такой схемы в лучшем случае появлялся макфлапинг, а бывало и весь район падал. Циска с чужими петлями никак не рабирается, падает и все.

Share this post


Link to post
Share on other sites

Можно ли настроить порт абонента так, чтобы при возникновении флаппинга маков порт абонента гасился?

Свитч Циско.

Share this post


Link to post
Share on other sites

не

но задачу я не понял, с чем именно и каким образом может зафлапать мак на абонентском порту

Share this post


Link to post
Share on other sites

У меня такой прикол был когда монтажники, работающие на отшибе (район в 60 км) настроили пачку абонских роутеров, склонировав на них мак рабочего ноута. Все не вылазило до поры до времени пока район не объединили в один сегмент сети и один влан.

Share this post


Link to post
Share on other sites

чет на больную голову туплю сильно

хотя на цискофорумах советуют таки пользовать port-security

mac flap произойдет или при одинаковых маках, как пример выше или при петле

на абонских портах кроме как port-security

switchport port-security mac-address 1234.5678.9123

придумать ничего не могу, кроме как такой прибивки статикой мак адресов

другой защиты не нагуглил и придумать не могу.

Share this post


Link to post
Share on other sites

port-security конечно поможет, но прежде чем внедрять какое-то решение, надо понять от чего защищаемся.

 

в любом случае port-security не погасит порт в обоих случаях, его эффект будет в другом

одинаковые маки надо исправлять

а петля между двумя абонентскими портами - вы в это верите? такое случается только когда абоненты это другие сети, для ШПД это не актуально, а если и так, то лучше уж storm-control, вот он сможет погасить порт в случае петли

Share this post


Link to post
Share on other sites

Мак флапает при петле, когда фреймы по кругу бегают. Разок у меня цепочку свитчей доступа воткнули концами в разные аггрегирующие коммутаторы и весь кластер домов заколбасило.

Порт-сесурити это примитивная фича, она не умеет видеть флапинг, только ограничивает число маков на порту и конкретизирует эти самые разрешнные маки.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this