classic.ISPforum.cz

Cisco 2960 : IOS 12.2: Poradite nekdo, jak si mam zapnout do bufferu logovani MAC Flapping ? Objevuje se nam mac adresa jak kdyby trasa byla nekde zakruhovana. Flpping dokonce mame dal na segmentu odchyceny, ale poteebuji zjksiti presne port.
Potrebuji dostat tento zapis z logu : %SW_MATM-4-MACFLAP_NOTIF: Host <MAC_ADDRESS> in vlan X is flapping
between port Gi0/Y and port Gi0/Z
To se mi zaitm nedari, sh log nic neukazuje. pole sh run, mame zapnute jen dvoje logovani : logging buffered informational
logging console informational

Za kazdou radu budu vdecny. Na netu sem nasel hodne rozboru situace kdyz se v klogu ukaze Flapping mac adres, ale nenasel jak si logovani nastavit.

ze nejaka MAcka flapuje loguji cisco switche automaticky. Takze to vypada, ze na tom konkretnim switchi ke skakani MACky z jednoho interface na druhy nedoslo.

pro sledovani MACek muzes na switchi pouzit neco jako:
!
mac address-table notification change history-size 100
mac address-table notification change
mac address-table notification mac-move
!

sh mac address-table notification change
sh mac address-table notification mac-move

pripadne je mozne nechat posilat info pomoci SNMP trapu.


Mas tam zapnute (R)STP? Muzes zkusit
#debug spann event

pripadne sledovat pomoci
sh spann vlan XY
kdy a na kterem portu doslo k nejake udalosti

Diky za info, nic sme neobjevili, tak sem chtel zapnotu DAI , prikazem Ip arp inspection, aparametr inspection mi chybi.
Nevis nahodou proc parametr inspection tam nemam , cisco 2960v08, IOS 12.2. ?
http://www.cisco.com/c/en/us/td/docs/sw ... ynarp.html

Dalibor Toman píše:ze nejaka MAcka flapuje loguji cisco switche automaticky. Takze to vypada, ze na tom konkretnim switchi ke skakani MACky z jednoho interface na druhy nedoslo.

pro sledovani MACek muzes na switchi pouzit neco jako:
!
mac address-table notification change history-size 100
mac address-table notification change
mac address-table notification mac-move
!

sh mac address-table notification change
sh mac address-table notification mac-move

pripadne je mozne nechat posilat info pomoci SNMP trapu.


Mas tam zapnute (R)STP? Muzes zkusit
#debug spann event

pripadne sledovat pomoci
sh spann vlan XY
kdy a na kterem portu doslo k nejake udalosti

DD<

arp inspection jsem nikdy nepouzil tak nevim. Ale v tom odkazu pisou ze musis mit LAN Base image. Netusim jestli na tu 2960 existuje LAN Lite, pokud ji mas tak mas smulu.

BTW co to je 2960v08 to ma byt 2960-8TC-L (8x100)? Ten se ani v Lan Lite zrejme nedelal:
http://www.cisco.com/c/en/us/products/s ... rison.html

hmm, clovek to ma pred ocima a stejne je slepej.
To mne zrovna napadlo jestli neexistuji ruzne verze.
Diky moc za rady. posunulo nas to.

Dalibor Toman píše:DD<

arp inspection jsem nikdy nepouzil tak nevim. Ale v tom odkazu pisou ze musis mit LAN Base image. Netusim jestli na tu 2960 existuje LAN Lite, pokud ji mas tak mas smulu.

BTW co to je 2960v08 to ma byt 2960-8TC-L (8x100)? Ten se ani v Lan Lite zrejme nedelal:
http://www.cisco.com/c/en/us/products/s ... rison.html

v8, verze 8,
ale nenapsal jsem to zasadni. je to 2960-24TS-S (tedy lite verze)
Ale mam tady i L , Lan base verze.

Dalibor Toman píše:DD<

arp inspection jsem nikdy nepouzil tak nevim. Ale v tom odkazu pisou ze musis mit LAN Base image. Netusim jestli na tu 2960 existuje LAN Lite, pokud ji mas tak mas smulu.

BTW co to je 2960v08 to ma byt 2960-8TC-L (8x100)? Ten se ani v Lan Lite zrejme nedelal:
http://www.cisco.com/c/en/us/products/s ... rison.html

Pokud je v te problemove trase vice vlanek, pak bych si dal pozor na:
- zarizeni, ktera nemaji per VLAN bridgeovaci tabulku (ALCOMA, Mikrotik bridge,hloupejsi switche,...)
- routovaci interfacy, ktere pro VLAN subinterfacy nemaji unikatni MACky (linux napr, tim padem i RouterOS atd). Byv zvykly od Cisca, ze VLAN interface ma unikatni MACku jsem takhle uz parkrat narazil. Bohuzel uz i Cisco nerezervuje a neprideluje v nekterych zarizenich unikatni MAcky pro subinterfacy...

Trasa ktera z ktere se siri ARP poison jsou jen tri cisco switche ve lehke verzi S. Nic vic, zadyn ap, Alcoma atd.
Mikrotika sme hledali, a nikdo ze zakosu ho nema. Ale je tam jeden blbej switch.
Nam se vyskytuje MAC ardesa nasi hlavni brany nejen u uplinku , ale flappuje i z druhe strany, uprostred trasy mame pronajaty okruh UPC a ten
jim hlasi ze MAC nasi brany se jim vyskytuje stridave spraven a stridave na druhe strane. Prvni napad byl, ze by to mohl delat Mikrotik kdyz ma rezim detekce ciziho dhcp. proste detekuje dhcp na Wanu, my mame na jednom segmentu neklik IP poolu od stejneho serveru.
No udelame upgrejd na L verze a zarizneme to.

Dalibor Toman píše:Pokud je v te problemove trase vice vlanek, pak bych si dal pozor na:
- zarizeni, ktera nemaji per VLAN bridgeovaci tabulku (ALCOMA, Mikrotik bridge,hloupejsi switche,...)
- routovaci interfacy, ktere pro VLAN subinterfacy nemaji unikatni MACky (linux napr, tim padem i RouterOS atd). Byv zvykly od Cisca, ze VLAN interface ma unikatni MACku jsem takhle uz parkrat narazil. Bohuzel uz i Cisco nerezervuje a neprideluje v nekterych zarizenich unikatni MAcky pro subinterfacy...

DD,

nechci strasit ale Lite verze IOSu muze znamenat i lite verzi hardware. Napriklad 2960X v lite je jiny hardware (v podstate nepouzitelny switch) nez v LAN Base verzi

Klííd , uz sem vystrasenej dostatecne ))

Dalibor Toman píše:DD,

nechci strasit ale Lite verze IOSu muze znamenat i lite verzi hardware. Napriklad 2960X v lite je jiny hardware (v podstate nepouzitelny switch) nez v LAN Base verzi