Помогите пожалуста разобраться с проблемой: Catalyst 5000, на портах включена port security. В последнее время стали часто блокироваться порты якобы из-за подключения к порту другово mac-адреса. При этом mac-адрес "нарушителя" может быть как адрес из сети, так и посторонний, иногда это адрес сервера. Происходит на глазах и НСД по физическому доступу исключен.
Из-за чего это может происходить и как этого избежать?
Один из вариантов, что на компах есть прога генерирующая mac-адреса. Причем к примеру VMWare при выставлении в настройках сети bridget то он свой собственный MAC гонит в сетку и порт блокируется.
почему тогда этот MAC совпадает то с MACом сервера, то с MACом других станций, иногда ни с каким не совпадает..?
>Один из вариантов, что на компах есть прога генерирующая mac-адреса. Причем к
>примеру VMWare при выставлении в настройках сети bridget то он свой
>собственный MAC гонит в сетку и порт блокируется.
конфиг интерфейса покаж :)
>конфиг интерфейса покаж :)вот конфиг одного из интерфейсов, на котором был зафксирован "чужой" MAC:
Cat5500> (enable) sh port 5/6
Port Name Status Vlan Level Duplex Speed Type
----- ------------------ ---------- ---------- ------ ------ ----- ------------
5/6 connected 2 normal full 100 100BaseFX MM
Port Security Violation Shutdown-Time Age-Time Max-Addr Trap IfIndex
----- -------- --------- ------------- -------- -------- -------- -------
5/6 enabled shutdown 0 0 1 enabled 51Port Num-Addr Secure-Src-Addr Age-Left Last-Src-Addr Shutdown/Time-Left
----- -------- ----------------- -------- ----------------- ------------------
5/6 1 00-00-f4-a2-7c-83 - 00-00-f4-a2-7c-83 no -Port Broadcast-Limit Broadcast-Drop
-------- --------------- --------------
5/6 - 0Port Send FlowControl Receive FlowControl RxPause TxPause Unsupported
admin oper admin oper opcodes
----- -------- -------- --------- --------- ---------- ---------- -----------
5/6 off off on on 0 0 0Port Status Channel Mode Admin Group Ch id Mode Group Id
----- ---------- -------------------- ----------- ------
5/6 connected auto non-silent 143 0Port Align-Err FCS-Err Xmit-Err Rcv-Err UnderSize
----- ---------- ---------- ---------- ---------- ---------
5/6 329 44 0 0 0Port Single-Col Multi-Coll Late-Coll Excess-Col Carri-Sen Runts Giants
----- ---------- ---------- ---------- ---------- --------- --------- ---------
5/6 0 0 0 0 0 549 0Last-Time-Cleared
--------------------------
Wed Feb 18 2004, 12:15:28немного кривовато вставился :(. Если что то уточнить надо или другой конфиг - скажите
>>конфиг интерфейса покаж :)
>
>вот конфиг одного из интерфейсов, на котором был зафксирован "чужой" MAC:
>
>Cat5500> (enable) sh port 5/6
>Port Name
> Status Vlan
> Level Duplex Speed Type
>
>----- ------------------ ---------- ---------- ------ ------ ----- ------------
> 5/6
> connected
> 2
>normal full 100 100BaseFX MM
>
>
>Port Security Violation Shutdown-Time Age-Time Max-Addr Trap
>IfIndex
>----- -------- --------- ------------- -------- -------- -------- -------
> 5/6 enabled shutdown
> 0
> 0
> 1 enabled 51
>
>Port Num-Addr Secure-Src-Addr Age-Left Last-Src-Addr
>Shutdown/Time-Left
>----- -------- ----------------- -------- ----------------- ------------------
> 5/6 1 00-00-f4-a2-7c-83
> - 00-00-f4-a2-7c-83
> no
> -
>
>Port Broadcast-Limit Broadcast-Drop
>-------- --------------- --------------
> 5/6
> -
>
>0
>
>Port Send FlowControl Receive FlowControl RxPause
> TxPause Unsupported
> admin oper
> admin oper
>
>
> opcodes
>----- -------- -------- --------- --------- ---------- ---------- -----------
> 5/6 off off
> on
>on 0
> 0
> 0
>
>Port Status Channel Mode
> Admin Group Ch id
>
>
>
>
> Mode
>
>Group Id
>----- ---------- -------------------- ----------- ------
> 5/6 connected auto non-silent
> 143
> 0
>
>Port Align-Err FCS-Err Xmit-Err Rcv-Err
> UnderSize
>----- ---------- ---------- ---------- ---------- ---------
> 5/6 329
> 44
> 0
> 0
> 0
>
>Port Single-Col Multi-Coll Late-Coll Excess-Col Carri-Sen Runts
> Giants
>----- ---------- ---------- ---------- ---------- --------- --------- ---------
> 5/6
>0 0
> 0
> 0
> 0
> 549
>0
>
>Last-Time-Cleared
>--------------------------
>Wed Feb 18 2004, 12:15:28
>
>немного кривовато вставился :(. Если что то уточнить надо или другой конфиг
>- скажите
STP включен? Может, где-то в сети есть петля?Было у меня что-то похожее..
STP включен... в конфигурации транкинговых портов такая ситуация: на тех портах где транкинг в режиме on isl, portfast вырублен (как по идее и должно быть). На других концах транкинговых каналов (которые в режиме trunk auto) portfast enable(!). Portfast по сути вырубает stp, но при этом STP в моей сетке правильно определяет корневой домен и вырубает (вроде как) избыточный транк. Может все-таки снять portfast c транкинговых портов находящихся в режиме auto? Экспериментировать вслепую опасно, т.к. если что упадет меня накажут). Заранее признателен если кто что подскажет
>STP включен... в конфигурации транкинговых портов такая ситуация: на тех портах где
>транкинг в режиме on isl, portfast вырублен (как по идее и
>должно быть). На других концах транкинговых каналов (которые в режиме trunk
>auto) portfast enable(!). Portfast по сути вырубает stp, но при этом
>STP в моей сетке правильно определяет корневой домен и вырубает (вроде
>как) избыточный транк. Может все-таки снять portfast c транкинговых портов находящихся
>в режиме auto? Экспериментировать вслепую опасно, т.к. если что упадет меня
>накажут). Заранее признателен если кто что подскажетportfast, по логике, на транкинговых каналах не работает. И при порте в trunk auto режиме portfast вырубится, как только каталист поймает первый теэгированный пакет. Так что про portfast тут беспокоится не стоит, имхо.