форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Беда со spanning tree"
Сообщение от Sonne on 27-Ноя-03, 17:07  (MSK)
Отключаю STP проткол на свиче Catalyst 2950-24 командой no spanning-tree vlan 1 sho spanning-tree No spanning tree instances exist. Тем не менее на компе, подключенному к свичу делаю tcpdump по MAC адресу свича и вижу транслируемые BPDU: 17:02:45.910275 802.1d config 8085.00:07:84:32:0a:40.8004 root 8000.00:01:43:8b:4c:2f pathcost 157 age 4 max 20 hello 2 fdelay 15 Спрашивается, какого хрена свич с отключеным STP транслирует чужие фреймы 802.1d во все VLANы ? И как ему запретить это делать?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Беда со spanning tree"
Сообщение от 8thc on 27-Ноя-03, 17:20  (MSK)
>Отключаю STP проткол на свиче Catalyst 2950-24 >командой no spanning-tree vlan 1 > >sho spanning-tree > >No spanning tree instances exist. > >Тем не менее на компе, подключенному к свичу делаю tcpdump по MAC >адресу свича и вижу транслируемые BPDU: > >17:02:45.910275 802.1d config 8085.00:07:84:32:0a:40.8004 root 8000.00:01:43:8b:4c:2f pathcost 157 age 4 max 20 >hello 2 fdelay 15 > >Спрашивается, какого хрена свич с отключеным STP транслирует чужие фреймы 802.1d во >все VLANы ? И как ему запретить это делать? > mac access-list extended :)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Беда со spanning tree"
	Сообщение от Volume on 27-Ноя-03, 17:59  (MSK)
	на свитче только 1 вилан? то к чему подключен свитч запускает стп? на порту spann portfa стоит? sh ver ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Беда со spanning tree"
	Сообщение от Sonne on 27-Ноя-03, 18:42  (MSK)
	>на свитче только 1 вилан? >то к чему подключен свитч запускает стп? >на порту spann portfa стоит? нет >sh ver ? Ситуация такая: На свиче куча VLAN, по сути он работает разветвителем сбаинтерфейсов 7200. К портам подключены куча пиров, у них свои свичи которые в принципи могут слать (и шлют) всякую гадость в т. числе STP BPDU. До сих пор было все хорошо, пока не пришлось делать подключение к линку с жесткими требованиями - только один MAC адрес. Я остановил spaning-tree на этом порту, сделал no cdp run, но все равно видно что сам свич каждые 2 секунды посылает 64 байтный пакет. Смоделировав ситуацию на  менее критичном узле я выяснил, что Каталист 2950 форвардит чужие BPDU через себя, даже если отключен STP. В принципе, такое поведение описано в доках, но весь прикол в том что поднято MSTP. Иными словами, свич форвардит BPDU которые приходят с одного VLANа yf другой, причем на них обоих STP отключен. Я такое поведение считаю багом :( Вот часть конфига свича: spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id no spanning-tree vlan 1 no spanning-tree vlan 23 С 1 валится ботва, на 23 я не должен ее форвардить, но она валится. interface FastEthernet0/3 description BOTVA switchport mode access switchport nonegotiate no ip address duplex half speed 10 interface FastEthernet0/22 description ONLY ONE MAC ALLOWED switchport access vlan 23 switchport mode access switchport nonegotiate no ip address duplex full speed 10 no cdp enable ArtProviders#sho version Cisco Internetwork Operating System Software IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(13)EA1c, RELEASE SOFTWARE (fc1) Copyright (c) 1986-2003 by cisco Systems, Inc. Compiled Tue 24-Jun-03 17:31 by yenanh Image text-base: 0x80010000, data-base: 0x805A8000 ROM: Bootstrap program is CALHOUN boot loader ArtProviders uptime is 4 hours, 56 minutes System returned to ROM by power-on System restarted at 13:42:55 MSK Thu Nov 27 2003 System image file is "flash:/c2950-i6q4l2-mz.121-13.EA1c.bin" cisco WS-C2950-24 (RC32300) processor (revision B0) with 20839K bytes of memory. Processor board ID FAB0531Q0B8 Last reset from system-reset Running Standard Image 24 FastEthernet/IEEE 802.3 interface(s) 32K bytes of flash-simulated non-volatile configuration memory. Base ethernet MAC Address: 00:06:52:BD:A8:80 Motherboard assembly number: 73-5781-08 Motherboard serial number: FAB0525B4FO Model revision number: B0 Model number: WS-C2950-24 System serial number: FAB0531Q0B8 Configuration register is 0xF
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Беда со spanning tree"
	Сообщение от Volume on 27-Ноя-03, 23:35  (MSK)
	но на этом свитче все-таки pvst? попробуйте включить портфаст на 22 порту, по идее хелло должны прекратиться если только кто-то находящийся на этом порту не шлет хелло вашему свичу...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Беда со spanning tree"
	Сообщение от Sonne on 28-Ноя-03, 10:08  (MSK)
	Все отключил, забокировал stp на всех Vlan, порт 22 поставил в portfast. Картина не изменилась. Регулярно, каждые 2-5 секунд вылетает пакет размером 64 байта с mac адресом свича. Может это не STP даже? :) Я думаю, что картина может быть такая. 1. Есть какой то свич который работает со старым протоколом CSTP с привязкой по портам. Он шлет пакет на наш свич. 2. На нашем свиче работает PVST+, который создает отдельную сущность для каждого VLAN, но... По умолчанию PVST+ ловит пакеты старого формата и транслирует их каждой сущности PVST+. 3. В доке по каталисту написано, что даже если STP полностью отключен, он предает пакеты BPDU в режиме форвардинга со своим source-mac. Вот и получается, что хотя VLANы полностью изолированы, и STP отключен  тем не менее просачиваются нежеланные пакетики. Если моя гипотеза верна, то решить проблему можно следующими способами 1) Запретить каталисту транслировать пакеты старого формата. ( Как это сделать я не нашел) 2) Зафильтровать входящие не нужные пакеты по mac. ( 24 порта, почти в кажлм из которых линк к чужим свичам или роутерам которые могут меняться. Нетривиально и ненадежно) 3) Ну и еще один лучик надежды - в доках написано что пакеты старого формата ходят только по VLAN1. Если я избавлюсь от присутсвия VLAN1 на свиче, может быть все прекратится? Одним словом, нетривиальная ситуация. P.S Может быть действительно пакеты не STP, тогда что? с регулярным интервалом 2-5 секунд, не бродкастовый пакет размером 64 байта выходит пакет с мак адресом свича.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Беда со spanning tree"
	Сообщение от ВОЛКА on 28-Ноя-03, 10:56  (MSK)
	ну так поставьте нормальный снифер, который разбирает пакеты по битикам...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Беда со spanning tree"
	Сообщение от Volume on 28-Ноя-03, 11:10  (MSK)
	>ну так поставьте нормальный снифер, который разбирает пакеты по битикам... да, и покажите после этого что наснифили и мак-адрес вашего свитча
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Беда со spanning tree"
	Сообщение от Sonne on 28-Ноя-03, 12:03  (MSK)
	>ну так поставьте нормальный снифер, который разбирает пакеты по битикам... Я не могу поставить нормальный снифер! Кто меня пустит с ним на 9ку? Вобщем копаясь в доках по дебагу STP я нашел волшебные команды и отловил что на порт 22 попадают следующие пакеты: debug spanning-tree switch rx decode debug spanning-tree switch rx process STP SW: PROC RX: 0180.c200.0000<-0010.2933.d11b type/len 0026 Nov 28 10:55:38.119 MSK:     encap SAP linktype ieee-st vlan 23 len 52 on v23 Fa0/22 Nov 28 10:55:38.119 MSK:     42 42 03 SPAN Nov 28 10:55:38.119 MSK:     CFG P:0000 V:00 T:00 F:00 R:1FFF 0005.3107.aabc 00000004 Nov 28 10:55:38.119 MSK:     B:8000 0030.7b25.06bc 80.8C A:0100 M:1400 H:0200 F:0F00 Nov 28 10:55:38.123 MSK: STP SW: SW FLOOD Fa0/22 23 linktype 19 (ieee-st) 0180.c200.0000 Затем ради интереса посмотрел что генерит свич на выход. debug spanning-tree switch tx decode debug spanning-tree switch tx Nov 28 11:07:12.180 MSK: STP SW: TX: 0100.0ccc.cccd<-0006.52bd.a88d type/len 0032 Nov 28 11:07:12.180 MSK:     encap SNAP linktype sstp vlan 23 len 64 on v23 Fa0/13 Nov 28 11:07:12.180 MSK:     AA AA 03 00000C 010B SSTP Nov 28 11:07:12.180 MSK:     CFG P:0000 V:00 T:00 F:00 R:1FFF 0005.3107.aabc 00000004 Nov 28 11:07:12.180 MSK:     B:8000 0030.7b25.06bc 80.8C A:0100 M:1400 H:0200 F:0F00 Nov 28 11:07:12.180 MSK:      T:0000 L:0002 D:0017 Видим что входящиие пакеты типа <encap SAP linktype ieee-st> были преобразованы в тип <encap SNAP linktype sstp> и посланы благополучно в транковый порт Fa0/13. Преобразование типов происходит только для портов принадлежащих VLAN1 или транков содержащих VLAN1. Это все подверждает гипотезу о том, что каталист преобразует пакеты   Почитал книжку http://bugtraq.ru/library/books/stp/ Я в полной печали!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Беда со spanning tree"
	Сообщение от rpm on 29-Ноя-03, 13:04  (MSK)
	Попробуйте включить spanning-tree bpdufilter enable
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Беда со spanning tree"
	Сообщение от Sonne on 01-Дек-03, 12:20  (MSK)
	>Попробуйте включить spanning-tree bpdufilter enable Это все пробовал, на самом деле не помогло и не смогло бы помочь. Собрал урезанную модель у себя на столе, воткнул Ethereal и пробежался по шагам. Через некоторое время STP был замочен, остались только ... пакеты cisco loopback protocol :) Вот такие пакетики размером 64 байта, вылетают строго каждые 5 секунд с каждого интерйфейса. Слава богу no keepalive на каталистах никто не отменял. Зато теперь можно сказать что я немного знаю SpanningTree, за это можно было даже пивка глотнуть.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.