Retrouver une adresse MAC source non valide

J'ai hérité de la prise en charge d'un site distant qui contient un Cisco 4500 et est connecté à environ 2 douzaines de commutateurs d'accès Cisco - principalement des 2960 avec un couple de 3750 et 3560. Tous les commutateurs d'accès ne sont pas directement connectés au 4500 - il y a une connexion en guirlande de commutateurs qui a apparemment été effectuée en raison d'un câblage inadéquat. Récemment, j'ai remarqué des messages Serror sur le 4500 qui indiquent que des trames ont été reçues avec une adresse MAC source non valide:

*Sep 10 09:29:48.609: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 102563 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Te5/1 in vlan 1460

Le périphérique connecté à Te5 / 1 est un commutateur d'accès (Cisco 3750). Il est à son tour connecté à 6 autres commutateurs d'accès. Après un peu de recherche sur Google, il semble que le 4500 soit la seule plate-forme Cisco qui enregistre les adresses Mac source non valides. D'après ma lecture, d'autres plates-formes (2960, 3750, etc.) semblent transmettre les trames, mais ne les enregistrent pas comme non valides, ni n'ajoutent une entrée à la table d'adresses mac. Je soupçonne que la cause racine des adresses mac source invalides pourrait être un nic défectueux, un bug logiciel ou peut-être un serveur vmware mal configuré. Quels outils sont disponibles sur les commutateurs d'accès pour localiser le port incriminé?

cisco switch layer2

— User123456
source

J'ai supprimé mon message, je ne savais pas qu'ils n'étaient pas visibles du tout. Si le commutateur ne les place pas dans CAM, je suppose que votre meilleur pari est d'exécuter la session SPAN sur les commutateurs, mais même alors, il serait difficile de trouver le port source. Une autre option serait de désactiver la monodiffusion inconnue et de voir si quelque chose se casse. Je suis surpris que la communication fonctionne. Si un hôte avec ce MAC envoie quelque chose en dehors de celui-ci, le GW devra ARP pour voir le MAC de l'hôte et encapsuler la trame, le GW a-t-il des mappages ARP étranges?

— Daniel Dib

Selon supportforums.cisco.com/docs/DOC-36000, ces trames doivent être supprimées dans HW afin qu'au moins cela ne devrait pas affecter les performances des commutateurs.

— Daniel Dib

Oui, selon ce lien: "Veuillez noter que les paquets avec une adresse MAC non valide seront supprimés de toute façon, tous les autres commutateurs Cisco Catalyst abandonnent silencieusement ces paquets dans HW, la plate-forme 4k génère explicitement un message de journalisation lorsqu'un tel événement est observé." ... mais je sais que cela ne peut pas vraiment être le cas puisque le 4500 se plaint des trames qui arrivent sur Te5 / 1 qui est le port connecté au 3750. Cela indiquerait que le 3750 transfère les trames avec l'invalide source mac malgré ce que dit DOC-36000.

— User123456

Diviser et conquérir!

— generalnetworkerror

Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne continue pas d'apparaître indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.

— Ron Maupin

Réponses:

Vous pouvez essayer si les trames peuvent être bloquées à l'aide d'une ACL MAC sur les interfaces et / ou sur les réseaux locaux virtuels sur les commutateurs d'accès. En appliquant les blocs de manière sélective et en vérifiant si les messages d'erreur sur le 4500 disparaissent ou non, vous pouvez identifier la source du trafic.

Déplacer les câbles pour voir si le port mentionné dans le message d'erreur du 4500 suit peut également aider, mais peut s'avérer délicat dans un environnement de production.

— Gerben
source

Généralement, quand j'ai vu cela, cela vient d'une machine virtuelle mal configurée (souvent hébergée sur une machine utilisateur). En fonction de la situation et de l'environnement, ils peuvent être difficiles à retrouver (en voir beaucoup dans une université dans les bâtiments des départements CS et ECE qui se déplaçaient et venaient / partaient comme les étudiants).

Vous avez déjà quelques bonnes réponses, mais une autre option que vous pouvez poursuivre consiste à ajouter la configuration suivante aux commutateurs en aval (37xx, 36xx, 29xx):

   mac address-table static 0000.0000.0000 vlan <VLAN ID> drop

Cela supprimera tout trafic avec ce MAC plutôt que de le transférer et comme cela devrait être fait sur le matériel (sauf les fonctionnalités / problèmes qui provoquent des recherches MAC dans le logiciel), cela ne devrait pas avoir un impact négatif sur les performances.

— YApprendre
source

Merci pour cette suggestion. Cela empêchera les trames d'être transmises à travers les lignes réseau vers d'autres commutateurs, ce qui est une grande victoire. Existe-t-il un moyen via les commandes de journalisation ou de débogage pour observer un port qui perd des trames en fonction de cette configuration?

— User123456

@fcorrao, malheureusement pas avec cette configuration. Vous devriez essayer de faire ce que Gerben a suggéré et utiliser une ACL MAC ou la suggestion de Dave de capturer le trafic hors des ports. Mais mon point de vue est que seul le périphérique mal configuré sera affecté de manière négative, soit il le fera savoir, soit il ne se remarquera même pas.

— Apprendre

Il me semble que cette erreur n'affecte pas les performances du réseau, car vous avez découvert les messages du journal par vous-même, plutôt que d'être inondé de plaintes des utilisateurs. Cela m'amène à soupçonner que le problème réside dans certains logiciels ou services connectés, mais partiellement configurés ou mal configurés qui ne sont pas actuellement utilisés.

Le mieux serait de laisser mentir ce chien endormi jusqu'à ce que certains utilisateurs signalent un problème. Alternativement, si vous avez du temps à perdre, vous pouvez exécuter des sessions SPAN comme l'a suggéré @Daniel Dib, et examiner la sortie de près jusqu'à ce que vous déterminiez un port ou un périphérique suspect.

— Dave dans l'Ohio
source