Jak logovat Flapping MAC - cisco

[zubodravec]

Cisco 2960 : IOS 12.2: Poradite nekdo, jak si mam zapnout do bufferu logovani MAC Flapping ? Objevuje se nam mac adresa jak kdyby trasa byla nekde zakruhovana. Flpping dokonce mame dal na segmentu odchyceny, ale poteebuji zjksiti presne port.
Potrebuji dostat tento zapis z logu : %SW_MATM-4-MACFLAP_NOTIF: Host <MAC_ADDRESS> in vlan X is flapping
between port Gi0/Y and port Gi0/Z
To se mi zaitm nedari, sh log nic neukazuje. pole sh run, mame zapnute jen dvoje logovani : logging buffered informational
logging console informational

Za kazdou radu budu vdecny. Na netu sem nasel hodne rozboru situace kdyz se v klogu ukaze Flapping mac adres, ale nenasel jak si logovani nastavit.

[Dalibor Toman]

ze nejaka MAcka flapuje loguji cisco switche automaticky. Takze to vypada, ze na tom konkretnim switchi ke skakani MACky z jednoho interface na druhy nedoslo.

pro sledovani MACek muzes na switchi pouzit neco jako:
!
mac address-table notification change history-size 100
mac address-table notification change
mac address-table notification mac-move
!

sh mac address-table notification change
sh mac address-table notification mac-move

pripadne je mozne nechat posilat info pomoci SNMP trapu.


Mas tam zapnute (R)STP? Muzes zkusit
#debug spann event

pripadne sledovat pomoci
sh spann vlan XY
kdy a na kterem portu doslo k nejake udalosti

[zubodravec]

Diky za info, nic sme neobjevili, tak sem chtel zapnotu DAI , prikazem Ip arp inspection, aparametr inspection mi chybi.
Nevis nahodou proc parametr inspection tam nemam , cisco 2960v08, IOS 12.2. ?
http://www.cisco.com/c/en/us/td/docs/sw ... ynarp.html

ze nejaka MAcka flapuje loguji cisco switche automaticky. Takze to vypada, ze na tom konkretnim switchi ke skakani MACky z jednoho interface na druhy nedoslo.

pro sledovani MACek muzes na switchi pouzit neco jako:
!
mac address-table notification change history-size 100
mac address-table notification change
mac address-table notification mac-move
!

sh mac address-table notification change
sh mac address-table notification mac-move

pripadne je mozne nechat posilat info pomoci SNMP trapu.


Mas tam zapnute (R)STP? Muzes zkusit
#debug spann event

pripadne sledovat pomoci
sh spann vlan XY
kdy a na kterem portu doslo k nejake udalosti

[Dalibor Toman]

DD<

arp inspection jsem nikdy nepouzil tak nevim. Ale v tom odkazu pisou ze musis mit LAN Base image. Netusim jestli na tu 2960 existuje LAN Lite, pokud ji mas tak mas smulu.

BTW co to je 2960v08 to ma byt 2960-8TC-L (8x100)? Ten se ani v Lan Lite zrejme nedelal:
http://www.cisco.com/c/en/us/products/s ... rison.html

[zubodravec]

hmm, clovek to ma pred ocima a stejne je slepej.
To mne zrovna napadlo jestli neexistuji ruzne verze.
Diky moc za rady. posunulo nas to.

DD<

arp inspection jsem nikdy nepouzil tak nevim. Ale v tom odkazu pisou ze musis mit LAN Base image. Netusim jestli na tu 2960 existuje LAN Lite, pokud ji mas tak mas smulu.

BTW co to je 2960v08 to ma byt 2960-8TC-L (8x100)? Ten se ani v Lan Lite zrejme nedelal:
http://www.cisco.com/c/en/us/products/s ... rison.html

[zubodravec]

v8, verze 8,
ale nenapsal jsem to zasadni. je to 2960-24TS-S (tedy lite verze)
Ale mam tady i L , Lan base verze.

DD<

arp inspection jsem nikdy nepouzil tak nevim. Ale v tom odkazu pisou ze musis mit LAN Base image. Netusim jestli na tu 2960 existuje LAN Lite, pokud ji mas tak mas smulu.

BTW co to je 2960v08 to ma byt 2960-8TC-L (8x100)? Ten se ani v Lan Lite zrejme nedelal:
http://www.cisco.com/c/en/us/products/s ... rison.html

[Dalibor Toman]

Pokud je v te problemove trase vice vlanek, pak bych si dal pozor na:
- zarizeni, ktera nemaji per VLAN bridgeovaci tabulku (ALCOMA, Mikrotik bridge,hloupejsi switche,...)
- routovaci interfacy, ktere pro VLAN subinterfacy nemaji unikatni MACky (linux napr, tim padem i RouterOS atd). Byv zvykly od Cisca, ze VLAN interface ma unikatni MACku jsem takhle uz parkrat narazil. Bohuzel uz i Cisco nerezervuje a neprideluje v nekterych zarizenich unikatni MAcky pro subinterfacy...

[zubodravec]

Trasa ktera z ktere se siri ARP poison jsou jen tri cisco switche ve lehke verzi S. Nic vic, zadyn ap, Alcoma atd.
Mikrotika sme hledali, a nikdo ze zakosu ho nema. Ale je tam jeden blbej switch.
Nam se vyskytuje MAC ardesa nasi hlavni brany nejen u uplinku , ale flappuje i z druhe strany, uprostred trasy mame pronajaty okruh UPC a ten
jim hlasi ze MAC nasi brany se jim vyskytuje stridave spraven a stridave na druhe strane. Prvni napad byl, ze by to mohl delat Mikrotik kdyz ma rezim detekce ciziho dhcp. proste detekuje dhcp na Wanu, my mame na jednom segmentu neklik IP poolu od stejneho serveru.
No udelame upgrejd na L verze a zarizneme to.

Pokud je v te problemove trase vice vlanek, pak bych si dal pozor na:
- zarizeni, ktera nemaji per VLAN bridgeovaci tabulku (ALCOMA, Mikrotik bridge,hloupejsi switche,...)
- routovaci interfacy, ktere pro VLAN subinterfacy nemaji unikatni MACky (linux napr, tim padem i RouterOS atd). Byv zvykly od Cisca, ze VLAN interface ma unikatni MACku jsem takhle uz parkrat narazil. Bohuzel uz i Cisco nerezervuje a neprideluje v nekterych zarizenich unikatni MAcky pro subinterfacy...

[Dalibor Toman]

DD,

nechci strasit ale Lite verze IOSu muze znamenat i lite verzi hardware. Napriklad 2960X v lite je jiny hardware (v podstate nepouzitelny switch) nez v LAN Base verzi

[zubodravec]

Klííd , uz sem vystrasenej dostatecne ))

DD,

nechci strasit ale Lite verze IOSu muze znamenat i lite verzi hardware. Napriklad 2960X v lite je jiny hardware (v podstate nepouzitelny switch) nez v LAN Base verzi