Tem Опубликовано 14 ноября, 2012 · Жалоба Подскажите, пжлста, чтот не могу разобраться как включить лупбек детект на 2950. cisco WS-C2950T-24 (RC32300) processor (revision G0) with 19912K bytes of memory. Processor board ID FHK0703Y18F Last reset from system-reset Running Enhanced Image 24 FastEthernet/IEEE 802.3 interface(s) 2 Gigabit Ethernet/IEEE 802.3 interface(s) System image file is "flash:/c2950-i6k2l2q4-mz.121-22.EA13.bin" В порт fastEthernet 0/1 втыкаю мыльницу и делаю на ней петлю, но порт не тушится и в консоль ничего не пишет sh errdisable detect показывает, что loopback Enabled На интерфейсе в етот момент FastEthernet0/1 is up, line protocol is up (connected) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
catalist Опубликовано 14 ноября, 2012 · Жалоба дайте sh run int fa 0/1 чтоли... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a-zazell Опубликовано 14 ноября, 2012 · Жалоба Я думал петля будет, если мыльницу двумя портами в каталист, а в 3ий порт (мыльницы) мак подать. Мыльница = HUB тупой, верно ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 14 ноября, 2012 (изменено) · Жалоба Мыльница - ет dlink des-1005, первым концом в порт каталиста, а 2 и 3 соединяю между собой. На des-3200 такая петля сравузу гасится. interface FastEthernet0/1 switchport access vlan 101 switchport mode access Изменено 14 ноября, 2012 пользователем Tem Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a-zazell Опубликовано 14 ноября, 2012 · Жалоба Мыльница - ет dlink des-1005, первым концом в порт каталиста, а 2 и 3 соединяю между собой. На des-3200 такая петля сравузу гасится. interface FastEthernet0/1 switchport access vlan 101 switchport mode access Чет не пойму (=. Вот лаба с наглядным изображением петли Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 14 ноября, 2012 · Жалоба это не о том а вообще интересный вопрос, был бы приборчик чтобы встать посреди линка между свичами и все отснифать, это ж такой трафик, мирроринг может не сработать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 14 ноября, 2012 · Жалоба Мне надо тупо отрубать абонентский порт, если абон у себя дома поставит мыльницу и закольцует её. На длинках ето делается в пару строк, enable loopdetect config loopdetect ports 1-24 state enabled config loopdetect recover_timer 60 interval 10 mode port-based а вот как ето сделать на каталисте понять не могу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 14 ноября, 2012 · Жалоба это я понял на циске это keepalive в настройках интерфейса, настроить не сложно, но по-умолчанию он уже включен, поэтому у меня вопрос почему оно не заработало сразу или у вас оно оказалось по-умолчанию отключено ("sh int fa0/1 | i eep") или тот длинк не пропустил через себя цисковский keepalive, тогда возникает вопрос почему Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 14 ноября, 2012 · Жалоба sh int fa0/1 | i eep Keepalive set (10 sec) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 15 ноября, 2012 · Жалоба луп детект не для этого предназначен. (он у всех брендов по разно работает и логика идиотская как правило..) лучше боротся с кольцеванием с помощью stp вам надо включить на порту spanning-tree bpduguard enable (если это клиентский порт и дальше нет оборудования работающего с кольцами...) по идее свитч должен поймать свой bpdu пакетик вернувшийся с кольца и выключить порт Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 15 ноября, 2012 · Жалоба да, я тут покопался в сети, есть Configuration test Protocol, keepalive относятся к той его функции которая проверяет состояние линка они шлются с src_mac==dst_mac свича, а loopdetect это вторая функция этого протокола, фреймы шлются src_mac=switch_mac dst_mac=cf:00:00:00:00:00, и циска их не шлет, и вообще не нашел ни одной команды как это включить, не буду говорить сколько еще я бреда нашел, но в общем, да ищи другой способ защиты Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tartila Опубликовано 15 ноября, 2012 · Жалоба Подскажите, пжлста, чтот не могу разобраться как включить лупбек детект на 2950. cisco WS-C2950T-24 (RC32300) processor (revision G0) with 19912K bytes of memory. Processor board ID FHK0703Y18F Last reset from system-reset Running Enhanced Image 24 FastEthernet/IEEE 802.3 interface(s) 2 Gigabit Ethernet/IEEE 802.3 interface(s) System image file is "flash:/c2950-i6k2l2q4-mz.121-22.EA13.bin" В порт fastEthernet 0/1 втыкаю мыльницу и делаю на ней петлю, но порт не тушится и в консоль ничего не пишет sh errdisable detect показывает, что loopback Enabled На интерфейсе в етот момент FastEthernet0/1 is up, line protocol is up (connected) У D-Link и Cisco разная логика в петлеловлении... Поэтому добавляем в третий порт мыльницы комп, прописываем IP и что-нить пингаем из VLAN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a-zazell Опубликовано 20 ноября, 2012 (изменено) · Жалоба Поделал лабы с DIR-100 Switch Mode (default config: all ports Vlan1 access) и Cisco c3550-48 и c2950. В общем, всегда выручает Storm-control, причем стоит прописывать как бродкаст, так и мультикаст (схема 1 линк на ДИР + замыкание 2ух портов на ДИРе): c2950#sh int fa0/1 counters Port InOctets InUcastPkts InMcastPkts InBcastPkts Fa0/1 31991824 0 361969 0 Port OutOctets OutUcastPkts OutMcastPkts OutBcastPkts Fa0/1 12867 4 173 0 Spann-tree bpfuguard: c2950(config-if)#do sh run int fa0/1 Building configuration... Current configuration : 141 bytes ! interface FastEthernet0/1 switchport mode access shutdown down-when-looped spanning-tree portfast spanning-tree bpduguard enable end c2950(config-if)#no sh c2950(config-if)# 06:03:46: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up 06:03:46: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port. 06:03:46: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/1, putting Fa0/1 in err-disable state 06:03:48: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down 06:04:16: %PM-4-ERR_RECOVER: Attempting to recover from bpduguard err-disable state on Fa0/1 06:04:18: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port. 06:04:18: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/1, putting Fa0/1 in err-disable state Storm-control: c2950(config-if)#do sh run int fa0/1 Building configuration... Current configuration : 212 bytes ! interface FastEthernet0/1 switchport mode access shutdown storm-control broadcast level 3.00 storm-control multicast level 3.00 storm-control action shutdown down-when-looped spanning-tree portfast end c2950(config-if)#no sh c2950(config-if)# 06:06:27: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down 06:06:27: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk FastEthernet0/1 VLAN1. 06:06:27: %SPANTREE-7-BLOCK_PORT_TYPE: Blocking FastEthernet0/1 on VLAN0001. Inconsistent port type. 06:06:28: %STORM_CONTROL-2-SHUTDOWN: Storm control shut down FastEthernet0/1 06:06:29: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down А вот без Storm-Control и BPDUGuard: c2950(config)#spanning-tree loopguard default c2950(config)#int fa0/1 c2950(config-if)#do sh run int fa0/1 Building configuration... Current configuration : 109 bytes ! interface FastEthernet0/1 switchport mode access shutdown down-when-looped spanning-tree portfast end c2950(config-if)#do clear count Clear "show interface" counters on all interfaces [confirm] c2950(config-if)# 06:11:00: %CLEAR-5-COUNTERS: Clear counter on all interfaces by console c2950(config-if)#no sh c2950(config-if)# 06:11:36: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up 06:11:36: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk FastEthernet0/1 VLAN1. 06:11:36: %SPANTREE-7-BLOCK_PORT_TYPE: Blocking FastEthernet0/1 on VLAN0001. Inconsistent port type. 06:11:37: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up c2950(config-if)#do sh int fa0/1 counter Port InOctets InUcastPkts InMcastPkts InBcastPkts Fa0/1 31305648 0 357929 0 Port OutOctets OutUcastPkts OutMcastPkts OutBcastPkts Fa0/1 256 4 0 0 c2950(config-if)#do sh int fa0/1 counter Port InOctets InUcastPkts InMcastPkts InBcastPkts Fa0/1 34567400 0 395218 0 Port OutOctets OutUcastPkts OutMcastPkts OutBcastPkts Fa0/1 256 4 0 0 c2950(config-if)# Команда down-when-looped тоже работает, замыкаем Оранжевобелый на Зелено-Белый, Оранж на Зеленый (1 на 3, 2 на 6) и видим: 05:57:21: %ANGNP-3-LOOP_BACK_DETECTED: Loop-back detected on FastEthernet0/2. Если интересно, могу схемки приложить. Изменено 20 ноября, 2012 пользователем a-zazell Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 21 ноября, 2012 · Жалоба Подскажите, пжлста, чтот не могу разобраться как включить лупбек детект на 2950. Дружще нужно отделять 1) кольцо между портами глиста и 2) кольцо, образовавшееся за одним из портов того же глиста - это разные вещи. И не все свичи, детектирующие петлю между портами, умеют второе. Мыльница = HUB тупой, верно ? Не верно. Мыльница это коммутатор, а не хаб. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Hadge_hog Опубликовано 21 ноября, 2012 · Жалоба Бывает два варианта Loopback detection - на основе протокола STP - на основе протокола LBD STP LBD не может определить петлю с порта на этот же порт. Loopdetect может определить только петлю с порта на этот же порт. На циске надо смореть что у них там по дефолту т.е. на основе чего работает loopback detect Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 21 ноября, 2012 · Жалоба Не знаю, как кто что шлет. А у меня на один порт циско-роутера со стороны провайдера сыплется вот такая штука интервалами ровно по 10 сек. 12:36:32.956958 00:0b:5f:52:00:01 > 00:0b:5f:52:00:01, ethertype Loopback (0x9000), length 60: 12:36:42.957394 00:0b:5f:52:00:01 > 00:0b:5f:52:00:01, ethertype Loopback (0x9000), length 60: 12:36:52.957804 00:0b:5f:52:00:01 > 00:0b:5f:52:00:01, ethertype Loopback (0x9000), length 60: http://www.ciscosystems.com/en/US/tech/tk389/tk621/technologies_tech_note09186a00806cd87b.shtml Loopback error A loopback error occurs when the keepalive packet is looped back to the port that sent the keepalive. The switch sends keepalives out all the interfaces by default. A device can loop the packets back to the source interface, which usually occurs because there is a logical loop in the network that the spanning tree has not blocked. The source interface receives the keepalive packet that it sent out, and the switch disables the interface (errdisable). This message occurs because the keepalive packet is looped back to the port that sent the keepalive: %PM-4-ERR_DISABLE: loopback error detected on Gi4/1, putting Gi4/1 in err-disable state Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 6 февраля, 2013 · Жалоба Не знаю, как кто что шлет. А у меня на один порт циско-роутера со стороны провайдера сыплется вот такая штука интервалами ровно по 10 сек. Это длинковский лупдетект. Все правильно, так и должно быть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 7 февраля, 2013 · Жалоба Дружще нужно отделять 1) кольцо между портами глиста и 2) кольцо, образовавшееся за одним из портов того же глиста - это разные вещи. а кто то доказывает обратно? И не все свичи, детектирующие петлю между портами, умеют второе. как то трудно предположить на коммутаторе доступа 2950 перво (петлю между портами 2950), а вот второе как раз повсеместно, и если 2950 этого не умеет, то это Боооольшой минус. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 7 февраля, 2013 · Жалоба да, это: interface FastEthernet0/1 switchport mode access storm-control broadcast level 3.00 storm-control multicast level 3.00 storm-control action shutdown down-when-looped spanning-tree portfast срабатывает моментально, только вот не совсем удобно включать вручную порт после блокировки, в настройках storm-control на интерфейсе ни чего не нашел, может есть другой механизм? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
catalist Опубликовано 7 февраля, 2013 (изменено) · Жалоба меня тема тоже очень заинтеррисовала, сам щас лабы кручу в этом направлении. вопрос к sherwood, а нафига на порту сделано spanning-tree portfast ? на сколько я помню это отключает проверку на петлю на данном порте, и эта команда должна задаваться только если к порту подключено конечное устройство типа компа.... и у меня почему то шторм контрол не отработал, в смысле порт не заблочил, когда я два порта каталиста патчем соеденил. Изменено 7 февраля, 2013 пользователем catalist Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 7 февраля, 2013 · Жалоба срабатывает моментально, только вот не совсем удобно включать вручную порт после блокировки, в настройках storm-control на интерфейсе ни чего не нашел, может есть другой механизм? err-disable recovery вопрос к sherwood, а нафига на порту сделано spanning-tree portfast ? portfast не отключает stp на порту Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 8 февраля, 2013 · Жалоба меня тема тоже очень заинтеррисовала, сам щас лабы кручу в этом направлении. вопрос к sherwood, а нафига на порту сделано spanning-tree portfast ? на сколько я помню это отключает проверку на петлю на данном порте, и эта команда должна задаваться только если к порту подключено конечное устройство типа компа.... и у меня почему то шторм контрол не отработал, в смысле порт не заблочил, когда я два порта каталиста патчем соеденил. Портфаст не отключает проверку и не отключает стп на порту. Портфаст сразу переводит порт в форвардинг минуя все предыдущие фазы стп. Но если там на порту "обернется" бпду-шка, то если бпду-гуард включен - порт уйдет в еррдизэйбл, если нет - отработают стандартные механизмы стп и там уже по результату, но так или иначе петля будет устранена изменением топологии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 8 февраля, 2013 · Жалоба err-disable recovery глобально? не помогает, все равно не поднимается Портфаст не отключает проверку и не отключает стп на порту. Портфаст сразу переводит порт в форвардинг минуя все предыдущие фазы стп. Но если там на порту "обернется" бпду-шка, то если бпду-гуард включен - порт уйдет в еррдизэйбл, если нет - отработают стандартные механизмы стп и там уже по результату, но так или иначе петля будет устранена изменением топологии. золотые слова, можно еще увидеть правила которые это делают? потому как включение глобально еррдизэйбл и на интерфейсе бпду-гуард, то порт как был поднятым так и остается, ну и далее происходит то что и должно происходить когда появляется петля, коммутатор виснет, то есть доступа к нему нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 8 февраля, 2013 · Жалоба errdisable recovery cause storm-control errdisable recovery interval 30 должно поднимать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a-zazell Опубликовано 8 февраля, 2013 · Жалоба По поводу петель, кто-нибудь вешает storm-control на аплинки ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...