MES3124F. Работа Storm-Control

[Sergye]

Ситуацию повторили. Будем решать в ближайшем ПО

В апрельской ревиизии софта ?

[Александр Селезнев]

В апрельской ревиизии софта ?

Да

[urs]

А ещё такой вопрос (мне сейчас не проверить, к сожалению):

Команда storm-control include-multicast заблокирует bpdu?

Дело в том, что при изучении документации на Cisco ME3600X, взгляд наткнулся на фразу о том, что:

Note When the storm control threshold for multicast traffic is reached, all multicast traffic except control traffic, such as bridge protocol data unit (BDPU) and Cisco Discovery Protocol (CDP) frames, are blocked. However, the switch does not differentiate between routing updates, such as OSPF, and regular multicast data traffic, so both types of traffic are blocked.

http://www.cisco.com/c/en/us/td/docs/switches/metro/me3600x_3800x/software/release/15-1_2_ey/configuration/guide/3800x3600xscg/swtrafc.html

Т.е. получается там можно словить шторм bpdu-шками и при включенной защите...

Поэтому, хотелось бы понимать как будет тут вести себя MES3124F ?
Спасибо.

[urs]

Я добрался до коммутатора.
Протестировал работу storm-control include-multicast и BPDU
Наблюдаю что при большом трафике порт не заблокировался и в логах ничего нету.

Вопросы:
1. Пропуск BPDU на MES312F при живом storm-control include-multicast - это бага или фича?
2. Почему на CPU попадает только 122 пакета/c, при трафике на интерфейсе 120 Мбит/c ? Где-то буфер переполняется?

Информация:
1. Поставил генератор BPDU - утилита yersinia (есть в ubuntu)
2. Настройки порта:
#sh run int gi0/12

Код: Выделить всё

interface gigabitethernet 1/0/12
 storm-control broadcast enable
 storm-control broadcast level kbps 1
 storm-control broadcast logging
 storm-control include-multicast
exit

3. Включил в yersinia атаку "sending conf BPDUs"

Трафик на порту 120 Mbit/s входящий (ubuntu показывает 240K пакетов/с передано)

Код: Выделить всё

#sh int gi0/12
gigabitethernet 1/0/12 is up (connected)
  Interface index is 60
  Hardware is gigabitethernet, MAC address is a8:f9:4b:a7:06:0c
  Interface MTU is 1500
  Full-duplex, 1000Mbps, link type is auto, media type is 1G-Combo-C
  Link is up for 0 days, 0 hours, 1 minutes and 18 seconds
  Advertised link modes: 1000baseT/Full 100baseT/Full
                         100baseT/Half 10baseT/Full
                         10baseT/Half 
  Flow control is off, MDIX mode is on
  15 second input rate is 120443 Kbit/s
  15 second output rate is 0 Kbit/s
      18277165 packets input, 1169737408 bytes received
      0 broadcasts, 18277159 multicasts
      0 input errors, 0 FCS, 0 alignment
      0 oversize, 0 internal MAC
      0 pause frames received
      46 packets output, 4072 bytes sent
      4 broadcasts, 42 multicasts
      0 output errors, 0 collisions
      0 excessive collisions, 0 late collisions
      0 pause frames transmitted
      0 symbol errors, 0 carrier, 0 SQE test error

#show interfaces counters gi0/12

      Port       InUcastPkts  InMcastPkts  InBcastPkts    InOctets   
---------------- ------------ ------------ ------------ ------------
    gi1/0/12          6         25935637        0        1659879680 

      Port       OutUcastPkts OutMcastPkts OutBcastPkts  OutOctets   
---------------- ------------ ------------ ------------ ------------
    gi1/0/12          0            65           7           7157     

Alignment Errors: 0
FCS Errors: 0
Single Collision Frames: 0
Multiple Collision Frames: 0
SQE Test Errors: 0
Deferred Transmissions: 0
Late Collisions: 0
Excessive Collisions: 0
Carrier Sense Errors: 0
Oversize Packets: 0
Internal MAC Rx Errors: 0
Symbol Errors: 0
Received Pause Frames: 0
Transmitted Pause Frames: 0

#show cpu input-rate detailed

     Traffic type       Rate in pps  Packets count
---------------------- ------------- -------------
http                   0             0             
telnet                 0             0             
ssh                    0             0             
snmp                   0             0             
ip                     0             0             
arp                    0             34           
arp inspection         0             0             
stp                    122           315027       
ieee*                  0             0             
route unknown          0             0             
ip hop by hop          0             0             
mtu exceeded           0             0             
ipv4 multicast         0             0             
ipv6 multicast         0             0             
dhcp snooping          0             0             
igmp snooping          0             0             
mld snooping           0             0             
ttl exceeded           0             0             
ipv4 illegal address   0             0             
ipv4 header error      0             0             
ip DA mismatch         0             0             
sflow                  0             0             
log deny ACEs          0             0 

[Александр Селезнев]

Наблюдаю что при большом трафике порт не заблокировался и в логах ничего нету.

Вопросы:
1. Пропуск BPDU на MES312F при живом storm-control include-multicast - это бага или фича?
2. Почему на CPU попадает только 122 пакета/c, при трафике на интерфейсе 120 Мбит/c ? Где-то буфер переполняется?

Пока не удалось провести аналогичный эксперимент.

Логирование и отключение порта шторм контролем пока реализовано только для broadcast trffic. Мультикаст и неизвестный юникаст просто режутся по Level и не проходят дальше порта. Подтверждение этому вы видели: трафик bpdu 120М не прошел дальше порта

Ограничение bpdu поступающих на cpu настраивается при помощи cpu-rate-limit

[Sergye]

В апрельской ревиизии софта ?

Да

Вот почти и май пришел )))))
Можно ожидать от вас до конца мая приятного сюрприза ?

[Александр Селезнев]

Да, сроки выхода версии ориентировочные. На данный момент работа по задачам, которые решаются в 45 версии еще идет. Данный баг уже исправлен.

[DAnEq]

и неизвестный юникаст

что такое неизвестный уникаст?

[Евгений Т]

Обычный юникастовый пакет, DST MAC адреса которого нет в таблице MAC адресов.

[Sergye]

и неизвестный юникаст

что такое неизвестный уникаст?

What happens if the destination MAC address of the frame is unknown to the switch? The switch then forwards the frame through all ports within a VLAN except the port the frame was received on. This is known as unknown unicast flooding.