追踪无效的源 mac 地址

网络工程 思科 转变 层2
2021-07-14 16:38:41

我继承了对包含 Cisco 4500 并连接到大约 2 打 cisco 接入交换机的远程站点的支持 - 主要是 2960 和几个 3750 和 3560。并非所有接入交换机都直接连接到 4500 - 有一些交换机的菊花链,这显然是由于布线不足造成的。最近我注意到 4500 上的 serror 消息表明接收到的帧的源 mac 地址无效:

*Sep 10 09:29:48.609: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 102563 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Te5/1 in vlan 1460

连接到 Te5/1 的设备是接入交换机(Cisco 3750)。它依次连接到其他 6 个接入交换机。经过一番谷歌搜索后,似乎 4500 是唯一记录无效源 mac 地址的 cisco 平台。根据我的阅读,其他平台(2960、3750 等)似乎会转发帧,但不会将它们记录为无效,也不会向 mac 地址表添加条目。我怀疑源 mac 地址无效的根本原因可能是 nic 故障、软件错误或可能是错误配置的 vmware 服务器。接入交换机上有哪些工具可用于追踪违规端口?

3个回答

通常,当我看到这一点时,它来自配置不当的 VM(通常托管在用户机器上)。根据情况和环境的不同,他们可能很难被追踪(在 CS 和 ECE 系的大学里看到很多这样的人,他们像学生一样移动和来来去去)。

您已经有几个很好的答案,但您可以追求的另一个选择是将以下配置添加到下游交换机(37xx、36xx、29xx):

   mac address-table static 0000.0000.0000 vlan <VLAN ID> drop

这将丢弃此 MAC 的任何流量,而不是转发它,因为它应该在硬件中完成(除非导致 MAC 查找在软件中完成的任何功能/问题),它不应该对性能产生负面影响。

您可以尝试使用接口和/或接入交换机上的 vlan 上的 MAC ACL 来阻止帧。通过有选择地应用块并检查 4500 上的错误消息是否消失,您可以找到流量来源。

四处移动电缆以查看 4500 上的错误消息中提到的端口是否也有帮助,但在生产环境中可能会很棘手。

在我看来,这个错误不会影响网络性能,因为您是自己发现日志消息的,而不是被用户投诉淹没。这使我怀疑问题出在当前未使用的某些已连接但部分配置或配置错误的软件或服务上。

最好的办法可能是让这条熟睡的狗撒谎,直到某些用户报告问题为止。或者,如果您有空闲时间,您可以按照@Daniel Dib 的建议运行 SPAN 会话,并仔细检查输出,直到您确定可疑端口或设备。

其它你可能感兴趣的问题
上一篇如何在 Cisco ASR9k 上通过 SNMP 读取光传输功率? 下一篇如何找到延迟增加的根源?