LTP-4X и баг в block-duplicated-mac

[d771]

Здравствуйте!

Прошивка третьей версии "Eltex LTP-4X:rev.B software version 3.24.1 build 107 on 15.12.2015 11:15"

Функция gpon olt block-duplicated-mac срабатывает для mac-адресов, находящихся в разных vlan.

т.е. например:
терминалу выдаем vid 1700, и тегом его пускаем на front-port
далее пускаем нетегированый трафик с его mac-адресом на этот же front-port и получаем alarm "duplicate mac", блокировку терминала, а также ошибку в консоли:

Код: Выделить всё

Jan  1 01:56:51 LTP-4X pmchal: notice:   [ONT0/1] ONT configuration complete.
Jan  1 01:57:27 LTP-4X switchd: %NET-RX: macEntryProcess error 27
Jan  1 01:57:27 LTP-4X last message repeated 14 times
Jan  1 01:57:27 LTP-4X pmchal: notice:   [ONT0/1] ONT access blocked.
Jan  1 01:57:27 LTP-4X pmchal: notice:   [ONT0/1] Exiting blocked state in 5 min.


Если использовать команду "no gpon olt block-duplicated-mac", то в логах остается только "switchd: %NET-RX: macEntryProcess error 27", но трафик по прежнему не идет.

Конфиг станционной стороны при этом:

Код: Выделить всё

configure terminal
ip snmp engineID "0xef20caf8234e12401216b17d85"
profile cross-connect "inet"
outer vid "1700"
inner vid "1700"
user vid "1700"
exit
profile dba "clients"
bandwidth guaranteed "2048"
bandwidth besteffort "200000"
exit
gpon olt authentication "serial"
gpon olt broadcast-gem-port "4094"
interface ont 0/1
serial "ELTX020038D4"
service 0 profile cross-connect "inet"
service 0 profile dba "clients"
exit
exit
commit
switch
configure
vlan 1700
name base_inet
tagged front-port 0
tagged front-port 1
tagged front-port 2
tagged front-port 3
tagged pon-port 0
tagged pon-port 1
tagged pon-port 2
tagged pon-port 3
exit
interface front-port 0
bridging to front-port 0
bridging to front-port 1
bridging to front-port 2
bridging to front-port 3
exit
interface front-port 1
bridging to front-port 0
bridging to front-port 1
bridging to front-port 2
bridging to front-port 3
exit
interface front-port 2
bridging to front-port 0
bridging to front-port 1
bridging to front-port 2
bridging to front-port 3
exit
interface front-port 3
bridging to front-port 0
bridging to front-port 1
bridging to front-port 2
bridging to front-port 3
exit
commit
exit
exit
acs
privates
delete param "voice1_enable"
add "voice1_enable" "InternetGatewayDevice.Services.VoiceService.1.VoiceProfile.1.Line.1.Enable" nocheck
delete param "voice1_number"
add "voice1_number" "InternetGatewayDevice.Services.VoiceService.1.VoiceProfile.1.Line.1.SIP.AuthUserName" nocheck
add "voice1_number" "InternetGatewayDevice.Services.VoiceService.1.VoiceProfile.1.Line.1.DirectoryNumber" nocheck
add "voice1_number" "InternetGatewayDevice.Services.VoiceService.1.VoiceProfile.1.Line.1.CallingFeatures.CallerIDName" nocheck
add "voice1_number" "InternetGatewayDevice.Services.VoiceService.1.VoiceProfile.1.Line.1.SIP.URI" nocheck
delete param "voice1_password"
add "voice1_password" "InternetGatewayDevice.Services.VoiceService.1.VoiceProfile.1.Line.1.SIP.AuthPassword" nocheck
delete param "voice2_enable"
add "voice2_enable" "InternetGatewayDevice.Services.VoiceService.1.VoiceProfile.1.Line.2.Enable" nocheck
delete param "voice2_number"
add "voice2_number" "InternetGatewayDevice.Services.VoiceService.1.VoiceProfile.1.Line.2.SIP.AuthUserName" nocheck
add "voice2_number" "InternetGatewayDevice.Services.VoiceService.1.VoiceProfile.1.Line.2.DirectoryNumber" nocheck
add "voice2_number" "InternetGatewayDevice.Services.VoiceService.1.VoiceProfile.1.Line.2.CallingFeatures.CallerIDName" nocheck
add "voice2_number" "InternetGatewayDevice.Services.VoiceService.1.VoiceProfile.1.Line.2.SIP.URI" nocheck
delete param "voice2_password"
add "voice2_password" "InternetGatewayDevice.Services.VoiceService.1.VoiceProfile.1.Line.2.SIP.AuthPassword" nocheck
delete param "sip_proxy"
add "sip_proxy" "InternetGatewayDevice.Services.VoiceService.1.VoiceProfile.1.SIP.UserAgentDomain" nocheck
add "sip_proxy" "InternetGatewayDevice.Services.VoiceService.1.VoiceProfile.1.SIP.RegistrarServer" nocheck
add "sip_proxy" "InternetGatewayDevice.Services.VoiceService.1.VoiceProfile.1.SIP.ProxyServer" nocheck
add "sip_proxy" "InternetGatewayDevice.Services.VoiceService.1.VoiceProfile.1.SIP.OutboundProxy" nocheck
delete param "ppp_login"
add "ppp_login" "InternetGatewayDevice.WANDevice.1.WANConnectionDevice.1.WANPPPConnection.1.Username" nocheck
delete param "ppp_password"
add "ppp_password" "InternetGatewayDevice.WANDevice.1.WANConnectionDevice.1.WANPPPConnection.1.Password" nocheck
delete param "user_password"
add "user_password" "InternetGatewayDevice.X_BROADCOM_COM_LoginCfg.UserPassword" nocheck
delete param "admin_password"
add "admin_password" "InternetGatewayDevice.X_BROADCOM_COM_LoginCfg.AdminPassword" nocheck
delete param "wifi_enable"
add "wifi_enable" "InternetGatewayDevice.LANDevice.1.WLANConfiguration.1.Enable" nocheck
delete param "wifi_ssid"
add "wifi_ssid" "InternetGatewayDevice.LANDevice.1.WLANConfiguration.1.SSID" nocheck
delete param "wifi_encoding"
add "wifi_encoding" "InternetGatewayDevice.LANDevice.1.WLANConfiguration.1.BeaconType" nocheck
delete param "wifi_password"
add "wifi_password" "InternetGatewayDevice.LANDevice.1.WLANConfiguration.1.PreSharedKey.1.KeyPassphrase" nocheck
exit
firmware
schedule
set daily "00:00" "23:59"
set weekly "1" "7"
set period "2011-06-01" "2099-12-31"
exit
exit
exit
exit


Насколько я знаю, существование одного и того же mac'а в разных vlan не является нештатной работой сети, так что такое поведение выглядит довольно странно.

[vadim_kowalev]

Здравствуйте!

т.е. например:
терминалу выдаем vid 1700, и тегом его пускаем на front-port
далее пускаем нетегированый трафик с его mac-адресом на этот же front-port и получаем alarm "duplicate mac", блокировку терминала, а также ошибку в консоли:

Давайте подробнее разберемся в Вашей схеме:
Правильно ли я понимаю? Вы сначала с pon-port, к которому подключена ONT, транком пробрасываете трафик в vlan 1700, с pon-port до front - port.
А затем пускаете нетегированный трафик на этот же front-port с mac адресом ONT также со стороны pon-порта ?

[d771]

Именно так. Я это делаю не специально, просто для настройки я все воткнул в неуправляемый свич (и OLT и ONT), соответственно, мак из ONT гуляет нетегированым по этой сети, и попадает во front-port.
Но во front-порте без тега только management (настраиваю по дефолтному ip OLT 192.168.1.2), a трафик ONT тегируется тегом 1700, соответственно, в одном и том же vlan никак не могут оказаться эти MAC'и (с ONT vlan1700 не просачивается в lan-порт, я это первым делом проверил через tcpdump).

[d771]

Код: Выделить всё

LTP-4X#.
LTP-4X# show mac interface gpon-port 0
        ##          ONT Serial    ONT ID    GPON-port     GEM    UVID    CVID    SVID                  MAC
         1        ELTX020038D4         0            0     328    1700            1700    A8:F9:4B:56:DE:9E
         2        ELTX020038D4         0            0     328    1700            1700    00:11:22:33:44:55

Total records: 2 of 2
LTP-4X# show mac interface ont 0/0

-----------------------------------
[ONT0/0] MAC table (2 records)
-----------------------------------

        ##     GEM    UVID    CVID    SVID                  MAC
         1     328    1700            1700    A8:F9:4B:56:DE:9E
         2     328    1700            1700    00:11:22:33:44:55

Total records: 2 of 2
LTP-4X# show alarm active all
    Active alarms (1):
        ##        Type                 Severity         Description
         0        Duplicate mac         Info              mac A8:F9:4B:56:DE:9E vlan 1700  dup_front_port 0  prev_channel 0 prev_ont ELTX020038D4



00:11:22:33:44:55 - мак тестового хоста в vlan1700, с которого пускаю туда трафик.

[vadim_kowalev]

Здравствуйте! Приложите, пожалуйста, вывод switch --> show running config и вывод switch --> show mac в момент блокировки.

Для дальнейшего анализа проблемы, настройте зеркалирование с front-port, к которому подклочен неуправляемый коммутатор, на любой другой свободный front-port LTP, снимите дамп с порта - анализатора в момент воспроизведения проблемы и посмотрите в каком vlan прилетают пакеты от ONT "из аплинка".

Прежде чем настроить зеркалирование, удалите front-port - анализатор из vlan 1700, это можно сделать командой switch --> configure --> vlan 1700 --> forbidden front-port x, где x - это порт, на который Вы будете настраивать зеркалирование.

Для настройки зеркалирования нужно использовать команды:

switch --> configure --> mirror tx interface front-port y
mirror rx interface front-port y
mirror tx analyzer front-port x
mirror tx analyzer front-port x
commit
Где y - порт LTP, к которому подключен неуправляемый свитч, a x - свободный front-port, с которого будете снимать дамп.
Приложите снятый дамп. Дамп желательно снимать при помощи Wireshark.