проблема MES-3124F %BRG_MACNTFY-I-MAC_FLAPPING

[cagami]

%BRG_MACNTFY-I-MAC_FLAPPING: Host 00:24:38:ef:0f:81 in vlan 1103 is flapping between port te1/0/1 and port po1
наблюдаю раз в пять часов в логах
схема подключения
brocade lag(eth1-8)---->(fasteth1-0)eltex(ten1/0/1)--->(10g)extrim
на экстриме находятся клиенты в разных вланах.На brocade L3
00:24:38:ef:0f:81 принадлежит brocade
так же если сделать

Код: Выделить всё

console#sh mac address-table vlan 1103

  Vlan        Mac Address         Port       Type
-------- --------------------- ---------- ----------
  1103     00:0c:76:4e:0e:01    te1/0/1    dynamic
  1103     00:0d:88:41:cf:21      Po1      dynamic
  1103     00:13:d3:c7:49:65    te1/0/1    dynamic
  1103     00:14:d1:65:4a:ce    te1/0/1    dynamic
  1103     00:24:21:a4:35:d2    te1/0/1    dynamic
  1103     00:24:38:ef:0f:81      Po1      dynamic
  1103     00:25:22:04:ce:66    te1/0/1    dynamic
  1103     14:d6:4d:09:9c:fb    te1/0/1    dynamic
  1103     18:a6:f7:50:a3:53    te1/0/1    dynamic
  1103     20:cf:30:7e:04:d0      Po1      dynamic
  1103     28:28:5d:8d:6c:13      Po1      dynamic
  1103     34:08:04:14:91:63    te1/0/1    dynamic
  1103     40:61:86:63:b5:56    te1/0/1    dynamic
  1103     4c:60:de:e7:1d:10    te1/0/1    dynamic
  1103     64:70:02:98:7e:23    te1/0/1    dynamic
  1103     78:24:af:77:f8:46    te1/0/1    dynamic
  1103     84:1b:5e:69:97:35    te1/0/1    dynamic
  1103     90:f6:52:c8:e9:e7    te1/0/1    dynamic
  1103     98:de:d0:96:f7:b7    te1/0/1    dynamic
  1103     a0:21:b7:99:8b:e1    te1/0/1    dynamic
  1103     b0:b2:dc:3e:13:77    te1/0/1    dynamic
  1103     b4:b5:2f:2f:8a:fa    te1/0/1    dynamic
  1103     b8:a3:86:1b:3f:47    te1/0/1    dynamic
  1103     cc:5d:4e:4e:d9:55    te1/0/1    dynamic
  1103     e8:94:f6:3f:10:42    te1/0/1    dynamic
  1103     f4:ec:38:ac:48:85    te1/0/1    dynamic
  1103     f8:d1:11:2e:5e:df    te1/0/1    dynamic


странно видеть на po1 маки клиентов

[Евгений Т]

Добрый день.

Это сообщение о флаппинге маков. Следует определить какому порту принадлежит MAC 00:24:38:ef:0f:81 и почему он появился на другом порту.

[cagami]

Эм.... а вы прочитали моё сообщение?
я написал что mac-принадлежит brocade
и флапнут он не мог даже если оооочень захотел
так же наблюдается проблема с другими маками
которые появляются на порту(po1-LAG), что физически не возможно так как со стороны po1 стоит brocade(и она выполняет роль L3)

[Евгений Т]

и флапнут он не мог даже если оооочень захотел

На месе реализован функционал логирования флаппинга MAC адресов. Работает он корректно. Проверено. Флаппинг обнаруживается, если выполняется следующее условие:
Динамическая запись в MAC-таблице меняет порт четыре раза, при этом между каждой сменой проходит не более 2 секунд (точность измерения - одна секунда).
Укажите на схеме где у вас PO1. На MES3124F нет fasteth портов.

так же наблюдается проблема с другими маками
которые появляются на порту(po1-LAG), что физически не возможно так как со стороны po1 стоит brocade(и она выполняет роль L3)

По обоим проблемам следующая рекомендация: отзеркалируйте интерфейсы po1 и te0/1 по rx трафику.

[cagami]

Укажите на схеме где у вас PO1. На MES3124F нет fasteth портов.

вы правы, не fasteth, а gi1/0/1 -gi1/0/8
схему приложил и повторю вывод sh mac address-table vlan 1103
на Po1 может быть только один mac (т.к со стороны Po1) стоит одна железка.
но мы видим другую ситуацию

Код: Выделить всё

console#sh mac address-table vlan 1103

  Vlan        Mac Address         Port       Type
-------- --------------------- ---------- ----------
  1103     00:0c:76:4e:0e:01    te1/0/1    dynamic
  1103     00:0d:88:41:cf:21      Po1      dynamic
  1103     00:13:d3:c7:49:65    te1/0/1    dynamic
  1103     00:14:d1:65:4a:ce    te1/0/1    dynamic
  1103     00:24:21:a4:35:d2    te1/0/1    dynamic
  1103     00:24:38:ef:0f:81      Po1      dynamic
  1103     00:25:22:04:ce:66    te1/0/1    dynamic
  1103     14:d6:4d:09:9c:fb    te1/0/1    dynamic
  1103     18:a6:f7:50:a3:53    te1/0/1    dynamic
  1103     20:cf:30:7e:04:d0      Po1      dynamic
  1103     28:28:5d:8d:6c:13      Po1      dynamic
  1103     34:08:04:14:91:63    te1/0/1    dynamic
  1103     40:61:86:63:b5:56    te1/0/1    dynamic
  1103     4c:60:de:e7:1d:10    te1/0/1    dynamic
  1103     64:70:02:98:7e:23    te1/0/1    dynamic
  1103     78:24:af:77:f8:46    te1/0/1    dynamic
  1103     84:1b:5e:69:97:35    te1/0/1    dynamic
  1103     90:f6:52:c8:e9:e7    te1/0/1    dynamic
  1103     98:de:d0:96:f7:b7    te1/0/1    dynamic
  1103     a0:21:b7:99:8b:e1    te1/0/1    dynamic
  1103     b0:b2:dc:3e:13:77    te1/0/1    dynamic
  1103     b4:b5:2f:2f:8a:fa    te1/0/1    dynamic
  1103     b8:a3:86:1b:3f:47    te1/0/1    dynamic
  1103     cc:5d:4e:4e:d9:55    te1/0/1    dynamic
  1103     e8:94:f6:3f:10:42    te1/0/1    dynamic
  1103     f4:ec:38:ac:48:85    te1/0/1    dynamic
  1103     f8:d1:11:2e:5e:df    te1/0/1    dynamic

[Евгений Т]

Схема не отображается.

на Po1 может быть только один mac (т.к со стороны Po1) стоит одна железка.
но мы видим другую ситуацию

Рекомендации выданы комментарием выше.

[cagami]

Схема не отображается.

на Po1 может быть только один mac (т.к со стороны Po1) стоит одна железка.
но мы видим другую ситуацию

Рекомендации выданы комментарием выше.

https://yadi.sk/i/Vihhe1j-3EtrU3
рекомендации не подходят. приложил схему ссылкой

[Евгений Т]

Почему не подходят? Иных вариантов понять какими пакетами вызван флаппинг мака нет.

[cagami]

Почему не подходят? Иных вариантов понять какими пакетами вызван флаппинг мака нет.

посмотрите пожалуйста схему на po1 стоит одна железка
в нее воткнуто несколько 1g(LAG) и uplink(ospf) на ней больше нет ничего, откуда у нее возьмется другие маки?
на этой железке терминируются vlan'ы(L3)
схема примитивная как топор. по этой причине я могу сказать, что миррорить трафик нет смысла

[Евгений Т]

Я уже описал принцип работы данного функционала. Если появляется лог, значит мак на том порту есть!!! Доказано и проверено на 100 раз.
Проблема не на коммутаторе. Не верите - снимите зеркало в момент появления лога. Иных вариантов нет.

[cagami]

Я уже описал принцип работы данного функционала. Если появляется лог, значит мак на том порту есть!!! Доказано и проверено на 100 раз.
Проблема не на коммутаторе. Не верите - снимите зеркало в момент появления лога. Иных вариантов нет.

хорошо вы утверждаете, что проблема не в элтексе?
хорошо я в пнд поеду зазеркалю трафик, что я там должен увидеть?
просто если вы обратите внимание на выхлоп console#sh mac address-table vlan 1103
который я предоставил, то я там вижу на порту po1 мак который принадлежит клиенту
при этом я его нормально вижу и на brocade(на порту LAG) и на extrim(на downlink'е свитча) а так же на свитче на абонентском порту.
НО на элтех я его вижу со стороны brocade.
как вы это поведение объясните?

[Евгений Т]

Проблема не на коммутаторе. Не верите - снимите зеркало в момент появления лога. Иных вариантов нет.

Хотя есть еще вариант.
mac access-list extended 123
deny 00:24:38:ef:0f:81 00:00:00:00:00:00 any log-input
permit any any
exit
!
interface port-channel 1
service-acl input 123
exit
!

Потом чистите счетчики
clear counters
И через сутки (раз стабильно раз в 5 часов флаппинг проявляется) смотрите show interfaces access-lists Port-Channel 1

как вы это поведение объясните?

Прокомментировал выше. Раз маков там быть не должно, значит смотрите дамп. Или аналогичным ACL смотрите наличие пакетов на po1.

[Евгений Т]

Добрый день.

Выполняли рекомендации?

[druidfan]

Встречались с такой ситуацией. Правда в нашем случае наверху был либо роутер либо L3 коммутатор Cisco. проблемой были shdsl модемы Zyxel на уровни access. Они при потере линка с удаленным модемом пакеты предназначенные для удаленного модема отправляли обратно в порт откуда он пришел не изменяя mac отправителя и в результате flap, может в вашей ситуации такая же история???

[cagami]

Проблема не на коммутаторе. Не верите - снимите зеркало в момент появления лога. Иных вариантов нет.

Хотя есть еще вариант.
mac access-list extended 123
deny 00:24:38:ef:0f:81 00:00:00:00:00:00 any log-input
permit any any
exit
!
interface port-channel 1
service-acl input 123
exit
!

я правильно понимаю, что вы советуете мне повесить acl
на порт po1 на котором должен быть один мак 00:24:38:ef:0f:81 и запретить его?
эммммм
или я чего-то не понимаю.