classic.ISPforum.cz

Co muze zpusobit flush vsech mac adres ? stp by to nemelo byt, protoze se tos talko v jeden moment na switchi s stp i s vyplym stp ... na tom co ma stp zaple neni info o zmene topology ... ale v jeden moment se trem switchum flushly vsechny mac adresy ... co to muze zpusobit v provozu ? Je nejaky sluzebni packet jako je tomu v pripade stp zmeny topology ze se vymaze mac table ... ?

da se pripadne nejak zjistit co to zpusobilo a najit to ?

diky

Ahoj,

jak se pozna, ze switch flushnul adresy? Ptam se proto, zda je jiste, ze doslo opravdu k vyprazdneni MAc tabulky nebo necemu jinemu (preplneni atd).
POkud je podezreni na zmenu topologie (xSTP) pak na nekterych switchi jde zapnout podrobnejsi hlasky. Aka cisco 'debug spann event' - nechavam na switchich zapnute furt

sh span det ... neukazuje zmenu topology ... resp tvrdi, ze posledni zmena byla pred davnym casem ...

ale k preteceni nedoslo, spis k tomu vyprazdneni .. idealne asi ukaze obrazek grafu hlidani macu :

Zmizely ti opravdu MAC ze switchů, nebo máš problém s grafem? Skoro bych si tipl to druhé ... jednou nedostal ze SNMP odpověď.

to je otazka .. ale v mrtg jsem nasel taky na jednom miste (stejny cas 5h rano) diru a trafik tam v te dire klesl z cca 50mega na cca 14mega

jako muze to byt nahoda .. a klesl by i tak .. je to ranni hodina kdy tam je malo lidi ... ze by to bylo jen otazkou nedostani odpovedi ?

co datovy tok (pocet packetu) zmenil se v te dobe nejak vyrazne? Nemohlo dojit napr k preruseni najeke linky a vyexpirovani naucenych MAcek prirozenym zpusobem?

jak rika Ludvik, Ty RRD fily (nebo kam ukladas grafy) by chtelo proverit - at nehonis duchy.

jak proverim ze nedostal odpoved ?
jinak podle grafu na jedne gw tam byla dira .. a v ni padl trafik jak pisu, ale na wanu te same gw to bylo bez diry jako prirozeny pokles ... takze fakt nevim .. mozna honim ducha ...

ale expirace prirozena je vyloucena, ten pocet macu je cely switch ( to by muselo padnout X portu a to by bylo zase v smokepingu znat, coz bylo ciste ), viz prubeh grafu tam se to hybe v ramci zivota bezne, ale ne tak drsne ...

No proto si myslím, že za to může ten graf Asi není pravděpodobné fushnutí všech MAC na switchi.

Prověřit to v mrtg asi nepůjde (i když ... neznám ho). Ale ve switchi by informace být mohla.

pokud ukladas grafy do RRD filu tak si ho vydumpujes (rrdtool dump xy.rrd) a ve vyslednem textaku s epodivas zda byly v danem case namerene ciselne hodnoty nebo ne)

Jj, pokud tam bude NaN nebo spíše "u" (UNKNOWN), tak to nenačetlo hodnoty v časovém okně. A podíval bych se na data všech těch 3 switchů.

takze i dira v mrtg by mohla byt zpusobena vypadnutim jednoho cteni ?

kdyz to neprecte data tak zobrazovani grafu nema moc moznosti. Bud proste vynecha (prerusi caru) nebo zobrazuje starou hodnotu apod. Jak se Ti to chova bys mel vedet nejlip Ty sam.
Bud nejaka chybka na siti a data se nepodarilo precist. Muze se taky stat, ze zahapruje cteni uplne z neceho jineho a nestihes vycist vsechny data behem vyhrazeneho casu (obvykle tech 5 minut) - tj pobezi Ti vicekrat vycitani dat. Pak zalezi na tom jak je udelany to vycitani (poradi, paralelizace atd)

tak duch ani chyba grafu to neni ... dnes toto :

vsechny tri hlavni switche vypadaji takto :



a jedna z vetvi takto :



takze uz vim od kud to cca jde, ale co to je ? spanning tam hlasi bez zmen na dotaz "sh span det" jak poznat co to zpusobuje ?

ostatni vetve jsou ciste, tedy respektuje to aspon protected porty ... tedy nejde to dolu, ale nahoru z vetve


edit : jeste bych dodal, ze na tom switchi z te vetve byl jeden port co vyvolaval obcas change topology v spaningu, tak jsem tam v tom portu spaning sejmul timto " spanning-tree bpdufilter enable " ... a change topology prestalo ... nicmene ted mam pocit, ze za tohle vsechno muze zase ten port, ale jak to ? nejaky napad cim to vyvolava ? co jineho filtrovat ?

pro upresneni je za tim portem apecko na nem 4 bytovky s kabelazi (4 radia) ... celkem asi 50 klientu ... zrejme jeden z klientu si dal nejaky router nebo neco co tohle produkuje ... ale jak to odhalit ?

zapni si ten debug na STP (lepsi je na vsech switchich okolo (hlavne na vsech v pripadne L2 smycce) at muzes jit po switchich a hledat odkud to prislo)
debug spann event

Pak se ti v logu bude objevovat cokoliv se deje se spanning tree. Bez toho se neda dohledavat co se deje. Jen je treba po kazdem restartu switche znovu povel nahodit.
Kdyby to nepomohlo tak jeste muzes monitorovat zmeny v MAC address table bud zase debugem nebo tak ze si je nechas posilat jako SNMP Trap (mac-address-table notification) - ale to bych udelal az pokud ten debuging na RSTP nic nerekne.

Jo a chce to mit na switchich cas synchronizovany pomoci NTP a dostatecne velkej logovaci buffer (ne defaultni)

logging buffered 65535
ntp server x.x.x.x

Logovat na syslog server je take dobre ale v tech prpadech, kdy switch ztraci konektivitu na log server neuvidis vsechno (ale zase v syslog serveru muzes mit mnohem delsi historii).

Co se tyce bpdufilter - v show spann vlan XY detail se u daneho port objevuje radek:
Bpdu filter is enabled
?

sh spanning-tree vlan 1

VLAN0001
Spanning tree enabled protocol rstp
Root ID Priority 32769
Address 001c.0fae.ea80
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 001c.0fae.ea80
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300

Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/4 Desg FWD 19 128.4 Edge P2p
Fa0/5 Desg FWD 19 128.5 Edge P2p
Fa0/6 Desg FWD 19 128.6 Edge P2p
Fa0/7 Desg FWD 19 128.7 Edge P2p
Fa0/8 Desg FWD 19 128.8 Edge P2p
Fa0/9 Desg FWD 19 128.9 Edge P2p
Fa0/10 Desg FWD 19 128.10 Edge P2p
Fa0/11 Desg FWD 19 128.11 P2p

Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------

Fa0/14 Desg FWD 19 128.14 Edge P2p
Fa0/15 Desg FWD 19 128.15 Edge P2p
Fa0/16 Desg FWD 19 128.16 Edge P2p
Fa0/17 Desg FWD 19 128.17 Edge P2p
Fa0/19 Desg FWD 19 128.19 Edge P2p
Fa0/21 Desg FWD 19 128.21 Edge P2p
Fa0/24 Desg FWD 19 128.24 Edge P2p


ten kde je span filter je ten 11ty port tam bych to potreboval bloknout prave ... zajimave je, ze i na uplinku tedy 24 portu mam ten span filter ale tady to vypada podle vypisu nejak jinak ... co to je za bordel ?