Theo dõi địa chỉ mac nguồn không hợp lệ


13

Tôi đã thừa hưởng sự hỗ trợ của một trang web từ xa có chứa Cisco 4500 và được kết nối với ~ 2 tá thiết bị chuyển mạch truy cập cisco - chủ yếu là 2960 với một vài 3750 và 3560. Không phải tất cả các công tắc truy cập được kết nối trực tiếp với 4500 - có một số chuỗi các công tắc nối dây rõ ràng được thực hiện do hệ thống cáp không đủ. Gần đây tôi đã nhận thấy các tin nhắn serror trên 4500 cho biết các khung đã được nhận với địa chỉ mac nguồn không hợp lệ:

*Sep 10 09:29:48.609: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 102563 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Te5/1 in vlan 1460

Thiết bị được kết nối với Te5 / 1 là một công tắc truy cập (Cisco 3750). Nó lần lượt được kết nối với 6 công tắc truy cập khác. Sau một chút loay hoay, nó xuất hiện 4500 là nền tảng cisco duy nhất ghi lại các địa chỉ mac nguồn không hợp lệ. Từ cách đọc của tôi, các nền tảng khác (2960, 3750, v.v.) dường như chuyển tiếp các khung theo nhưng không đăng nhập chúng là không hợp lệ, cũng như không thêm mục vào bảng địa chỉ mac. Tôi nghi ngờ nguyên nhân gốc của các địa chỉ mac nguồn không hợp lệ có thể là lỗi nic, lỗi phần mềm hoặc có thể là máy chủ vmware bị định cấu hình sai. Những công cụ nào có sẵn trên các công tắc truy cập để theo dõi cổng vi phạm?


1
Đã xóa bài đăng của tôi, không nhận ra rằng họ hoàn toàn không nhìn thấy. Nếu công tắc không đặt chúng vào CAM thì tôi đoán rằng cách tốt nhất của bạn là chạy phiên SPAN trên các công tắc nhưng ngay cả khi đó việc tìm cổng nguồn sẽ rất khó khăn. Một lựa chọn khác là vô hiệu hóa unicast chưa biết và xem có gì phá vỡ không. Tôi ngạc nhiên rằng truyền thông làm việc mặc dù. Nếu một máy chủ có MAC đó gửi một cái gì đó bên ngoài nó, thì GW sẽ phải ARP để xem MAC của máy chủ đó và đóng gói khung, liệu GW có ánh xạ ARP kỳ lạ nào không?
Daniel Dib

2
Theo supportforums.cisco.com/docs/DOC-36000 những khung này nên được bỏ trong CTNH để ít nhất nó không ảnh hưởng đến hiệu suất của các công tắc.
Daniel Dib

1
Có, theo liên kết đó: "Xin lưu ý rằng các gói có địa chỉ MAC không hợp lệ sẽ bị loại bỏ, tất cả các thiết bị chuyển mạch Cisco Catalyst khác đang âm thầm thả các gói này trong CTNH, nền tảng 4k rõ ràng đang tạo thông báo ghi nhật ký khi sự kiện đó được quan sát." ... nhưng tôi biết điều này thực sự không thể xảy ra vì 4500 đang phàn nàn về các khung hình đang đến trên Te5 / 1, cổng được kết nối với 3750. Điều này cho thấy 3750 đang chuyển tiếp các khung hình không hợp lệ nguồn mac bất chấp những gì DOC-36000 nói.
User123456

Chia rẽ & chinh phục!
generalnetworkerror

Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:


4

Bạn có thể thử nếu các khung có thể bị chặn bằng MAC ACL trên các giao diện và / hoặc trên vlans trên các công tắc truy cập. Bằng cách áp dụng các khối chọn lọc và kiểm tra xem các thông báo lỗi trên 4500 có biến mất hay không, bạn có thể truy cập vào nguồn lưu lượng.

Di chuyển dây cáp xung quanh để xem cổng được đề cập trong thông báo lỗi trên 4500 sau đây cũng có thể giúp ích, nhưng có thể chứng minh sự khó khăn trong môi trường sản xuất.


7

Nói chung khi tôi thấy điều này, nó xuất phát từ một VM có cấu hình kém (thường được lưu trữ trên máy người dùng). Tùy thuộc vào tình hình và môi trường, họ có thể khó theo dõi (đã thấy rất nhiều trong số này tại một trường đại học trong các tòa nhà của khoa CS và ECE đã di chuyển và đến / đi như sinh viên đã làm).

Bạn đã có một vài câu trả lời tuyệt vời, nhưng một tùy chọn khác bạn có thể theo đuổi là thêm cấu hình sau vào các công tắc hạ lưu (37xx, 36xx, 29xx):

   mac address-table static 0000.0000.0000 vlan <VLAN ID> drop

Điều này sẽ giảm bất kỳ lưu lượng truy cập nào với MAC này thay vì chuyển tiếp và vì nó phải được thực hiện trong phần cứng (không có bất kỳ tính năng / vấn đề nào khiến việc tra cứu MAC được thực hiện trong phần mềm), nên nó không có tác động tiêu cực đến hiệu suất.


Cảm ơn bạn cho đề nghị này. Điều này sẽ ngăn các khung hình được chuyển tiếp qua các thân cây đến các thiết bị chuyển mạch khác, đây là một chiến thắng lớn. Có cách nào thông qua các lệnh ghi nhật ký hoặc gỡ lỗi để quan sát một khung thả cổng dựa trên cấu hình này không?
User123456

@fcorrao, tiếc là không có cấu hình này. Bạn sẽ phải thử làm những gì Gerben đề xuất và sử dụng MAC ACL hoặc đề xuất của Dave về việc nắm bắt lưu lượng truy cập khỏi các cổng. Nhưng tôi cho rằng chỉ có thiết bị được định cấu hình sai sẽ bị ảnh hưởng bất lợi, vì vậy họ sẽ làm cho nó được biết hoặc họ thậm chí sẽ không nhận ra chính mình.
YLearn

0

Tôi nhận thấy rằng lỗi này không ảnh hưởng đến hiệu suất mạng, vì bạn đã tự mình phát hiện ra các thông điệp tường trình, thay vì bạn bị ngập trong các khiếu nại của người dùng. Điều này khiến tôi nghi ngờ rằng vấn đề nằm ở một số phần mềm hoặc dịch vụ được kết nối nhưng được định cấu hình hoặc cấu hình sai hiện không được sử dụng.

Khóa học tốt nhất của bạn có thể là để con chó đang ngủ này nằm, cho đến khi một số người dùng báo cáo vấn đề. Ngoài ra, nếu bạn có thời gian rảnh rỗi, bạn có thể chạy các phiên SPAN như @Daniel Dib đề xuất và kiểm tra chặt chẽ đầu ra cho đến khi bạn xác định được cổng hoặc thiết bị nghi ngờ.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.