MrNv Опубликовано 20 июня, 2012 · Жалоба Добрый день, коллеги! Разъясните ситуацию пжалста, каталист WS-C6506 ведет себя как хаб. Т.е. есть пачка vlan'ов (допустим 100 шт.) по умолчанию на портах switchport trunk allowed vlan all. Трафик чужого vlan'а попадает на интерфейс в котором его быть не должно. Выглядит это так - настраиваю транковый порт - подключаю ноут с запущеным wireshark и вижу трафик всех vlan'ов на порту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
archilo Опубликовано 20 июня, 2012 · Жалоба Т.е. есть пачка vlan'ов (допустим 100 шт.) по умолчанию на портах switchport trunk allowed vlan all. Ноут подключен к транковому порту с vlan all? Тогда все правильно - allowed vlan all. Правда, есть еще и pruning, но это немного другое Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
f13 Опубликовано 20 июня, 2012 · Жалоба а видете вы наверно бродкаст и мультикаст, вот если уникаст то уже проблема Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tartila Опубликовано 20 июня, 2012 (изменено) · Жалоба Добрый день, коллеги! Разъясните ситуацию пжалста, каталист WS-C6506 ведет себя как хаб. Т.е. есть пачка vlan'ов (допустим 100 шт.) по умолчанию на портах switchport trunk allowed vlan all. Трафик чужого vlan'а попадает на интерфейс в котором его быть не должно. Выглядит это так - настраиваю транковый порт - подключаю ноут с запущеным wireshark и вижу трафик всех vlan'ов на порту. en conf t no hub behaviour На последнее ругнется, но должно помочь. Изменено 20 июня, 2012 пользователем tartila Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RialCom.ru Опубликовано 20 июня, 2012 · Жалоба Аеще такая железка очень неплохо ведет себя как вентилятор ВЕТЕРОК ;) или прикроватная тумба - можно выдвижные ящики туда приспособить! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 21 июня, 2012 · Жалоба от если уникаст то уже проблема в том то и проблема, что я видел unicast трафик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dazgluk Опубликовано 21 июня, 2012 · Жалоба от если уникаст то уже проблема в том то и проблема, что я видел unicast трафик. Это же коммутатор, если интерфейс, за которым находится MAC адрес назначения не известен, трафик летит во все порты кроме источника. А у вас - allowed vlan all. Нормальное поведение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 21 января, 2013 · Жалоба все еще не разобрался, вот пример трафика транзитного влана, настройка на интерфейсе снифера - добавлен только этот vlan vlan.zip Подскажите куда копать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bry1 Опубликовано 21 января, 2013 · Жалоба все еще не разобрался, вот пример трафика транзитного влана, настройка на интерфейсе снифера - добавлен только этот vlan vlan.zip Подскажите куда копать? Покопать вы можете в направлении multilayer switch и оголить хотя бы немного конфига. Это поспособствует правильному восприятию проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 21 января, 2013 · Жалоба конфиг какой интересует? интерфейсы стандартно настроены. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bry1 Опубликовано 21 января, 2013 · Жалоба конфиг какой интересует? интерфейсы стандартно настроены. В идеале весь с затертой личной инфой методом Х. Ну и указать порт с которого трафик снифали, т.к. в дампе кроме трафика native vlan (не тегируемый)других vlan id не увидел. Ну и подробнее описать ситуацию,т.е. почему вы думаете что трафик попадает в чужой интерфейс? (с switchport trunk allowed vlan all портами все понятно, через них может идти трафик любого vlan'a, что явно указано в команде. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 21 января, 2013 (изменено) · Жалоба Конфиг урезанный upgrade fpd auto version 12.2 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime service timestamps log datetime localtime show-timezone service password-encryption service internal service counters max age 10 service unsupported-transceiver ! ! ! logging rate-limit all 5 logging console warnings ! ! ! aaa session-id common clock timezone MSK 4 logging event link-status default ip subnet-zero no ip gratuitous-arps ip wccp version 1 ip rcmd rcp-enable ip rcmd rsh-enable ip rcmd source-interface Vlan777 ! ip nbar pdlm disk1:kazaa2.pdlm ip nbar pdlm disk1:directconnect.pdlm ip nbar pdlm disk1:bittorrent.pdlm ! ip nbar port-map custom-01 tcp 53256 ! no ip dhcp snooping verify mac-address ip dvmrp interoperability ip multicast route-limit 500 300 ip ssh version 2 ip igmp snooping limit track 128000 no ip igmp snooping cgmp auto-detect no ip igmp snooping ipv6 mfib hardware-switching replication-mode ingress rlogin trusted-remoteuser-source local rlogin trusted-localuser-source local vtp mode transparent mls ip slb purge global no mls acl tcam share-global mls netflow interface mls flow ip interface-full no mls flow ipv6 mls qos map cos-dscp 0 8 16 26 34 46 48 56 mls qos map ip-prec-dscp 0 8 16 26 34 46 48 56 mls qos mls cef error action reset mpls label protocol ldp ! ! spanning-tree mode mst spanning-tree loopguard default spanning-tree portfast edge bpdufilter default no spanning-tree optimize bpdu transmission spanning-tree extend system-id spanning-tree uplinkfast spanning-tree backbonefast spanning-tree mst 0 priority 24576 system jumbomtu 1552 diagnostic bootup level minimal diagnostic cns publish cisco.cns.device.diag_results diagnostic cns subscribe cisco.cns.device.diag_commands port-channel per-module load-balance ! vlan internal allocation policy ascending vlan access-log ratelimit 2000 ! interface Port-channel10 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 1-130,132,137,139-144,146,149-153,155-161,163 switchport trunk allowed vlan add 164,166,167,169-253,255,256,258-298,300-409 switchport trunk allowed vlan add 411-698,700,702-715,717-960,962-996,998-4094 switchport mode trunk logging event link-status logging event subif-link-status mls qos trust dscp ! interface Port-channel15 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 2,4-130,132-135,137,139-144,146,149-161,163,164 switchport trunk allowed vlan add 166,167,169-253,255,258-298,300-698,700-4094 switchport mode trunk mls qos trust dscp mvr type source ! interface FastEthernet3/25 description support-fl3-3 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 41 switchport mode trunk storm-control broadcast level 1.00 storm-control multicast level 1.00 no cdp enable spanning-tree portfast edge hold-queue 4096 in hold-queue 4096 out ! no ip http server no ip http secure-server ! control-plane ! ! dial-peer cor custom ! ! ! monitor session 3 source interface Po10 , Po15 , Po20 rx monitor session 3 source interface Gi1/13 monitor session 3 source interface Gi2/12 monitor session 3 source interface Po30 monitor session 3 filter vlan 22 , 252 , 222 monitor session 3 destination interface Po5 mac-address-table aging-time 480 ! end Описываю ситуацию: Есть vlan 41, который приходит из порта Po10 и уходит в порт Po15 Настраиваю порт 3/25 с одним vlan 41 и вижу его трафик, юникастовый! Еще ситуация, в месте с портом Po10 есть резервный линк который блокируется по STP, по графикам я вижу что трафик туда тоже льется. Изменено 21 января, 2013 пользователем MrNv Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bry1 Опубликовано 21 января, 2013 · Жалоба Скорее всего стандартное поведение коммутатора, если он не знает mac destanation (нету в таблице L2), подробнее по ссылке http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a00801d0808.shtml Во-втором же случае, предполагаю, тоже все в рамках приличия. STP реализации RPVST+ и PVST, например, блокирую порт не полностью, а на основе vlan. Т.е. для каждого vlan'a строиться дерево от root bridge (который для разных vlan'ов тоже может быть разный),и, соответственно, один и тот же порт может быть блокирован для одного трафика и открыт для другого vlan'a на основе path cost. Многое справедливо и для MST. Тут подробнее и со ссылками на смежные темы: http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/release/12.1_19_ea1/configuration/guide/swmstp.html#wp1035968 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 21 января, 2013 · Жалоба в STP у нас protocol mstp c 1 инстанцией. по поводу mac- dst я бы понял если это было бы разовое явление, но трафик льется постоянно. По графикам в блокируемом интерфейсе до 300 мбит трафика разных вланов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 22 января, 2013 · Жалоба а в таблице коммутации есть мак, на который льётся трафик? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 23 января, 2013 · Жалоба Да мак есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 12 августа, 2013 · Жалоба Если кому интересно, то такое поведение коммутатора вызывала работа протокола STP, в частности очень частые TCN BPDU. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 12 августа, 2013 · Жалоба Неделя STP на НАГ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...