cisco WS-C6506 ведет себя как хаб

[MrNv]

Добрый день, коллеги!

Разъясните ситуацию пжалста, каталист WS-C6506 ведет себя как хаб.

Т.е. есть пачка vlan'ов (допустим 100 шт.) по умолчанию на портах switchport trunk allowed vlan all.

Трафик чужого vlan'а попадает на интерфейс в котором его быть не должно.

Выглядит это так - настраиваю транковый порт - подключаю ноут с запущеным wireshark и вижу трафик всех vlan'ов на порту.

[archilo]

Т.е. есть пачка vlan'ов (допустим 100 шт.) по умолчанию на портах switchport trunk allowed vlan all.

Ноут подключен к транковому порту с vlan all?

Тогда все правильно - allowed vlan all.

Правда, есть еще и pruning, но это немного другое

[f13]

а видете вы наверно бродкаст и мультикаст, вот если уникаст то уже проблема

[tartila]

Добрый день, коллеги!

Разъясните ситуацию пжалста, каталист WS-C6506 ведет себя как хаб.

Т.е. есть пачка vlan'ов (допустим 100 шт.) по умолчанию на портах switchport trunk allowed vlan all.

Трафик чужого vlan'а попадает на интерфейс в котором его быть не должно.

Выглядит это так - настраиваю транковый порт - подключаю ноут с запущеным wireshark и вижу трафик всех vlan'ов на порту.

 

en
conf t
no hub behaviour

 

На последнее ругнется, но должно помочь.

Edited June 20, 2012 by tartila

[RialCom.ru]

Аеще такая железка очень неплохо ведет себя как вентилятор ВЕТЕРОК ;) или прикроватная тумба - можно выдвижные ящики туда приспособить!

[MrNv]

от если уникаст то уже проблема

в том то и проблема, что я видел unicast трафик.

[dazgluk]

от если уникаст то уже проблема

в том то и проблема, что я видел unicast трафик.

Это же коммутатор, если интерфейс, за которым находится MAC адрес назначения не известен, трафик летит во все порты кроме источника. А у вас - allowed vlan all. Нормальное поведение.

[MrNv]

все еще не разобрался,

вот пример трафика транзитного влана, настройка на интерфейсе снифера - добавлен только этот vlan

vlan.zip

 

Подскажите куда копать?

[bry1]

все еще не разобрался,

вот пример трафика транзитного влана, настройка на интерфейсе снифера - добавлен только этот vlan

vlan.zip

 

Подскажите куда копать?

Покопать вы можете в направлении multilayer switch и оголить хотя бы немного конфига. Это поспособствует правильному восприятию проблемы.

[MrNv]

конфиг какой интересует?

интерфейсы стандартно настроены.

[bry1]

конфиг какой интересует?

интерфейсы стандартно настроены.

В идеале весь с затертой личной инфой методом Х. Ну и указать порт с которого трафик снифали, т.к. в дампе кроме трафика native vlan (не тегируемый)других vlan id не увидел. Ну и подробнее описать ситуацию,т.е. почему вы думаете что трафик попадает в чужой интерфейс? (с switchport trunk allowed vlan all портами все понятно, через них может идти трафик любого vlan'a, что явно указано в команде.

[MrNv]

Конфиг урезанный

upgrade fpd auto
version 12.2
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime
service timestamps log datetime localtime show-timezone
service password-encryption
service internal
service counters max age 10
service unsupported-transceiver
!
!
!
logging rate-limit all 5
logging console warnings
!

!
!
aaa session-id common
clock timezone MSK 4
logging event link-status default
ip subnet-zero
no ip gratuitous-arps
ip wccp version 1
ip rcmd rcp-enable
ip rcmd rsh-enable
ip rcmd source-interface Vlan777
!
ip nbar pdlm disk1:kazaa2.pdlm
ip nbar pdlm disk1:directconnect.pdlm
ip nbar pdlm disk1:bittorrent.pdlm
!
ip nbar port-map custom-01 tcp 53256 

!
no ip dhcp snooping verify mac-address
ip dvmrp interoperability
ip multicast route-limit 500 300
ip ssh version 2
ip igmp snooping limit track 128000
no ip igmp snooping cgmp auto-detect
no ip igmp snooping
ipv6 mfib hardware-switching replication-mode ingress
rlogin trusted-remoteuser-source local
rlogin trusted-localuser-source local
vtp mode transparent
mls ip slb purge global
no mls acl tcam share-global
mls netflow interface
mls flow ip interface-full
no mls flow ipv6
mls qos map cos-dscp 0 8 16 26 34 46 48 56
mls qos map ip-prec-dscp 0 8 16 26 34 46 48 56
mls qos
mls cef error action reset

mpls label protocol ldp
!
!

spanning-tree mode mst
spanning-tree loopguard default
spanning-tree portfast edge bpdufilter default
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
spanning-tree uplinkfast
spanning-tree backbonefast
spanning-tree mst 0 priority 24576
system jumbomtu 1552
diagnostic bootup level minimal
diagnostic cns publish cisco.cns.device.diag_results
diagnostic cns subscribe cisco.cns.device.diag_commands
port-channel per-module load-balance
!
vlan internal allocation policy ascending
vlan access-log ratelimit 2000
!
interface Port-channel10
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1-130,132,137,139-144,146,149-153,155-161,163
switchport trunk allowed vlan add 164,166,167,169-253,255,256,258-298,300-409
switchport trunk allowed vlan add 411-698,700,702-715,717-960,962-996,998-4094
switchport mode trunk
logging event link-status
logging event subif-link-status
mls qos trust dscp
!
interface Port-channel15
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,4-130,132-135,137,139-144,146,149-161,163,164
switchport trunk allowed vlan add 166,167,169-253,255,258-298,300-698,700-4094
switchport mode trunk
mls qos trust dscp
mvr type source
!
interface FastEthernet3/25
description support-fl3-3
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 41
switchport mode trunk
storm-control broadcast level 1.00
storm-control multicast level 1.00
no cdp enable
spanning-tree portfast edge
hold-queue 4096 in
hold-queue 4096 out
!
no ip http server
no ip http secure-server
!
control-plane
!
!
dial-peer cor custom
!
!
!
monitor session 3 source interface Po10 , Po15 , Po20 rx
monitor session 3 source interface Gi1/13
monitor session 3 source interface Gi2/12
monitor session 3 source interface Po30
monitor session 3 filter vlan 22 , 252 , 222
monitor session 3 destination interface Po5

mac-address-table aging-time 480
!
end

 

Описываю ситуацию:

Есть vlan 41, который приходит из порта Po10 и уходит в порт Po15

Настраиваю порт 3/25 с одним vlan 41 и вижу его трафик, юникастовый!

Еще ситуация, в месте с портом Po10 есть резервный линк который блокируется по STP, по графикам я вижу что трафик туда тоже льется.

Edited January 21, 2013 by MrNv

[bry1]

Скорее всего стандартное поведение коммутатора, если он не знает mac destanation (нету в таблице L2), подробнее по ссылке http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a00801d0808.shtml

Во-втором же случае, предполагаю, тоже все в рамках приличия. STP реализации RPVST+ и PVST, например, блокирую порт не полностью, а на основе vlan. Т.е. для каждого vlan'a строиться дерево от root bridge (который для разных vlan'ов тоже может быть разный),и, соответственно, один и тот же порт может быть блокирован для одного трафика и открыт для другого vlan'a на основе path cost. Многое справедливо и для MST. Тут подробнее и со ссылками на смежные темы: http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/release/12.1_19_ea1/configuration/guide/swmstp.html#wp1035968

[MrNv]

в STP у нас protocol mstp c 1 инстанцией.

по поводу mac- dst я бы понял если это было бы разовое явление, но трафик льется постоянно. По графикам в блокируемом интерфейсе до 300 мбит трафика разных вланов.

[zstas]

а в таблице коммутации есть мак, на который льётся трафик?

[MrNv]

Да мак есть.

[MrNv]

Если кому интересно, то такое поведение коммутатора вызывала работа протокола STP, в частности очень частые TCN BPDU.

[dignity]

Неделя STP на НАГ)))