Элтекс

%BRG_MACNTFY-I-MAC_FLAPPING: Host 00:24:38:ef:0f:81 in vlan 1103 is flapping between port te1/0/1 and port po1
наблюдаю раз в пять часов в логах
схема подключения
brocade lag(eth1-8)---->(fasteth1-0)eltex(ten1/0/1)--->(10g)extrim
на экстриме находятся клиенты в разных вланах.На brocade L3
00:24:38:ef:0f:81 принадлежит brocade
так же если сделать

странно видеть на po1 маки клиентов

Добрый день.

Это сообщение о флаппинге маков. Следует определить какому порту принадлежит MAC 00:24:38:ef:0f:81 и почему он появился на другом порту.

Эм.... а вы прочитали моё сообщение?
я написал что mac-принадлежит brocade
и флапнут он не мог даже если оооочень захотел
так же наблюдается проблема с другими маками
которые появляются на порту(po1-LAG), что физически не возможно так как со стороны po1 стоит brocade(и она выполняет роль L3)

и флапнут он не мог даже если оооочень захотел

На месе реализован функционал логирования флаппинга MAC адресов. Работает он корректно. Проверено. Флаппинг обнаруживается, если выполняется следующее условие:
Динамическая запись в MAC-таблице меняет порт четыре раза, при этом между каждой сменой проходит не более 2 секунд (точность измерения - одна секунда).
Укажите на схеме где у вас PO1. На MES3124F нет fasteth портов.

так же наблюдается проблема с другими маками
которые появляются на порту(po1-LAG), что физически не возможно так как со стороны po1 стоит brocade(и она выполняет роль L3)

По обоим проблемам следующая рекомендация: отзеркалируйте интерфейсы po1 и te0/1 по rx трафику.

Укажите на схеме где у вас PO1. На MES3124F нет fasteth портов.

вы правы, не fasteth, а gi1/0/1 -gi1/0/8
схему приложил и повторю вывод sh mac address-table vlan 1103
на Po1 может быть только один mac (т.к со стороны Po1) стоит одна железка.
но мы видим другую ситуацию

Схема не отображается.

на Po1 может быть только один mac (т.к со стороны Po1) стоит одна железка.
но мы видим другую ситуацию

Рекомендации выданы комментарием выше.

Евгений Т писал(а):Схема не отображается.

на Po1 может быть только один mac (т.к со стороны Po1) стоит одна железка.
но мы видим другую ситуацию

Рекомендации выданы комментарием выше.

https://yadi.sk/i/Vihhe1j-3EtrU3
рекомендации не подходят. приложил схему ссылкой

Почему не подходят? Иных вариантов понять какими пакетами вызван флаппинг мака нет.

Евгений Т писал(а):Почему не подходят? Иных вариантов понять какими пакетами вызван флаппинг мака нет.

посмотрите пожалуйста схему на po1 стоит одна железка
в нее воткнуто несколько 1g(LAG) и uplink(ospf) на ней больше нет ничего, откуда у нее возьмется другие маки?
на этой железке терминируются vlan'ы(L3)
схема примитивная как топор. по этой причине я могу сказать, что миррорить трафик нет смысла

Я уже описал принцип работы данного функционала. Если появляется лог, значит мак на том порту есть!!! Доказано и проверено на 100 раз.
Проблема не на коммутаторе. Не верите - снимите зеркало в момент появления лога. Иных вариантов нет.

Евгений Т писал(а):Я уже описал принцип работы данного функционала. Если появляется лог, значит мак на том порту есть!!! Доказано и проверено на 100 раз.
Проблема не на коммутаторе. Не верите - снимите зеркало в момент появления лога. Иных вариантов нет.

хорошо вы утверждаете, что проблема не в элтексе?
хорошо я в пнд поеду зазеркалю трафик, что я там должен увидеть?
просто если вы обратите внимание на выхлоп console#sh mac address-table vlan 1103
который я предоставил, то я там вижу на порту po1 мак который принадлежит клиенту
при этом я его нормально вижу и на brocade(на порту LAG) и на extrim(на downlink'е свитча) а так же на свитче на абонентском порту.
НО на элтех я его вижу со стороны brocade.
как вы это поведение объясните?

Проблема не на коммутаторе. Не верите - снимите зеркало в момент появления лога. Иных вариантов нет.

Хотя есть еще вариант.
mac access-list extended 123
deny 00:24:38:ef:0f:81 00:00:00:00:00:00 any log-input
permit any any
exit
!
interface port-channel 1
service-acl input 123
exit
!

Потом чистите счетчики
clear counters
И через сутки (раз стабильно раз в 5 часов флаппинг проявляется) смотрите show interfaces access-lists Port-Channel 1

как вы это поведение объясните?

Прокомментировал выше. Раз маков там быть не должно, значит смотрите дамп. Или аналогичным ACL смотрите наличие пакетов на po1.

Добрый день.

Выполняли рекомендации?

Встречались с такой ситуацией. Правда в нашем случае наверху был либо роутер либо L3 коммутатор Cisco. проблемой были shdsl модемы Zyxel на уровни access. Они при потере линка с удаленным модемом пакеты предназначенные для удаленного модема отправляли обратно в порт откуда он пришел не изменяя mac отправителя и в результате flap, может в вашей ситуации такая же история???

Евгений Т писал(а):

Проблема не на коммутаторе. Не верите - снимите зеркало в момент появления лога. Иных вариантов нет.

Хотя есть еще вариант.
mac access-list extended 123
deny 00:24:38:ef:0f:81 00:00:00:00:00:00 any log-input
permit any any
exit
!
interface port-channel 1
service-acl input 123
exit
!

я правильно понимаю, что вы советуете мне повесить acl
на порт po1 на котором должен быть один мак 00:24:38:ef:0f:81 и запретить его?
эммммм
или я чего-то не понимаю.