[Tem]

Подскажите, пжлста, чтот не могу разобраться как включить лупбек детект на 2950.

cisco WS-C2950T-24 (RC32300) processor (revision G0) with 19912K bytes of memory.
Processor board ID FHK0703Y18F
Last reset from system-reset
Running Enhanced Image
24 FastEthernet/IEEE 802.3 interface(s)
2 Gigabit Ethernet/IEEE 802.3 interface(s)
System image file is "flash:/c2950-i6k2l2q4-mz.121-22.EA13.bin"

В порт fastEthernet 0/1 втыкаю мыльницу и делаю на ней петлю, но порт не тушится и в консоль ничего не пишет

sh errdisable detect показывает, что loopback Enabled

На интерфейсе в етот момент FastEthernet0/1 is up, line protocol is up (connected)

[catalist]

дайте sh run int fa 0/1 чтоли...

[a-zazell]

Я думал петля будет, если мыльницу двумя портами в каталист, а в 3ий порт (мыльницы) мак подать.

 

Мыльница = HUB тупой, верно ?

[Tem]

Мыльница - ет dlink des-1005, первым концом в порт каталиста, а 2 и 3 соединяю между собой. На des-3200 такая петля сравузу гасится.

 

interface FastEthernet0/1
switchport access vlan 101
switchport mode access

Изменено 14 ноября, 2012 пользователем Tem

[a-zazell]

Мыльница - ет dlink des-1005, первым концом в порт каталиста, а 2 и 3 соединяю между собой. На des-3200 такая петля сравузу гасится.

 

interface FastEthernet0/1
switchport access vlan 101
switchport mode access

 

Чет не пойму (=. Вот

лаба с наглядным изображением петли

[zi_rus]

это не о том

а вообще интересный вопрос, был бы приборчик чтобы встать посреди линка между свичами и все отснифать, это ж такой трафик, мирроринг может не сработать

[Tem]

Мне надо тупо отрубать абонентский порт, если абон у себя дома поставит мыльницу и закольцует её. На длинках ето делается в пару строк,

enable loopdetect 
config loopdetect ports 1-24 state enabled
config loopdetect recover_timer 60 interval 10 mode port-based

а вот как ето сделать на каталисте понять не могу.

[zi_rus]

это я понял

на циске это keepalive в настройках интерфейса, настроить не сложно, но по-умолчанию он уже включен, поэтому у меня вопрос почему оно не заработало сразу

или у вас оно оказалось по-умолчанию отключено ("sh int fa0/1 | i eep") или тот длинк не пропустил через себя цисковский keepalive, тогда возникает вопрос почему

[Tem]

sh int fa0/1 | i eep

Keepalive set (10 sec)

[mukca]

луп детект не для этого предназначен. (он у всех брендов по разно работает и логика идиотская как правило..) лучше боротся с кольцеванием с помощью stp

вам надо включить на порту

spanning-tree bpduguard enable

(если это клиентский порт и дальше нет оборудования работающего с кольцами...)

по идее свитч должен поймать свой bpdu пакетик вернувшийся с кольца и выключить порт

[zi_rus]

да, я тут покопался в сети, есть Configuration test Protocol, keepalive относятся к той его функции которая проверяет состояние линка они шлются с src_mac==dst_mac свича, а loopdetect это вторая функция этого протокола, фреймы шлются src_mac=switch_mac dst_mac=cf:00:00:00:00:00, и циска их не шлет, и вообще не нашел ни одной команды как это включить, не буду говорить сколько еще я бреда нашел, но в общем, да ищи другой способ защиты

[tartila]

Подскажите, пжлста, чтот не могу разобраться как включить лупбек детект на 2950.

cisco WS-C2950T-24 (RC32300) processor (revision G0) with 19912K bytes of memory.
Processor board ID FHK0703Y18F
Last reset from system-reset
Running Enhanced Image
24 FastEthernet/IEEE 802.3 interface(s)
2 Gigabit Ethernet/IEEE 802.3 interface(s)
System image file is "flash:/c2950-i6k2l2q4-mz.121-22.EA13.bin"

В порт fastEthernet 0/1 втыкаю мыльницу и делаю на ней петлю, но порт не тушится и в консоль ничего не пишет

sh errdisable detect показывает, что loopback Enabled

На интерфейсе в етот момент FastEthernet0/1 is up, line protocol is up (connected)

 

У D-Link и Cisco разная логика в петлеловлении... Поэтому добавляем в третий порт мыльницы комп, прописываем IP и что-нить пингаем из VLAN.

[a-zazell]

Поделал лабы с DIR-100 Switch Mode (default config: all ports Vlan1 access) и Cisco c3550-48 и c2950.

В общем, всегда выручает Storm-control, причем стоит прописывать как бродкаст, так и мультикаст (схема 1 линк на ДИР + замыкание 2ух портов на ДИРе):

 

c2950#sh int fa0/1 counters

Port            InOctets   InUcastPkts   InMcastPkts   InBcastPkts
Fa0/1           31991824             0        361969             0

Port           OutOctets  OutUcastPkts  OutMcastPkts  OutBcastPkts
Fa0/1              12867             4           173             0

 

Spann-tree bpfuguard:

 

c2950(config-if)#do sh run int fa0/1
Building configuration...

Current configuration : 141 bytes
!
interface FastEthernet0/1
switchport mode access
shutdown
down-when-looped
spanning-tree portfast
spanning-tree bpduguard enable
end

c2950(config-if)#no sh
c2950(config-if)#
06:03:46: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
06:03:46: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port.
06:03:46: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/1, putting Fa0/1 in err-disable state
06:03:48: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
06:04:16: %PM-4-ERR_RECOVER: Attempting to recover from bpduguard err-disable state on Fa0/1
06:04:18: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port.
06:04:18: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/1, putting Fa0/1 in err-disable state

 

Storm-control:

 

c2950(config-if)#do sh run int fa0/1
Building configuration...

Current configuration : 212 bytes
!
interface FastEthernet0/1
switchport mode access
shutdown
storm-control broadcast level 3.00
storm-control multicast level 3.00
storm-control action shutdown
down-when-looped
spanning-tree portfast
end

c2950(config-if)#no sh
c2950(config-if)#
06:06:27: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
06:06:27: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk FastEthernet0/1 VLAN1.
06:06:27: %SPANTREE-7-BLOCK_PORT_TYPE: Blocking FastEthernet0/1 on VLAN0001. Inconsistent port type.
06:06:28: %STORM_CONTROL-2-SHUTDOWN: Storm control shut down FastEthernet0/1
06:06:29: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down

 

А вот без Storm-Control и BPDUGuard:

 

c2950(config)#spanning-tree loopguard default
c2950(config)#int fa0/1
c2950(config-if)#do sh run int fa0/1
Building configuration...

Current configuration : 109 bytes
!
interface FastEthernet0/1
switchport mode access
shutdown
down-when-looped
spanning-tree portfast
end

c2950(config-if)#do clear count
Clear "show interface" counters on all interfaces [confirm]
c2950(config-if)#
06:11:00: %CLEAR-5-COUNTERS: Clear counter on all interfaces by console
c2950(config-if)#no sh
c2950(config-if)#
06:11:36: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
06:11:36: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk FastEthernet0/1 VLAN1.
06:11:36: %SPANTREE-7-BLOCK_PORT_TYPE: Blocking FastEthernet0/1 on VLAN0001. Inconsistent port type.
06:11:37: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
c2950(config-if)#do sh int fa0/1 counter

Port            InOctets   InUcastPkts   InMcastPkts   InBcastPkts
Fa0/1           31305648             0        357929             0

Port           OutOctets  OutUcastPkts  OutMcastPkts  OutBcastPkts
Fa0/1                256             4             0             0
c2950(config-if)#do sh int fa0/1 counter

Port            InOctets   InUcastPkts   InMcastPkts   InBcastPkts
Fa0/1           34567400             0        395218             0

Port           OutOctets  OutUcastPkts  OutMcastPkts  OutBcastPkts
Fa0/1                256             4             0             0
c2950(config-if)#

 

 

Команда down-when-looped тоже работает, замыкаем Оранжевобелый на Зелено-Белый, Оранж на Зеленый (1 на 3, 2 на 6) и видим:

 

05:57:21: %ANGNP-3-LOOP_BACK_DETECTED: Loop-back detected on FastEthernet0/2.

 

Если интересно, могу схемки приложить.

Изменено 20 ноября, 2012 пользователем a-zazell

[biox]

Подскажите, пжлста, чтот не могу разобраться как включить лупбек детект на 2950.

Дружще нужно отделять

1) кольцо между портами глиста и

2) кольцо, образовавшееся за одним из портов того же глиста - это разные вещи.

 

И не все свичи, детектирующие петлю между портами, умеют второе.

 

Мыльница = HUB тупой, верно ?

Не верно. Мыльница это коммутатор, а не хаб.

[Hadge_hog]

Бывает два варианта Loopback detection

- на основе протокола STP

- на основе протокола LBD

 

STP LBD не может определить петлю с порта на этот же порт.

Loopdetect может определить только петлю с порта на этот же порт.

 

На циске надо смореть что у них там по дефолту т.е. на основе чего работает loopback detect

[casperrr]

Не знаю, как кто что шлет. А у меня на один порт циско-роутера со стороны провайдера сыплется вот такая штука интервалами ровно по 10 сек.

 

12:36:32.956958 00:0b:5f:52:00:01 > 00:0b:5f:52:00:01, ethertype Loopback (0x9000), length 60:

12:36:42.957394 00:0b:5f:52:00:01 > 00:0b:5f:52:00:01, ethertype Loopback (0x9000), length 60:

12:36:52.957804 00:0b:5f:52:00:01 > 00:0b:5f:52:00:01, ethertype Loopback (0x9000), length 60:

 

http://www.ciscosystems.com/en/US/tech/tk389/tk621/technologies_tech_note09186a00806cd87b.shtml

 

Loopback error

 

A loopback error occurs when the keepalive packet is looped back to the port that sent the keepalive. The switch sends keepalives out all the interfaces by default. A device can loop the packets back to the source interface, which usually occurs because there is a logical loop in the network that the spanning tree has not blocked. The source interface receives the keepalive packet that it sent out, and the switch disables the interface (errdisable). This message occurs because the keepalive packet is looped back to the port that sent the keepalive:

 

%PM-4-ERR_DISABLE: loopback error detected on Gi4/1, putting Gi4/1 in

err-disable state

[Negator]

Не знаю, как кто что шлет. А у меня на один порт циско-роутера со стороны провайдера сыплется вот такая штука интервалами ровно по 10 сек.

Это длинковский лупдетект. Все правильно, так и должно быть.

[sherwood]

Дружще нужно отделять

1) кольцо между портами глиста и

2) кольцо, образовавшееся за одним из портов того же глиста - это разные вещи.

а кто то доказывает обратно?

 

И не все свичи, детектирующие петлю между портами, умеют второе.

как то трудно предположить на коммутаторе доступа 2950 перво (петлю между портами 2950), а вот второе как раз повсеместно, и если 2950 этого не умеет, то это Боооольшой минус.

[sherwood]

да, это:

interface FastEthernet0/1
switchport mode access
storm-control broadcast level 3.00
storm-control multicast level 3.00
storm-control action shutdown
down-when-looped
spanning-tree portfast

срабатывает моментально, только вот не совсем удобно включать вручную порт после блокировки, в настройках storm-control на интерфейсе ни чего не нашел, может есть другой механизм?

[catalist]

меня тема тоже очень заинтеррисовала, сам щас лабы кручу в этом направлении.

вопрос к sherwood, а нафига на порту сделано spanning-tree portfast ?

на сколько я помню это отключает проверку на петлю на данном порте, и эта команда должна задаваться только если к порту подключено конечное устройство типа компа....

 

и у меня почему то шторм контрол не отработал, в смысле порт не заблочил, когда я два порта каталиста патчем соеденил.

Изменено 7 февраля, 2013 пользователем catalist

[zi_rus]

срабатывает моментально, только вот не совсем удобно включать вручную порт после блокировки, в настройках storm-control на интерфейсе ни чего не нашел, может есть другой механизм?

err-disable recovery

 

вопрос к sherwood, а нафига на порту сделано spanning-tree portfast ?

portfast не отключает stp на порту

[casperrr]

меня тема тоже очень заинтеррисовала, сам щас лабы кручу в этом направлении.

вопрос к sherwood, а нафига на порту сделано spanning-tree portfast ?

на сколько я помню это отключает проверку на петлю на данном порте, и эта команда должна задаваться только если к порту подключено конечное устройство типа компа....

 

и у меня почему то шторм контрол не отработал, в смысле порт не заблочил, когда я два порта каталиста патчем соеденил.

 

Портфаст не отключает проверку и не отключает стп на порту. Портфаст сразу переводит порт в форвардинг минуя все предыдущие фазы стп. Но если там на порту "обернется" бпду-шка, то если бпду-гуард включен - порт уйдет в еррдизэйбл, если нет - отработают стандартные механизмы стп и там уже по результату, но так или иначе петля будет устранена изменением топологии.

[sherwood]

err-disable recovery

глобально? не помогает, все равно не поднимается

 

Портфаст не отключает проверку и не отключает стп на порту. Портфаст сразу переводит порт в форвардинг минуя все предыдущие фазы стп. Но если там на порту "обернется" бпду-шка, то если бпду-гуард включен - порт уйдет в еррдизэйбл, если нет - отработают стандартные механизмы стп и там уже по результату, но так или иначе петля будет устранена изменением топологии.

золотые слова, можно еще увидеть правила которые это делают? потому как включение глобально еррдизэйбл и на интерфейсе бпду-гуард, то порт как был поднятым так и остается, ну и далее происходит то что и должно происходить когда появляется петля, коммутатор виснет, то есть доступа к нему нет.

[zi_rus]

errdisable recovery cause storm-control

errdisable recovery interval 30

 

должно поднимать

[a-zazell]

По поводу петель, кто-нибудь вешает storm-control на аплинки ?