Melacak alamat mac sumber yang tidak valid

13

Saya telah mewarisi dukungan dari situs jarak jauh yang berisi Cisco 4500 dan terhubung ke ~ 2 lusin sakelar akses cisco - terutama 2960-an dengan beberapa 3750-an dan 3560-an. Tidak semua sakelar akses terhubung langsung ke 4500 - ada beberapa rangkaian daisy sakelar yang tampaknya dilakukan karena pemasangan kabel yang tidak memadai. Baru-baru ini saya perhatikan pesan teror pada 4500 yang mengindikasikan frame telah diterima dengan alamat mac sumber tidak valid:

*Sep 10 09:29:48.609: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 102563 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Te5/1 in vlan 1460

Perangkat yang terhubung ke Te5 / 1 adalah saklar akses (Cisco 3750). Pada gilirannya terhubung ke 6 switch akses lainnya. Setelah sedikit googling tampaknya 4500 adalah satu-satunya platform cisco yang mencatat alamat mac sumber yang tidak valid. Dari pembacaan saya, platform lain (2960, 3750, dll) tampaknya meneruskan frame tetapi tidak mencatatnya sebagai tidak valid, juga tidak menambahkan entri ke tabel alamat mac. Saya mencurigai akar penyebab dari alamat mac sumber tidak valid dapat berupa nic rusak, bug perangkat lunak atau mungkin server vmware yang salah konfigurasi. Alat apa yang tersedia pada sakelar akses untuk melacak port yang menyinggung?

cisco switch layer2 Pengguna123456
sumber
1
Menghapus posting saya, tidak menyadari bahwa mereka tidak terlihat sama sekali. Jika saklar tidak akan memasukkannya ke CAM, maka saya kira taruhan terbaik Anda adalah dengan menjalankan sesi SPAN pada sakelar, tetapi meskipun demikian akan sulit untuk menemukan port sumber. Pilihan lain adalah untuk menonaktifkan unicast yang tidak dikenal dan melihat apakah ada yang rusak. Saya terkejut bahwa komunikasi berfungsi baik. Jika sebuah host dengan MAC mengirimkan sesuatu di luarnya subnet GW harus ARP untuk melihat MAC host dan merangkum frame, apakah GW memiliki pemetaan ARP aneh?
Daniel Dib
2
Menurut supportforums.cisco.com/docs/DOC-36000 frame ini harus dijatuhkan di HW jadi setidaknya itu tidak akan mempengaruhi kinerja switch.
Daniel Dib
1
Ya, menurut tautan itu: "Harap dicatat bahwa paket-paket dengan alamat MAC yang tidak valid akan dibatalkan, semua switch Cisco Catalyst lainnya secara diam-diam menjatuhkan paket-paket ini di HW, platform 4k secara eksplisit menghasilkan pesan logging ketika peristiwa semacam itu diamati." ... tapi saya tahu ini tidak benar-benar terjadi karena 4500 mengeluh tentang frame yang tiba pada Te5 / 1 yang merupakan port yang terhubung ke 3750. Ini akan mengindikasikan 3750 meneruskan frame dengan w / tidak valid source mac meskipun apa yang dikatakan DOC-36000.
User123456
Bagilah & Taklukkan!
generalnetworkerror
Apakah ada jawaban yang membantu Anda? jika demikian, Anda harus menerima jawabannya sehingga pertanyaan tidak terus muncul selamanya, mencari jawaban. Atau, Anda bisa memberikan dan menerima jawaban Anda sendiri.
Ron Maupin

Jawaban:

4

Anda bisa mencoba jika frame dapat diblokir menggunakan MAC ACL pada antarmuka dan / atau pada vlan pada sakelar akses. Dengan menerapkan blok secara selektif dan memeriksa apakah pesan kesalahan pada 4.500 menghilang atau tidak, Anda dapat menggunakan sumber lalu lintas.

Memindahkan kabel untuk melihat apakah port yang disebutkan dalam pesan kesalahan pada 4500 berikut juga bisa membantu, tetapi mungkin terbukti rumit dalam lingkungan produksi.

Gerben
sumber
7

Secara umum ketika saya melihat ini, ia berasal dari VM yang tidak terkonfigurasi (sering di-host pada mesin pengguna). Bergantung pada situasi dan lingkungan, mereka mungkin sulit dilacak (melihat banyak di Universitas di gedung departemen CS dan ECE yang bergerak dan datang / pergi seperti yang dilakukan siswa).

Anda sudah memiliki beberapa jawaban yang hebat, tetapi opsi lain yang dapat Anda lakukan adalah menambahkan konfigurasi berikut ke sakelar hilir (37xx, 36xx, 29xx):

   mac address-table static 0000.0000.0000 vlan <VLAN ID> drop

Ini akan menjatuhkan lalu lintas dengan MAC ini daripada meneruskannya dan karena itu harus dilakukan di perangkat keras (kecuali semua fitur / masalah yang menyebabkan pencarian MAC dilakukan dalam perangkat lunak), ini seharusnya tidak memiliki dampak negatif pada kinerja.

YPelajari
sumber
Terima kasih atas saran ini. Ini akan mencegah frame diteruskan melintasi trunk ke switch lain yang merupakan kemenangan besar. Apakah ada cara melalui perintah logging atau debug untuk mengamati frame menjatuhkan port berdasarkan konfigurasi ini?
User123456
@ fcorrao, sayangnya tidak dengan konfigurasi ini. Anda harus mencoba melakukan apa yang disarankan Gerben dan menggunakan MAC ACL atau saran Dave untuk menangkap lalu lintas dari port. Tapi yang saya ambil adalah bahwa hanya perangkat yang salah konfigurasi yang akan terpengaruh, sehingga mereka akan membuatnya dikenal atau mereka bahkan tidak akan memperhatikan diri mereka sendiri.
YPelajari
0

Tampak bagi saya bahwa kesalahan ini tidak mempengaruhi kinerja jaringan, karena Anda menemukan pesan log sendiri, bukan karena Anda dibanjiri dengan keluhan pengguna. Hal ini membuat saya curiga bahwa masalahnya ada pada beberapa perangkat lunak atau layanan yang terhubung, namun sebagian dikonfigurasi atau salah konfigurasi yang saat ini tidak digunakan.

Cara terbaik Anda mungkin membiarkan anjing tidur ini berbohong, sampai beberapa pengguna melaporkan masalah. Sebagai alternatif, jika Anda punya waktu luang, Anda dapat menjalankan sesi SPAN seperti yang disarankan @Daniel Dib, dan berikan pengawasan cermat hingga Anda menentukan port atau perangkat yang dicurigai.

Dave di Ohio
sumber