Jump to content
Калькуляторы

OS6850 начинает вести себя, как хаб

Reply to this topic

IVB   

IVB
Posted

День добрый.

 

Есть проблема.

 

На OS6850 при определенном стечении обстоятельств по одному из vlan'ов заходит трафик (по L2), предназначенный для неизвестного MAC-адреса (т.е. раньше этот MAC был, теперь пропал). И OS6850 весь этот трафик начинает пихать во все порты этого vlan'а, в надежде, что где-то все-таки нужный MAC "найдется". Что, в свою очередь, создает проблемы для тех устройств, которые тоже находятся в этом vlan'е и не в состоянии нормально дропнуть этот паразитный трафик (грубо говоря - захлебываются).

 

Вопрос: можно ли "отучить" OS6850 от такого поведения, и сделать так, чтобы весь L2 трафик для неизвестных MAC-адресов молча дропался.

 

> show system
System:
 Description:  Alcatel-Lucent OS6850-P48X 6.4.4.551.R01 Service Release, August 28, 2012.,

Share this post

Link to post
Share on other sites

tartila   

tartila
Posted

День добрый.

 

Есть проблема.

 

На OS6850 при определенном стечении обстоятельств по одному из vlan'ов заходит трафик (по L2), предназначенный для неизвестного MAC-адреса (т.е. раньше этот MAC был, теперь пропал). И OS6850 весь этот трафик начинает пихать во все порты этого vlan'а, в надежде, что где-то все-таки нужный MAC "найдется". Что, в свою очередь, создает проблемы для тех устройств, которые тоже находятся в этом vlan'е и не в состоянии нормально дропнуть этот паразитный трафик (грубо говоря - захлебываются).

 

Вопрос: можно ли "отучить" OS6850 от такого поведения, и сделать так, чтобы весь L2 трафик для неизвестных MAC-адресов молча дропался.

 

 

DST MAC у этого трафика какой - unicast или broadcast?

Share this post

Link to post
Share on other sites

IVB   

IVB
Posted

День добрый.

 

Есть проблема.

 

На OS6850 при определенном стечении обстоятельств по одному из vlan'ов заходит трафик (по L2), предназначенный для неизвестного MAC-адреса (т.е. раньше этот MAC был, теперь пропал). И OS6850 весь этот трафик начинает пихать во все порты этого vlan'а, в надежде, что где-то все-таки нужный MAC "найдется". Что, в свою очередь, создает проблемы для тех устройств, которые тоже находятся в этом vlan'е и не в состоянии нормально дропнуть этот паразитный трафик (грубо говоря - захлебываются).

 

Вопрос: можно ли "отучить" OS6850 от такого поведения, и сделать так, чтобы весь L2 трафик для неизвестных MAC-адресов молча дропался.

 

 

DST MAC у этого трафика какой - unicast или broadcast?

Unicast.

Share this post

Link to post
Share on other sites

JoeDoe   

JoeDoe
Posted

Можно ограничить flood rate на интерфейсе. Если вы используете port mapping, тогда все еще проще:

port mapping 5 unknown-unicast-flooding disable

Share this post

Link to post
Share on other sites

IVB   

IVB
Posted

увеличить время жизни МАС?

Можно увеличить время жизни MAC. Можно попытаться "разобраться" с аплинком - почему у него не экспайрится МАС (тогда он перестанет "пихать" мне трафик). Можно найти и устранить причину пропадания МАСа у даунлинка.

 

Но все это - за пределами зоны моей ответственности.

 

Поэтому я хочу решить проблему кардинально - дропать L2 трафик, у которого нет адресата. Чтобы проблемы моих линков не мешали жить мне.

 

Как говорится, проблемы индейцев шерифа не волнуют.

Share this post

Link to post
Share on other sites

IVB   

IVB
Posted

Можно ограничить flood rate на интерфейсе.

Прочитал доку - так и не понял, что произойдет, когда flood превысит заданный порог. Не получится ли так, что флудящий порт просто будет отрублен?

 

Попытался выставить значение 0 - не поддерживается. Пришлось ставить значение 1 mbps.

 

Если вы используете port mapping, тогда все еще проще:

port mapping 5 unknown-unicast-flooding disable

Нет, порт-маппинг не используется.

Речь идет о транзитном L2 трафике.

Share this post

Link to post
Share on other sites

svenk   

svenk
Posted

День добрый.

 

Есть проблема.

 

На OS6850 при определенном стечении обстоятельств по одному из vlan'ов заходит трафик (по L2), предназначенный для неизвестного MAC-адреса (т.е. раньше этот MAC был, теперь пропал). И OS6850 весь этот трафик начинает пихать во все порты этого vlan'а, в надежде, что где-то все-таки нужный MAC "найдется". Что, в свою очередь, создает проблемы для тех устройств, которые тоже находятся в этом vlan'е и не в состоянии нормально дропнуть этот паразитный трафик (грубо говоря - захлебываются).

 

Вопрос: можно ли "отучить" OS6850 от такого поведения, и сделать так, чтобы весь L2 трафик для неизвестных MAC-адресов молча дропался.

 

 

DST MAC у этого трафика какой - unicast или broadcast?

Unicast.

 

А в arp кэше его нет, может он там статиком прописан.

show arp

Share this post

Link to post
Share on other sites

IVB   

IVB
Posted

День добрый.

 

Есть проблема.

 

На OS6850 при определенном стечении обстоятельств по одному из vlan'ов заходит трафик (по L2), предназначенный для неизвестного MAC-адреса (т.е. раньше этот MAC был, теперь пропал). И OS6850 весь этот трафик начинает пихать во все порты этого vlan'а, в надежде, что где-то все-таки нужный MAC "найдется". Что, в свою очередь, создает проблемы для тех устройств, которые тоже находятся в этом vlan'е и не в состоянии нормально дропнуть этот паразитный трафик (грубо говоря - захлебываются).

 

Вопрос: можно ли "отучить" OS6850 от такого поведения, и сделать так, чтобы весь L2 трафик для неизвестных MAC-адресов молча дропался.

 

 

DST MAC у этого трафика какой - unicast или broadcast?

Unicast.

 

А в arp кэше его нет, может он там статиком прописан.

show arp

 

Как раз из кеша он и пропадает. У аплинка в кеше он еще есть (или он там вообще статиком прописан), поэтому аплинк гонит этот трафик на меня. А у меня этого MACа уже нет - поэтому моя железка не знает, куда его девать.

 

Заниматься настройкой аплинка и даунлинка (для которых я являюсь транзитером) нет ни малейшего желания.

 

Вопрос остался без ответа, поэтому повторю:

 

Что происходит, если ingress flood трафик превышает заданный rate? Этот трафик дропается, или порт переводится в error-disabled? (в доке это очень невнятно описано)

Share this post

Link to post
Share on other sites

dmvy   

dmvy
Posted

ни разу с таким не сталкивался, т.к. либо все VLAN прописаны p2p+STP, либо это L3 стыки, где алкатель - шлюз.

 

попробуйте увеличить aging-time

-> show mac-address-table aging-time 
Mac Address Aging Time (seconds) = 300
-> mac-address-table aging-time 600

Share this post

Link to post
Share on other sites

IVB   

IVB
Posted
попробуйте увеличить aging-time

Я ведь писал, что не хочу разбираться с линками. Если у меня пропадает MAC даунлинка, а у аплинка он не пропадает - где-то что-то криво настроено. И за поиски этих кривых настроек мне денег не платят.

 

Поэтому меня вполне устроит, если flood трафик (т.е. трафик с неизвестным МАС-адресом получаетеля) будет просто дропаться. Т.е. предложенный вариант с ограничением flood rate - это именно то, что мне нужно.

 

interfaces 1/49 flood unknown-unicast rate mbps 1

Share this post

Link to post
Share on other sites

xcme   

xcme
Posted

Описанная в первом посте ситуация совершенно нормальна и в общем случае препятствовать ей нельзя. В частном же случае можно использовать дроп, но эта фича, емнип, реализуется программно и, теоретически, способна нагрузить процессор коммутатора. Правильнее будет разобраться с причиной.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...