D-Link • Просмотр темы - "Пролезает" дефолтный vlan на DES-3526

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

"Пролезает" дефолтный vlan на DES-3526

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 21 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

Dyr

Заголовок сообщения: "Пролезает" дефолтный vlan на DES-3526

Добавлено: Ср авг 18, 2010 11:44

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb

Впервые столкнулись с необычной ситуацией - в цепочке из 5 DES-3526, подключенных к DES-3200-28, MAC'и соседей стали видны в дефолтном влане вместо прописанного служебного.

Например, 10.90.90.129 подключен к 10.90.90.130.

Код:

...
MAC Address       : 00-21-91-7E-27-64
IP Address        : 10.90.90.129 (Manual)
VLAN Name         : 3051
Subnet Mask       : 255.255.254.0
Default Gateway   : 10.90.90.1
Boot PROM Version : Build 5.00.011
Firmware Version  : Build 6.00.B14
...

10.90.90.129:admin#show vlan
Command: show vlan

VID             : 1          VLAN Name     : default
VLAN TYPE       : static     Advertisement : Disabled
Member ports    :
Static ports    :
Current Tagged ports   :
Current Untagged ports :
Static Tagged ports    :
Static Untagged ports  :
Forbidden ports : 1-26

VID             : 3051       VLAN Name     : 3051
VLAN TYPE       : static     Advertisement : Enabled
Member ports    : 25-26
Static ports    : 25-26
Current Tagged ports   : 25-26
Current Untagged ports :
Static Tagged ports    : 25-26
Static Untagged ports  :
Forbidden ports :
...
Interface Name : System
IP Address     : 10.90.90.129    (MANUAL)
Subnet Mask    : 255.255.254.0
VLAN Name      : 3051
Admin. State   : Enabled
Link Status    : Link UP
Member Ports   : 25-26
...

Код:

MAC Address       : 00-21-91-81-2C-60
IP Address        : 10.90.90.130 (Manual)
VLAN Name         : 3051
Subnet Mask       : 255.255.254.0
Default Gateway   : 10.90.90.1
Boot PROM Version : Build 5.00.011
Firmware Version  : Build 6.00.B14
...
VID             : 1          VLAN Name     : default
VLAN TYPE       : static     Advertisement : Disabled
Member ports    :
Static ports    :
Current Tagged ports   :
Current Untagged ports :
Static Tagged ports    :
Static Untagged ports  :
Forbidden ports : 1-26

VID             : 3051       VLAN Name     : 3051
VLAN TYPE       : static     Advertisement : Enabled
Member ports    : 25-26
Static ports    : 25-26
Current Tagged ports   : 25-26
Current Untagged ports :
Static Tagged ports    : 25-26
Static Untagged ports  :
Forbidden ports :
...
Interface Name : System
IP Address     : 10.90.90.130    (MANUAL)
Subnet Mask    : 255.255.254.0
VLAN Name      : 3051
Admin. State   : Enabled
Link Status    : Link UP
Member Ports   : 25-26

Итог - с коммутатора 10.90.90.129 MAC-адрес коммутатора 10.90.90.130 якобы в двух вланах:

Код:

10.90.90.129:admin#show fdb mac_address 00-21-91-81-2C-60
Command: show fdb mac_address 00-21-91-81-2C-60

VID   VLAN Name         MAC Address        Port    Type
----  ----------------  -----------------  ------  ----------------
1     default           00-21-91-81-2C-60  25      Dynamic
3051  3051              00-21-91-81-2C-60  25      Dynamic

Total Entries : 2

И наоборот:

Код:

10.90.90.130:admin#show arpentry ipaddress 10.90.90.129
Command: show arpentry ipaddress 10.90.90.129

ARP Aging Time : 20

Interface      IP Address       MAC Address        Type
-------------  ---------------  -----------------  ---------------
System         10.90.90.129     00-21-91-7E-27-64  Dynamic

Total Entries: 1

10.90.90.130:admin#show fdb mac_address 00-21-91-7E-27-64
Command: show fdb mac_address 00-21-91-7E-27-64

VID   VLAN Name         MAC Address        Port    Type
----  ----------------  -----------------  ------  ----------------
1     default           00-21-91-7E-27-64  26      Dynamic
3051  3051              00-21-91-7E-27-64  26      Dynamic

Total Entries : 2

Больше такого поведения нигде не наблюдали.
MAC'и коммутаторов "через" соседа видны нормально, в правильном vlan'e.

Последний раз редактировалось Dyr Чт авг 19, 2010 15:20, всего редактировалось 1 раз.

Вернуться наверх

mcdemon05

Заголовок сообщения:

Добавлено: Ср авг 18, 2010 14:43

Зарегистрирован: Вт июн 01, 2010 04:38
Сообщений: 794
Откуда: Vladivostok

на этих конкретных коммутаторах вы только сейчас сделали конфигурацию и проверили маки в вланах?
если почистить fdb то мак появляется снова в первом влане, если да то через какое время?

Вернуться наверх

Dyr

Заголовок сообщения:

Добавлено: Ср авг 18, 2010 16:23

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb

Первый вопрос не совсем понял.
Маки появляются сразу же.
ACL и CPU ACL не помогают.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Ср авг 18, 2010 16:53

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Прошивку лучше обновить на 6.00.В28 и проверить настройку Ingress Cheking на порту, а также проверить настройку Trusted Host/Subnet.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Dyr

Заголовок сообщения:

Добавлено: Ср авг 18, 2010 17:06

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb

Bigarov Ruslan писал(а):

Пришлёте прошивочку?

По GVRP и Ingress Checking - было по умолчанию:

Код:

10.90.90.130:admin#show gvrp
Command: show gvrp

Global GVRP : Disabled

Port    PVID  GVRP      Ingress Checking  Acceptable Frame Type
------  ----  --------  ----------------  ---------------------------
1       3114  Disabled  Enabled           All Frames
2       3114  Disabled  Enabled           All Frames
3       3114  Disabled  Enabled           All Frames
4       3114  Disabled  Enabled           All Frames
5       3114  Disabled  Enabled           All Frames
6       3114  Disabled  Enabled           All Frames
7       3114  Disabled  Enabled           All Frames
8       3114  Disabled  Enabled           All Frames
9       3114  Disabled  Enabled           All Frames
10      3114  Disabled  Enabled           All Frames
11      3114  Disabled  Enabled           All Frames
12      3114  Disabled  Enabled           All Frames
13      3114  Disabled  Enabled           All Frames
14      3114  Disabled  Enabled           All Frames
15      3114  Disabled  Enabled           All Frames
16      3114  Disabled  Enabled           All Frames
17      3114  Disabled  Enabled           All Frames
18      3114  Disabled  Enabled           All Frames
19      3114  Disabled  Enabled           All Frames
20      3114  Disabled  Enabled           All Frames
21      3114  Disabled  Enabled           All Frames
22      3114  Disabled  Enabled           All Frames
23      3114  Disabled  Enabled           All Frames
24      3114  Disabled  Enabled           All Frames
25      1     Enabled   Enabled           All Frames
26      1     Enabled   Enabled           All Frames

Включение на аплинковских портах "config gvrp 25-26 state disable acceptable_frame tagged_only" помогло. Не понимаю, почему, но помогло.

trusted_host пустой.

Вернуться наверх

Dyr

Заголовок сообщения:

Добавлено: Ср авг 18, 2010 17:47

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb

Update: для DES-3526 помогло, а вот для DES-3200-28, в который всё включается, уже нет:

Код:

10.90.90.142:4#show fdb mac_address 00-21-91-81-2C-E8
Command: show fdb mac_address 00-21-91-81-2C-E8

VID  VLAN Name                        MAC Address       Port Type
---- -------------------------------- ----------------- ---- ---------------
1    default                          00-21-91-81-2C-E8 28   Dynamic
3051 3051                             00-21-91-81-2C-E8 28   Dynamic

Total Entries  : 2

10.90.90.142:4#show fdb mac_address 00-21-91-81-2C-F6
Command: show fdb mac_address 00-21-91-81-2C-F6

VID  VLAN Name                        MAC Address       Port Type
---- -------------------------------- ----------------- ---- ---------------
1    default                          00-21-91-81-2C-F6 27   Dynamic
3051 3051                             00-21-91-81-2C-F6 27   Dynamic

Total Entries  : 2

10.90.90.142:4#show gvrp
Command: show gvrp

Global GVRP  : Disabled

Port  PVID  Reassigned  GVRP      Ingress   Acceptable Frame Type
            PVID        State     Checking
----  ----  ----------  --------  --------  -----------------------
1     1     -           Disabled    Enabled     All Frames
2     1     -           Disabled    Enabled     All Frames
3     1     -           Disabled    Enabled     All Frames
4     1     -           Disabled    Enabled     All Frames
5     1     -           Disabled    Enabled     All Frames
6     1     -           Disabled    Enabled     All Frames
7     1     -           Disabled    Enabled     All Frames
8     1     -           Disabled    Enabled     All Frames
9     1     -           Disabled    Enabled     All Frames
10    1     -           Disabled    Enabled     All Frames
11    1     -           Disabled    Enabled     All Frames
12    1     -           Disabled    Enabled     All Frames
13    1     -           Disabled    Enabled     All Frames
14    1     -           Disabled    Enabled     All Frames
15    1     -           Disabled    Enabled     All Frames
16    1     -           Disabled    Enabled     All Frames
17    1     -           Disabled    Enabled     All Frames
18    1     -           Disabled    Enabled     All Frames
19    1     -           Disabled    Enabled     All Frames
20    1     -           Disabled    Enabled     All Frames
21    1     -           Disabled    Enabled     All Frames
22    1     -           Disabled    Enabled     All Frames
23    1     -           Disabled    Enabled     All Frames
24    1     -           Disabled    Enabled     All Frames
25    1     -           Disabled    Enabled     Only VLAN-tagged frames
26    1     -           Disabled    Enabled     Only VLAN-tagged frames
27    1     -           Disabled    Enabled     Only VLAN-tagged frames
28    1     -           Disabled    Enabled     Only VLAN-tagged frames

Total Entries  : 28

10.90.90.142:4#

Вернуться наверх

mukca

Заголовок сообщения:

Добавлено: Ср авг 18, 2010 20:41

Зарегистрирован: Ср май 16, 2007 19:00
Сообщений: 396

Dyr писал(а):

Bigarov Ruslan писал(а):

Пришлёте прошивочку?

По GVRP и Ingress Checking - было по умолчанию:

Код:

10.90.90.130:admin#show gvrp
Command: show gvrp

Global GVRP : Disabled

Port    PVID  GVRP      Ingress Checking  Acceptable Frame Type
------  ----  --------  ----------------  ---------------------------
1       3114  Disabled  Enabled           All Frames
...
24      3114  Disabled  Enabled           All Frames
25      1     Enabled   Enabled           All Frames
26      1     Enabled   Enabled           All Frames

у вас включен GVRP вот вам и дефолтный влан и дефолтные маки
разберитесь с настройками gvrp + pvid на портах + где какой влан включен

_________________
Умная книжка по теории сетей и настройкам свичей:
ftp://ftp.dlink.ru/pub/Trainings/Switch_D-Link_newest_Basic.pdf

Вернуться наверх

Dyr

Заголовок сообщения:

Добавлено: Чт авг 19, 2010 09:10

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb

Где ж он включен-то, когда выключен?

Код:

Global GVRP : Disabled

И на DES-3200-28 не помогло выключение на порту, как описано выше.

Вернуться наверх

mukca

Заголовок сообщения:

Добавлено: Чт авг 19, 2010 11:55

Зарегистрирован: Ср май 16, 2007 19:00
Сообщений: 396

Цитата:

25 1 Enabled Enabled All Frames
26 1 Enabled Enabled All Frames

уж поверте лучше когда на портах тоже будет выключен
+ проверте на все цепочки правильность настройки (использования) PVID и vlan

_________________
Умная книжка по теории сетей и настройкам свичей:
ftp://ftp.dlink.ru/pub/Trainings/Switch_D-Link_newest_Basic.pdf

Вернуться наверх

Dyr

Заголовок сообщения:

Добавлено: Чт авг 19, 2010 12:02

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb

Прошёлся по цепочке, выполнил

Код:

config vlan default add forbidden 1-26
config gvrp 25-26 acceptable_frame tagged_only state disable

3200-28, в который, напомню, сходятся все цепочки, не помогло. От отчаяния сделал на его даунлинковских портах(26-28 ) "state disable learning enable"...но MAC'и всё равно остаются, даже после очистки fdb! %-О Это как вообще?

Код:

10.90.90.142:4#show fdb
Command: show fdb

Unicast MAC Address Aging Time  = 300

VID  VLAN Name                        MAC Address       Port Type
---- -------------------------------- ----------------- ---- ---------------
1    default                          00-21-91-81-2C-E8 28   Dynamic
1    default                          00-21-91-81-2C-F6 27   Dynamic
1    default                          00-80-C8-00-00-00 25   Dynamic

Первый и второй адреса MAC'и разных цепочных коммутаторов.

А какой PVID должен стоять в GVRP режиме, если на коммутаторах используется вланы untag 3114 для клиентов и tag 3051 для управления? Везде 3051?

Вернуться наверх

mukca

Заголовок сообщения:

Добавлено: Чт авг 19, 2010 12:16

Зарегистрирован: Ср май 16, 2007 19:00
Сообщений: 396

Цитата:

config vlan default add forbidden 1-26

а зачем/??

у вас гдето приходит на свич тегированые пакеты этого влан?? (я вообще непонимаю в каких случаях можно forbidden использовать)

имхо везде сделайте

Код:

config vlan default delete 1-26
config vlan default advertisement disable

create vlan vlan3114 tag 3114
config vlan vlan3114 add tagged 25-26
config vlan vlan3114 add untagged 1-24
config vlan vlan3114 advertisement disable

create vlan vlan3051 tag 3051
config vlan vlan3051 add tagged 25-26
config vlan vlan3051 advertisement disable

config gvrp 1-24 state disable ingress_checking enable acceptable_frame admit_all pvid 3114
config gvrp 25-26 state disable ingress_checking enable acceptable_frame admit_all pvid 1

после этого почистите везде таблицы FDB и смотрите

_________________
Умная книжка по теории сетей и настройкам свичей:
ftp://ftp.dlink.ru/pub/Trainings/Switch_D-Link_newest_Basic.pdf

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Чт авг 19, 2010 15:11

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

FYI:

Настройки: PVID, Ingress Checking и Acceptable Frame Type, хоть и находятся в локальных настройках GVRP, но не относятся к ним.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Dyr

Заголовок сообщения:

Добавлено: Чт авг 19, 2010 15:16

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb

Да не помогает, я же говорю, mac'и с vlan default умудряются появляться даже при config port state disable learning disable!
Сейчас проверил ещё раз, прогнал по цепочке ваш вариант - итог, естественно, тот же.

Настройки на рутовом коммутаторе, у которого в дефолте и видны некоторые маки:

Код:

10.90.90.142:4#show vlan
Command: show vlan


VID             : 1           VLAN Name       : default
VLAN Type       : Static      Advertisement   : Disabled
Member Ports    :
Static Ports    :
Current Tagged Ports   :
Current Untagged Ports :
Static Tagged Ports    :
Static Untagged Ports  :
Forbidden Ports        :

VID             : 3051        VLAN Name       : 3051
VLAN Type       : Static      Advertisement   : Disabled
Member Ports    : 1-28
Static Ports    : 1-28
Current Tagged Ports   : 1-28
Current Untagged Ports :
Static Tagged Ports    : 1-28
Static Untagged Ports  :
Forbidden Ports        :

VID             : 3114        VLAN Name       : 3114
VLAN Type       : Static      Advertisement   : Disabled
Member Ports    : 1-28
Static Ports    : 1-28
Current Tagged Ports   : 1-28
Current Untagged Ports :
Static Tagged Ports    : 1-28
Static Untagged Ports  :
Forbidden Ports        :


Total Entries  : 3


10.90.90.142:4#show gvrp
Command: show gvrp

Global GVRP  : Disabled

Port  PVID  Reassigned  GVRP      Ingress   Acceptable Frame Type
            PVID        State     Checking
----  ----  ----------  --------  --------  -----------------------
1     1     -           Disabled    Enabled     All Frames
2     1     -           Disabled    Enabled     All Frames
3     1     -           Disabled    Enabled     All Frames
4     1     -           Disabled    Enabled     All Frames
5     1     -           Disabled    Enabled     All Frames
6     1     -           Disabled    Enabled     All Frames
7     1     -           Disabled    Enabled     All Frames
8     1     -           Disabled    Enabled     All Frames
9     1     -           Disabled    Enabled     All Frames
10    1     -           Disabled    Enabled     All Frames
11    1     -           Disabled    Enabled     All Frames
12    1     -           Disabled    Enabled     All Frames
13    1     -           Disabled    Enabled     All Frames
14    1     -           Disabled    Enabled     All Frames
15    1     -           Disabled    Enabled     All Frames
16    1     -           Disabled    Enabled     All Frames
17    1     -           Disabled    Enabled     All Frames
18    1     -           Disabled    Enabled     All Frames
19    1     -           Disabled    Enabled     All Frames
20    1     -           Disabled    Enabled     All Frames
21    1     -           Disabled    Enabled     All Frames
22    1     -           Disabled    Enabled     All Frames
23    1     -           Disabled    Enabled     All Frames
24    1     -           Disabled    Enabled     All Frames
25    1     -           Disabled    Enabled     All Frames
26    1     -           Disabled    Enabled     All Frames
27    1     -           Disabled    Enabled     Only VLAN-tagged frames
28    1     -           Disabled    Enabled     Only VLAN-tagged frames

Total Entries  : 28

Вернуться наверх

mcdemon05

Заголовок сообщения:

Добавлено: Чт авг 19, 2010 15:42

Зарегистрирован: Вт июн 01, 2010 04:38
Сообщений: 794
Откуда: Vladivostok

Если не секрет, чему принадляжат эти маки?

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Чт авг 19, 2010 15:53

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Пришлите, пожалуйста, мне на e-mail схему от этого коммутатора до L3 и полные конфиги файлы от DES-3526 до L3 для анализа.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Страница 1 из 2

[ Сообщений: 21 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 32

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения