Перейти к содержимому
Калькуляторы

cisco WS-C6506 ведет себя как хаб

Добрый день, коллеги!

Разъясните ситуацию пжалста, каталист WS-C6506 ведет себя как хаб.

Т.е. есть пачка vlan'ов (допустим 100 шт.) по умолчанию на портах switchport trunk allowed vlan all.

Трафик чужого vlan'а попадает на интерфейс в котором его быть не должно.

Выглядит это так - настраиваю транковый порт - подключаю ноут с запущеным wireshark и вижу трафик всех vlan'ов на порту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Т.е. есть пачка vlan'ов (допустим 100 шт.) по умолчанию на портах switchport trunk allowed vlan all.

Ноут подключен к транковому порту с vlan all?

Тогда все правильно - allowed vlan all.

Правда, есть еще и pruning, но это немного другое

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а видете вы наверно бродкаст и мультикаст, вот если уникаст то уже проблема

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день, коллеги!

Разъясните ситуацию пжалста, каталист WS-C6506 ведет себя как хаб.

Т.е. есть пачка vlan'ов (допустим 100 шт.) по умолчанию на портах switchport trunk allowed vlan all.

Трафик чужого vlan'а попадает на интерфейс в котором его быть не должно.

Выглядит это так - настраиваю транковый порт - подключаю ноут с запущеным wireshark и вижу трафик всех vlan'ов на порту.

 

en
conf t
no hub behaviour

 

На последнее ругнется, но должно помочь.

Изменено пользователем tartila

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Аеще такая железка очень неплохо ведет себя как вентилятор ВЕТЕРОК ;) или прикроватная тумба - можно выдвижные ящики туда приспособить!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

от если уникаст то уже проблема

в том то и проблема, что я видел unicast трафик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

от если уникаст то уже проблема

в том то и проблема, что я видел unicast трафик.

Это же коммутатор, если интерфейс, за которым находится MAC адрес назначения не известен, трафик летит во все порты кроме источника. А у вас - allowed vlan all. Нормальное поведение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

все еще не разобрался,

вот пример трафика транзитного влана, настройка на интерфейсе снифера - добавлен только этот vlan

vlan.zip

 

Подскажите куда копать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

все еще не разобрался,

вот пример трафика транзитного влана, настройка на интерфейсе снифера - добавлен только этот vlan

vlan.zip

 

Подскажите куда копать?

Покопать вы можете в направлении multilayer switch и оголить хотя бы немного конфига. Это поспособствует правильному восприятию проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

конфиг какой интересует?

интерфейсы стандартно настроены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

конфиг какой интересует?

интерфейсы стандартно настроены.

В идеале весь с затертой личной инфой методом Х. Ну и указать порт с которого трафик снифали, т.к. в дампе кроме трафика native vlan (не тегируемый)других vlan id не увидел. Ну и подробнее описать ситуацию,т.е. почему вы думаете что трафик попадает в чужой интерфейс? (с switchport trunk allowed vlan all портами все понятно, через них может идти трафик любого vlan'a, что явно указано в команде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конфиг урезанный

upgrade fpd auto
version 12.2
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime
service timestamps log datetime localtime show-timezone
service password-encryption
service internal
service counters max age 10
service unsupported-transceiver
!
!
!
logging rate-limit all 5
logging console warnings
!

!
!
aaa session-id common
clock timezone MSK 4
logging event link-status default
ip subnet-zero
no ip gratuitous-arps
ip wccp version 1
ip rcmd rcp-enable
ip rcmd rsh-enable
ip rcmd source-interface Vlan777
!
ip nbar pdlm disk1:kazaa2.pdlm
ip nbar pdlm disk1:directconnect.pdlm
ip nbar pdlm disk1:bittorrent.pdlm
!
ip nbar port-map custom-01 tcp 53256 

!
no ip dhcp snooping verify mac-address
ip dvmrp interoperability
ip multicast route-limit 500 300
ip ssh version 2
ip igmp snooping limit track 128000
no ip igmp snooping cgmp auto-detect
no ip igmp snooping
ipv6 mfib hardware-switching replication-mode ingress
rlogin trusted-remoteuser-source local
rlogin trusted-localuser-source local
vtp mode transparent
mls ip slb purge global
no mls acl tcam share-global
mls netflow interface
mls flow ip interface-full
no mls flow ipv6
mls qos map cos-dscp 0 8 16 26 34 46 48 56
mls qos map ip-prec-dscp 0 8 16 26 34 46 48 56
mls qos
mls cef error action reset

mpls label protocol ldp
!
!

spanning-tree mode mst
spanning-tree loopguard default
spanning-tree portfast edge bpdufilter default
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
spanning-tree uplinkfast
spanning-tree backbonefast
spanning-tree mst 0 priority 24576
system jumbomtu 1552
diagnostic bootup level minimal
diagnostic cns publish cisco.cns.device.diag_results
diagnostic cns subscribe cisco.cns.device.diag_commands
port-channel per-module load-balance
!
vlan internal allocation policy ascending
vlan access-log ratelimit 2000
!
interface Port-channel10
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1-130,132,137,139-144,146,149-153,155-161,163
switchport trunk allowed vlan add 164,166,167,169-253,255,256,258-298,300-409
switchport trunk allowed vlan add 411-698,700,702-715,717-960,962-996,998-4094
switchport mode trunk
logging event link-status
logging event subif-link-status
mls qos trust dscp
!
interface Port-channel15
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,4-130,132-135,137,139-144,146,149-161,163,164
switchport trunk allowed vlan add 166,167,169-253,255,258-298,300-698,700-4094
switchport mode trunk
mls qos trust dscp
mvr type source
!
interface FastEthernet3/25
description support-fl3-3
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 41
switchport mode trunk
storm-control broadcast level 1.00
storm-control multicast level 1.00
no cdp enable
spanning-tree portfast edge
hold-queue 4096 in
hold-queue 4096 out
!
no ip http server
no ip http secure-server
!
control-plane
!
!
dial-peer cor custom
!
!
!
monitor session 3 source interface Po10 , Po15 , Po20 rx
monitor session 3 source interface Gi1/13
monitor session 3 source interface Gi2/12
monitor session 3 source interface Po30
monitor session 3 filter vlan 22 , 252 , 222
monitor session 3 destination interface Po5

mac-address-table aging-time 480
!
end

 

Описываю ситуацию:

Есть vlan 41, который приходит из порта Po10 и уходит в порт Po15

Настраиваю порт 3/25 с одним vlan 41 и вижу его трафик, юникастовый!

Еще ситуация, в месте с портом Po10 есть резервный линк который блокируется по STP, по графикам я вижу что трафик туда тоже льется.

Изменено пользователем MrNv

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скорее всего стандартное поведение коммутатора, если он не знает mac destanation (нету в таблице L2), подробнее по ссылке http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a00801d0808.shtml

Во-втором же случае, предполагаю, тоже все в рамках приличия. STP реализации RPVST+ и PVST, например, блокирую порт не полностью, а на основе vlan. Т.е. для каждого vlan'a строиться дерево от root bridge (который для разных vlan'ов тоже может быть разный),и, соответственно, один и тот же порт может быть блокирован для одного трафика и открыт для другого vlan'a на основе path cost. Многое справедливо и для MST. Тут подробнее и со ссылками на смежные темы: http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/release/12.1_19_ea1/configuration/guide/swmstp.html#wp1035968

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в STP у нас protocol mstp c 1 инстанцией.

по поводу mac- dst я бы понял если это было бы разовое явление, но трафик льется постоянно. По графикам в блокируемом интерфейсе до 300 мбит трафика разных вланов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а в таблице коммутации есть мак, на который льётся трафик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если кому интересно, то такое поведение коммутатора вызывала работа протокола STP, в частности очень частые TCN BPDU.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас