Omax Posted April 10, 2013 Posted April 10, 2013 День добрый, столкнулся с проблемой на коммутаторах CISCO. Существует сеть из разных коммутаторов(Dlink,SNR,CISCO) vlan управления 100 сеть 192.168.10.XX.В один прекрасный день пинги до коммутаторов CISCO в сети начали расти, пинг около 2с, коммутаторы от других производителей работают стабильно, и клиенты подключенные к этим цискам тоже работают стабильно,проблема именно в cisco и именно в влане управления, если меняю влан управления на циске, то пинг до нее стабильный, думал может протокол какой включен именно их родной типа REP,но нет в конфиге нет ничего такого,подскажите пожалуйста в чем может быть проблема? Вставить ник Quote
dmg Posted April 10, 2013 Posted April 10, 2013 Может SSH-боты ломятся на него? Или флуд какой-то на адрес каталиста? Попробуйте отзеркалировать трафик управляющего влана на компьютер с tcpdump-ом/wireshark-ом и посмотреть, что там бегает. Вставить ник Quote
Omax Posted April 10, 2013 Author Posted April 10, 2013 (edited) Может SSH-боты ломятся на него? Или флуд какой-то на адрес каталиста? Попробуйте отзеркалировать трафик управляющего влана на компьютер с tcpdump-ом/wireshark-ом и посмотреть, что там бегает. На коммутаторах нет внешних IP, боты не ломятся это точно.Все коммутаторы CISCO плохо пингуются, даже если новый установить коммутатор в сеть, то с ним такое же происходит Edited April 10, 2013 by Omax Вставить ник Quote
vurd Posted April 10, 2013 Posted April 10, 2013 Миррор управляющего влана вам поможет. Какой-то трафик попадает на CPU кошек. Может быть CDP, STP, ARP и over9000 всего остального, что требует участия CPU. Смотрите снифер, полюбому найдется. Вставить ник Quote
andryas Posted April 10, 2013 Posted April 10, 2013 Если не можете определить происхождение мусора в управляющем vlan то для начала можно отфильтровать его с помощью ACL, разрешив лиш те протоколы, которые Вам нужны. Хотя, как уже правильно ответили выше - достаточно отзеркалировать мусор на отдельный порт и поснифить его в момент возниконовения проблем. Вставить ник Quote
tartila Posted April 10, 2013 Posted April 10, 2013 (edited) День добрый, столкнулся с проблемой на коммутаторах CISCO. Существует сеть из разных коммутаторов(Dlink,SNR,CISCO) vlan управления 100 сеть 192.168.10.XX.В один прекрасный день пинги до коммутаторов CISCO в сети начали расти, пинг около 2с, коммутаторы от других производителей работают стабильно, и клиенты подключенные к этим цискам тоже работают стабильно,проблема именно в cisco и именно в влане управления, если меняю влан управления на циске, то пинг до нее стабильный, думал может протокол какой включен именно их родной типа REP,но нет в конфиге нет ничего такого,подскажите пожалуйста в чем может быть проблема? MikroTik случаем не стоит нигде в 100 VLAN или какой-нить циско-фон? На цисках STP включен? pvst+? Edited April 10, 2013 by tartila Вставить ник Quote
Omax Posted April 10, 2013 Author Posted April 10, 2013 зеркалирую, ниче такого сниффер не показывает, вообще как будто тишина со стороны того порта, а вот на коммутаторе в конфиге есть такое "spanning-tree mode pvst", пишу no spanning-tree mode pvst, но строчка остается все равно, как глобально вырубить STP? Вставить ник Quote
C@T Posted April 10, 2013 Posted April 10, 2013 (edited) глобально вы stp, скорее всего, не вырубите. В конкретном VLANе можете выключить stp командой "no spanning-tree vlan 100" Это при условии , что Вы уверены, что в влане нет колец ну и "show proc cpu | ex 0.00" покажите, чем там у Вас CPU занят? Edited April 10, 2013 by C@T Вставить ник Quote
Omax Posted April 10, 2013 Author Posted April 10, 2013 глобально вы stp, скорее всего, не вырубите. В конкретном VLANе можете выключить stp командой "no spanning-tree vlan 100" Это при условии , что Вы уверены, что в влане нет колец Так и сделал колец нет,все что возможно отключил, но все равно пинг высокий и потери, сейчас по новой снифер запускаю Вставить ник Quote
vurd Posted April 10, 2013 Posted April 10, 2013 Снифер на винде? Wireshark? Порт просто смиррорен? У меня была проблема, что винда не видела инкапсулированный в вланы трафик, линух видел нормально. Попробуйте на миррор порту сделать access для управляющего влана. Вставить ник Quote
Omax Posted April 10, 2013 Author Posted April 10, 2013 Снифер на винде? Wireshark? Порт просто смиррорен? У меня была проблема, что винда не видела инкапсулированный в вланы трафик, линух видел нормально. Попробуйте на миррор порту сделать access для управляющего влана. Сниффер на windows 7(tcpdump) на cisco и комп подключены к коммутатору dlink 3200, оба порта в untagg в 100 влане Вставить ник Quote
NikAlexAn Posted April 11, 2013 Posted April 11, 2013 Сниффер на windows 7(tcpdump) на cisco и комп подключены к коммутатору dlink 3200, оба порта в untagg в 100 влане Без мирроринга? Так ничего не увидишь. Вставить ник Quote
Omax Posted April 11, 2013 Author Posted April 11, 2013 Сниффер на windows 7(tcpdump) на cisco и комп подключены к коммутатору dlink 3200, оба порта в untagg в 100 влане Без мирроринга? Так ничего не увидишь. Port mirroring включен, я зеркалирую порт правильно Вставить ник Quote
NikAlexAn Posted April 11, 2013 Posted April 11, 2013 Port mirroring включен, я зеркалирую порт правильно Проанализируйте что у вас с деревом STP. Все ли коммутаторы правильно видят root bridge? Оптимально ли выбран root? А сколько вланов активных на каталистах? У каталистов только MST совместим с протоколами STP SNR и D-Link. А кстати какие каталисты, модель? Вставить ник Quote
Omax Posted April 11, 2013 Author Posted April 11, 2013 В нашей сети есть маленькое кольцо работает оно давно и исправно,а вот сейчас разглядел кое что. Только что подключил новый коммутатор к сети,коммутатора не в кольце, днял влан 100 на нем, выдал IP,закинул uplink порт в access 100 влан, сразу выдало сообщение "00:00:25: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk FastEthernet0/23 VLAN1.00:00:25: %SPANTREE-7-BLOCK_PORT_TYPE: Blocking FastEthernet0/23 on VLAN0001. Inconsistent port type." 23 порт это аплинк, соответственно порт заблокирован и пинга никакого нет, но я прописал no spanning-tree vlan 100 и порт разблокировался, пинг пошел но высокий, и с потерями, так все таки это кольцо, но почему именно на коммутаторах cisco,ведь в сети есть и другие коммутаторы Вставить ник Quote
andryas Posted April 11, 2013 Posted April 11, 2013 (edited) С кольцами в зоопарке нужно быть предельно осторожным. У меня д-линк в связке с циско похожие фокусы выделывал, причём не постоянно, а 2-3 раза на день длительностью 15-20 секунд. Только начинаешь искать проблему - само успевает нормализоваться. Изучать кривизну длинковских протоколов времени не было, переделал на звезду - проблем нет, полёт нормальный. Edited April 11, 2013 by andryas Вставить ник Quote
Omax Posted April 11, 2013 Author Posted April 11, 2013 С кольцами в зоопарке нужно быть предельно осторожным. У меня д-линк в связке с циско похожие фокусы выделывал, причём не постоянно, а 2-3 раза на день длительностью 15-20 секунд. Только начинаешь искать проблему - само успевает нормализоваться. Изучать кривизну длинковских протоколов времени не было, переделал на звезду - проблем нет, полёт нормальный. Дело том что кольцо маленькое в сети и в нем нет коммутаторов CISCO, в нем dlink,SNR, все работает нормально , коммутаторы cisco в кольце абсолютно не присутствуют Вставить ник Quote
NikAlexAn Posted April 11, 2013 Posted April 11, 2013 В нашей сети есть маленькое кольцо работает оно давно и исправно,а вот сейчас разглядел кое что. Только что подключил новый коммутатор к сети,коммутатора не в кольце, днял влан 100 на нем, выдал IP,закинул uplink порт в access 100 влан, сразу выдало сообщение "00:00:25: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk FastEthernet0/23 VLAN1.00:00:25: %SPANTREE-7-BLOCK_PORT_TYPE: Blocking FastEthernet0/23 on VLAN0001. Inconsistent port type." 23 порт это аплинк, соответственно порт заблокирован и пинга никакого нет, но я прописал no spanning-tree vlan 100 и порт разблокировался, пинг пошел но высокий, и с потерями, так все таки это кольцо, но почему именно на коммутаторах cisco,ведь в сети есть и другие коммутаторы Без схемы и конфигурации сложно что либо порекомендовать. А почему для аплинка выбран именно аксесс тип порта? А сругалась киска и вырубила порт так как есть различия в STP у неё и того дивайса куда вы её включили - на 100м влане она не должна видеть пакеты bpdu для 1го влана. То есть на 100й влан киске прибежал стандартный STP или RSTP BPDU. Рекомендую настроить всё таки MST на этом зоопарке. Вставить ник Quote
NikAlexAn Posted April 11, 2013 Posted April 11, 2013 Дело том что кольцо маленькое в сети и в нем нет коммутаторов CISCO, в нем dlink,SNR, все работает нормально , коммутаторы cisco в кольце абсолютно не присутствуют Включая глобально STP на d-link и snr - по умолчанию включаете STP на всех портах. Если каталисты не в кольцах и кольца на портах не возможны можно выключить STP на используемых вланах - no spann vlan xxx. Вставить ник Quote
tartila Posted April 11, 2013 Posted April 11, 2013 (edited) В нашей сети есть маленькое кольцо работает оно давно и исправно,а вот сейчас разглядел кое что. Только что подключил новый коммутатор к сети,коммутатора не в кольце, днял влан 100 на нем, выдал IP,закинул uplink порт в access 100 влан, сразу выдало сообщение "00:00:25: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk FastEthernet0/23 VLAN1.00:00:25: %SPANTREE-7-BLOCK_PORT_TYPE: Blocking FastEthernet0/23 on VLAN0001. Inconsistent port type." Это нормально. Вы, ведь, используете pvst на Cisco+не транковый порт. В этом кольце, которое вы упомянули - используется 100 VLAN? Похоже, что кто-то из этого кольца перестал правильно отрабатывать STP. Соответственно, дебажить костыли в этом кольце, как вам уже раньше говорили. Edited April 11, 2013 by tartila Вставить ник Quote
Omax Posted April 11, 2013 Author Posted April 11, 2013 На коммутаторе DLINK с которого подключена CISCO STP выключен глобально, а то маленькое кольцо в сети, так там в STP только нужные порты ,на остальных портах STP выключено Вставить ник Quote
NikAlexAn Posted April 11, 2013 Posted April 11, 2013 На коммутаторе DLINK с которого подключена CISCO STP выключен глобально, а то маленькое кольцо в сети, так там в STP только нужные порты ,на остальных портах STP выключено А forward BPDU на не STP портах выключен? Судя по логу киски ей на порт прилетел BPDU. Вставить ник Quote
tartila Posted April 11, 2013 Posted April 11, 2013 (edited) А forward BPDU на не STP портах выключен? Судя по логу киски ей на порт прилетел BPDU. Скорее всего, с другой циски, у которой 100 VLAN tagged :) Edited April 11, 2013 by tartila Вставить ник Quote
NikAlexAn Posted April 11, 2013 Posted April 11, 2013 Скорее всего, с другой циски, у которой 100 VLAN tagged :) Похоже. Значит не правильно понял описание эксперимента :) Вставить ник Quote
Omax Posted April 11, 2013 Author Posted April 11, 2013 Мне интересно если порты dlink не пропускают через себя BPDU как они прилетают к cisco ? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.