Jump to content

Pakete mit der falschen DST-Mac empfangen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Ja, aber nehmen wir mal:

2 3.276665000 213.68.169.44 192.168.100.178 TCP lavenir-lm > http [sYN] Seq=320944056 Win=65535[Malformed Packet]

 

Die DST-MAC ist "Dst: HewlettP_76:4e:94 (18:a9:05:76:4e:94)", ist die auf dem Switch bekannt? Wenn nein, ist der Flood ja OK.

Link to post

oha, geht ja mit wireshark auf:)

 

aber grade eben dieser Server ist doch genau das richtige um zu sehen das alles passt, im capture tauchen genau 2 pakete auf, die sind über 13 Sekunden voneinander "entfernt", beides SYNs

 

was mir komisch vorkommt sind diese IPin IP Pakete, die kommen rasend schnell daher, weiß nicht ob das Zielsystem da genug Zeit hatte zu reagieren

Link to post

Hi,

 

komisches Capture File. Mit welchem Tool haste das File erzeugt und mit welchen Einstellungen. CapLen begrenzt? (und auf dem testlaptop facebook offen - :-))

 

Wenn du diesen Traffic an jeden Port siehst - ist das def nicht ok.

 

Nun zur Analyse

- welche Module/SUP sind im Einsatz (DFC/CFC)

- welche Aufgaben hat hier der 6k? (rein l2/l3 - services)

- was sagt sh spann det für dieses vlan (werden hier die tc hochgezählt)

- was sagt sh mac-address detail|all für die gefluteten mac adressen?

- was sagt sh mac-address count ?

- was sagt sh vlan virt slot x (alle slots)

 

@Otaku: hier wird max 10kbit/s und max 10pps generiert. Sollte kein Problem sein.

 

ciao

Link to post
Hi,

 

komisches Capture File. Mit welchem Tool haste das File erzeugt und mit welchen Einstellungen. CapLen begrenzt? (und auf dem testlaptop facebook offen - :-))

 

:D in welcher Zeile war denn das zu sehen? Peinlich Peinlich

 

Danke das mich endlich mal jemand ganz klar darin bestätigt das es nicht OK is das ich die Packete sehe.

 

Und jetzt noch kurz zu deinen Fragen:

 

Cat6509#sh module

Mod Ports Card Type Model Serial No.

--- ----- -------------------------------------- ------------------ -----------

1 2 Catalyst 6000 supervisor 2 (Active) WS-X6K-SUP2-2GE

2 2 Catalyst 6000 supervisor 2 (Warm) WS-X6K-SUP2-2GE

3 16 16 port 1000mb GBIC ethernet WS-X6416-GBIC

4 16 16 port 1000mb GBIC ethernet WS-X6416-GBIC

5 48 48 port 10/100 mb RJ45 WS-X6348-RJ-45

6 48 48 port 10/100/1000mb EtherModule WS-X6148-GE-TX

 

Mod MAC addresses Hw Fw Sw Status

--- ---------------------------------- ------ ------------ ------------ -------

1 0002.7e27.d98c to 0002.7e27.d98d 2.2 7.1(1) 12.2(18)SXD6 Ok

2 0001.6476.19cc to 0001.6476.19cd 2.2 7.1(1) 12.2(18)SXD6 Ok

3 0003.32bc.5c1f to 0003.32bc.5c2e 1.2 5.4(2) 8.3(0.156)RO Ok

4 00b0.c2f5.8a50 to 00b0.c2f5.8a5f 1.1 5.3(1) 8.3(0.156)RO Ok

5 0004.de82.0010 to 0004.de82.003f 1.5 5.4(2) 8.3(0.156)RO Ok

6 0003.3235.17d2 to 0003.3235.1801 6.1 7.2(1) 8.3(0.156)RO Ok

 

Mod Sub-Module Model Serial Hw Status

--- --------------------------- ------------------ ------------ ------- -------

1 Policy Feature Card 2 WS-F6K-PFC2 SAD052104LL 1.4 Ok

1 Cat6k MSFC 2 daughterboard WS-F6K-MSFC2 SAD052201B8 1.2 Ok

2 Policy Feature Card 2 WS-F6K-PFC2 SAD0521050S 1.4 Ok

2 Cat6k MSFC 2 daughterboard WS-F6K-MSFC2 SAD051805HG 1.2 Ok

 

Der 6509 ist bei uns der zentraler Kontenpunkt in unserem Netz der auch fürs Routing zuständig is. Sonst dient er eigentlich nur noch als Sternverteiler für die Etagenswitches und als Backbornanbindung für die Server.

 

Wenn du bei sh spann det die "Number of topology changes" meintest die bleiben gleich.

Number of topology changes 2113 last change occurred 12:02:36 ago

 

Was den Mac-count angeht haben wir noch weng luft nach oben.:o

Cat6509#sh mac-add cou

MAC Entries for all vlans :

Dynamic Address Count: 425

Static Address (User-defined) Count: 39

Total MAC Addresses In Use: 464

Total MAC Addresses Available: 131072

Link to post

Teil 2

 

So dann haben wir hier noch die Output von sh vlan virt slot x

 

Cat6509#sh vlan virt slot 1

Slot 1

Port Virtual-ports

-------------------------

Total virtual ports:0

Cat6509#sh vlan virt slot 2

Slot 2

Port Virtual-ports

-------------------------

Total virtual ports:0

Cat6509#sh vlan virt slot 3

Slot 3

Port Virtual-ports

-------------------------

Gi3/1 18

Gi3/2 18

Gi3/3 1

Gi3/4 18

Gi3/5 1

Gi3/6 1

Gi3/7 1

Gi3/8 1

Gi3/13 1

Gi3/15 1

Gi3/16 1

Total virtual ports:62

Cat6509#sh vlan virt slot 4

Slot 4

Port Virtual-ports

-------------------------

Gi4/2 1

Gi4/11 18

Total virtual ports:19

Cat6509#sh vlan virt slot 5

Slot 5

Port Virtual-ports

-------------------------

Fa5/2 1

Fa5/3 1

Fa5/4 1

Fa5/8 1

Fa5/9 1

Fa5/10 1

Fa5/12 1

Fa5/13 1

Fa5/14 1

Fa5/16 1

Fa5/17 1

Fa5/18 1

Fa5/20 1

Fa5/22 1

Fa5/23 1

Fa5/24 1

Fa5/25 1

Fa5/26 1

Fa5/27 1

Fa5/28 1

Fa5/30 1

Fa5/31 1

Fa5/36 1

Fa5/40 1

Fa5/41 1

Fa5/44 1

Fa5/45 1

Fa5/47 1

Fa5/48 1

Total virtual ports:29

Cat6509#sh vlan virt slot 6

Slot 6

Port Virtual-ports

-------------------------

Gi6/2 1

Gi6/3 1

Gi6/4 1

Gi6/5 1

Gi6/6 1

Gi6/7 1

Gi6/8 1

Gi6/9 1

Gi6/10 2

Gi6/11 1

Gi6/12 1

Gi6/13 1

Gi6/14 1

Gi6/15 1

Gi6/16 1

Gi6/17 1

Gi6/18 1

Gi6/19 1

Gi6/21 1

Gi6/22 1

Gi6/23 1

Gi6/24 1

Gi6/25 1

Gi6/27 1

Gi6/28 18

Gi6/29 1

Gi6/30 1

Gi6/33 2

Gi6/36 1

Gi6/37 1

Gi6/45 18

Gi6/46 18

Gi6/47 1

Total virtual ports:86

 

 

Was du hier allerdings genau für infos wolltest weiß ich leider net.

- was sagt sh mac-address detail|all für die gefluteten mac adressen?

 

Aber wie vielleicht siehst, an einer Überlastung von der Kiste sollte es nicht liegen. Und danke schonmal vorab für deine Hilfe und die von allen anderen natürlich auch.

Link to post

Hi,

 

ok - die Frage ist nun wo die MAC gelernt wird oder ob diese gelernt wurde. Also für die gefluteten mac addr mal sh mac-addr <x.x.x.x> vlan x. Auf der SUP2 sollte es ebenfalls sh mac-add unicast-flo geben, dann sollte im log jedoch ebenfalls eine meldung ausgegeben werden. Ist dies ein permanentes flooding oder tritt es in intervallen auf? Mehr Info über das Setup macht immer Sinn - also kurze skizze.

 

ciao

Link to post

Sorry für die verspätete Antwort, aber momentan is weng stressig bei mir.

Also ich glaub ich bin wegen dem Problem weng weiter gekommen. Es ist nämlich so, die Global Aging Time ist bei uns standardmässig auf 300 Sekunden eingestellt. Zusätzlich hab ich ihn nochmal extra in einem Vlan auf 500 Sekunden gesetzt.

wenn ich dann mit "sh mac-address-table vlan 100 | inc xxxx.xxxx.xxxx" verfolgt hab wie lang der Switch die Mac kennt waren das bei weitem keine 300 - 500 Sekunden sondern nur 90.

 

Den Befehl "sh mac-address-table unicast-flood" gibts.

Unicast Flood Protection status: disabled

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...