web-dev-qa-db-ja.com

スイッチを取り出すハブ/スイッチ?

ここに問題があります...多くのCiscoスイッチを備えたネットワークがあります。

誰かがネットワーク上のハブを接続すると、「奇妙な」動作が見られ始めました。クライアントとサーバー間の通信エラー、ネットワークタイムアウト、ネットワーク接続の切断など。どういうわけか、そのハブ(またはSOHOスイッチ)がCisco3700シリーズスイッチを特に驚かせているように見えました。

そのハブまたはネットギアタイプのSOHOスイッチを外すと、物事は再び落ち着きます。

現在、SNMPや管理などのための集中ログサーバーを取得して、エラーをトラップしたり、誰かが私たちの知らないうちにこの種のことを行ったときに、物事が機能しているように見えるために絞り込んだりできるかどうかを確認しようとしています。ほとんどの場合、問題なく、誰かが自分の部屋で利用可能なポートを拡張するために自分の手で問題を解決することを決定するまで、説明がないように見える特定のスイッチで奇妙な奇妙な事件が発生します。

手順の変更やポートのロックダウン、または「私たちの組織では解雇される」という答えがなくても、SOHOルーターではなく小さなスイッチやハブを追加する理由を誰かが説明できます(ダムハブでさえ3700がおかしくなりそうです) )DHCP要求を送信すると、問題が発生しますか?上司は、不正なハブ/スイッチが複数のMAC/IPをCiscoスイッチの1つのポートにブリッジしていて、それを窒息させているためにCiscoが混乱しているためだと言いましたが、ルーティングテーブルは複数のマシンを処理できるはずだと思いましたポートに。誰かが以前にその行動を見て、何が起こっているのかについてより明確な説明を持っていますか?

今後のトラブルシューティングと、手を振って「できない」と言っていることをよりよく理解するために知りたいです。

これがショーランです

現在の構成:25591バイト

バージョン12.2

サービスパッドなし

サービスタイムスタンプデバッグ日時ミリ秒

サービスタイムスタンプログ日時ミリ秒

サービスパスワード暗号化

ホスト名###########

boot-start-marker

ブートエンドマーカー

シークレット5を有効にする############

いいえaaa新しいモデル

スイッチ1プロビジョニングws-c3750g-24ps

スイッチ2プロビジョニングws-c3750-48ts

スイッチ3プロビジョニングws-c3750-48ts

スイッチ4プロビジョニングws-c3750-48ts

スイッチ5プロビジョニングws-c3750-48ts

システムmtuルーティング1500

認証mac-移動許可

ipsubnet-zero

iPルーティング

mls qos map policed-dscp 24 2646から0

mls qos map cos-dscp 0 8 16 24 32 46 48 56

mls qossrr-キュー入力帯域幅9010

mls qossrr-キュー入力しきい値18 16

mls qossrr-キュー入力しきい値234 66

mls qossrr-キュー入力バッファ6733

mls qossrr-キュー入力cos-マップキュー1しきい値21

mls qossrr-キュー入力cos-マップキュー1しきい値30

mls qossrr-キュー入力cos-マップキュー2しきい値12

mls qossrr-キュー入力cos-マップキュー2しきい値24 6 7

mls qossrr-キュー入力cos-マップキュー2しきい値335

mls qossrr-キュー入力dscp-マップキュー1しきい値29 10 11 12 13 14 15

mls qossrr-キュー入力dscp-マップキュー1しきい値30 1 2 3 4 5 6 7

mls qossrr-キュー入力dscp-マップキュー1しきい値332

mls qossrr-キュー入力dscp-マップキュー2しきい値116 17 18 19 20 21 22 23

mls qossrr-キュー入力dscp-マップキュー2しきい値233 34 35 36 37 38 39 48

mls qossrr-キュー入力dscp-マップキュー2しきい値249 50 51 52 53 54 55 56

mls qossrr-キュー入力dscp-マップキュー2しきい値257 58 59 60 61 62 63

mls qossrr-キュー入力dscp-マップキュー2しきい値324 25 26 27 28 29 30 31

mls qossrr-キュー入力dscp-マップキュー2しきい値340 41 42 43 44 45 46 47

mls qossrr-queue出力cos-mapキュー1しきい値35

mls qossrr-queue出力cos-mapキュー2しきい値33 6 7

mls qossrr-queue出力cos-mapキュー3しきい値32 4

mls qossrr-queue出力cos-mapキュー4しきい値21

mls qossrr-queue出力cos-mapキュー4しきい値30

mls qossrr-queue出力dscp-mapキュー1しきい値340 41 42 43 44 45 46 47

mls qossrr-queue出力dscp-mapキュー2しきい値324 25 26 27 28 29 30 31

mls qossrr-queue出力dscp-mapキュー2しきい値348 49 50 51 52 53 54 55

mls qossrr-queue出力dscp-mapキュー2しきい値356 57 58 59 60 61 62 63

mls qossrr-queue出力dscp-mapキュー3しきい値316 17 18 19 20 21 22 23

mls qossrr-queue出力dscp-mapキュー3しきい値332 33 34 35 36 37 38 39

mls qossrr-queue出力dscp-mapキュー4しきい値18

mls qossrr-queue出力dscp-mapキュー4しきい値29 10 11 12 13 14 15

mls qossrr-queue出力dscp-mapキュー4しきい値30 1 2 3 4 5 6 7

mls qos queue-set output 1 threshold 1138138 92138

mls qos queue-set output 1 threshold 2 138138 92400

mls qos queue-set output 1 threshold 3 36 77100318

mls qos queue-set output1しきい値420 50 67400

mlsqosキューセット出力2しきい値1149149100149

mls qos queue-set output 2 threshold 2 118118100235

mls qos queue-set output 2 threshold 3 41 68100272

mls qos queue-set output 2 threshold 4 42 72100242

mls qos queue-set output 1 buffers 10 10 26 54

mls qos queue-set output 2 buffers 16 6 17 61

mls qos

スパニングツリーモードpvst

スパニングツリーイーサチャネルガードの誤設定

スパニングツリー拡張システムID

vLAN内部割り当てポリシーの昇順

class-map match-all AutoQoS-VoIP-RTP-Trust

一致するipdscp ef

class-map match-all AutoQoS-VoIP-Control-Trust

match ip dscp cs3 af31

ポリシーマップAutoQoS-Police-CiscoPhone

クラスAutoQoS-VoIP-RTP-Trust

dscpefを設定します

ポリス3200008000超過アクションpoliced-dscp-transmit

クラスAutoQoS-VoIP-Control-Trust

dscpcs3を設定します

ポリス320008000超過アクションpoliced-dscp-transmit

インターフェイスGigabitEthernet1/0/1

スイッチポートトランクカプセル化dot1q

スイッチポートトランクネイティブVLAN11

スイッチポートモードトランク

スパニングツリーポートファスト

インターフェイスGigabitEthernet5/0/1

インターフェイスGigabitEthernet5/0/2

インターフェイスGigabitEthernet5/0/3

インターフェイスGigabitEthernet5/0/4

インターフェイスVlan1

iPアドレス############## 255.255.0.0

ipクラスレス

ip route 0.0.0.0 0.0.0.0 ##############

iPhttpサーバーなし

no ip httpsecure-server

ip sla enablereaction-alerts

line con 0

行vty0 4

パスワード7 ############

ログインする

行vty5 15

パスワード7 ############

ログインする

終わり

6

サードパーティの接続が一元化されたシスコのバックボーンにリンクされているネットワーク実装をいくつか運用しています(つまり、マルチテナントのセットアップ)。 Catalystプラットフォームに接続されたさまざまな(大丈夫、ゲットー)デバイスをたくさん見たと言えます。私が学んだことがあるとすれば、Ciscoプラットフォームはこれらの種類のものに対して非常に回復力があるということです。

ただし、アキレス腱が1つあります。適切な構成の安価なハブは、easyブロードキャストストームでネットワーク全体をダウンさせる可能性があり、Ciscoプラットフォームの障害でもありません。私はこれを実稼働構成で発見しました。私が行った唯一の実際の調査は、そのハブに最も近いゴミ箱を見つけることでしたが、これがどのように起こったかです。

  1. アップリンクポートを使用して、ハブを通常どおりCiscoスイッチに接続します
  2. ワークステーションをハブポートに接続します(この場合、Windows XP OSを実行していますが、問題ではありません)
  3. ハブ上で他の2つのポートを一緒に接続します(直接、単一のCAT5を使用するか、別のハブを介して間接的に)。

すべてがスムーズに実行されますuntilそのワークステーションはブロードキャストアナウンスを送信します。ハブとCiscoは、他のブロードキャストパケットでのブロードキャストストームを防ぐのに十分なほどスマートではありませんが、ハブは、2つのポートが相互に接続されていることを検出するのに十分なほどスマートではなく、処理能力のほぼ100%を消費します。そのパケットを無限ループで前後にブロードキャストし、他のすべてのポート(つまり、シスコへのアップリンク)からブロードキャストします。

これが構成に当てはまる場合、ハブが容量を維持できなくなり、ドロップするまで、ネットワーク全体で、そのブロードキャストVLANのすべてのポートが機能しなくなることに気付くでしょう。魔法のループパケット(競合するトラフィックによっては数分かかる場合があります)が完了すると、すべてが正常に戻ります。

この状況では、allその上のポートVLANはトラフィックに夢中になるため、SNMPは役に立ちません。ただし、Wiresharkはあなたの友達です。ここでは、ループの原因となったIP(およびブロードキャストパケットの場合はマシン名)を簡単に取得し、問題のあるデバイスをすばやく見つけることができるためです。

あなたが経験している正確なケースではないかもしれませんが、これは私たちを苦しめ、あなたの状況を調査するためのいくつかのアイデアを与えるかもしれません。

11
Brandon

些細な点ですが、まだ言及されていません。

スイッチポートがハブで機能しないため、全二重に強制されていないことを確認してください。考えてみてください-デュプレックスまたは速度が強制されると、自動ネゴシエーションを希望するNetgearタイプのスイッチに正しく接続されない可能性があります

ユーザーが「帯域幅を2倍にするために」スイッチを2つのネットワークコンセントに接続しないようにしてください。

以前は(そしておそらく今でもそうですが、私はそのビジネスから離れています)、Ciscoスイッチには「Faststart」と呼ばれる機能があります。 Faststartが有効になっているポートの場合、スイッチはフルスパニングツリー分析を実行せず、機能を有効にすることで、管理者はスイッチまたはハブをそのポートに接続しないことを「約束」しました。これを行う理由は、シスコがポートを有効にすると安全であると判断する前に、クライアントPCのDHCP要求がタイムアウトしないようにするためでした。あなたもそれを見たいと思うかもしれません。 (私がこれらすべてを完全に覚えていない場合は、事前に謝罪し、より最新の知識を持つ誰かが私を修正することを願っています)

5
AndyJ

ポートでポートセキュリティを使用している場合、特定のポートに予想される数を超えるMACがあると、問題が発生します。ハブをスイッチドネットワークに固定する際の主な問題は、衝突ドメインが大きくなることです(「スイッチ+エンドユニット」ではなく、「スイッチ+ハブのダウンストリームすべて」になります)。スイッチングループが発生する可能性があります(ハブが2つのスイッチに接続されている場合)、ブロードキャストドメインが「広すぎる」ほど大きいネットワークになる可能性があります(LANは、一方の端からもう一方の端までパケットを送信できるように十分に小さい必要があります)。イーサネットのプリアンブル内に表示されます。ハブはパケットをペースで通過させるのが悪くなる傾向があるため(安価ですべて)、違反される可能性があります)。

より大きなコリジョンドメインがある場合、そのコリジョンドメインと通信しようとすると、スループットが低下します。

スイッチングループがある場合、スパニングツリーが転送ポートをシャットダウンするため、ブロードキャストストームとポートがトラフィックをランダムに転送しないリスクがあります。

ブロードキャストドメインが広すぎると、衝突が遅くなるため、誤った再送信が発生することになります。

3
Vatine

これは古典的なスイッチングの問題です。
Cisco ccnpを実行するか、スパニングツリープロトコルを研究するだけで、答えが明らかになります。

スパニングツリーはループを防ぎます->最初に「ルートブリッジ」を決定することによってこれを行います->
これは最低のスイッチ優先度によって決定されます->同点の場合はスイッチのMACアドレスが比較されます->多くの場合古いスイッチは低いMACアドレスと同等です->ネットワーク上のすべてのトラフィックは古いスイッチを通過します!!!! =デフォルトよりも低いハードコードされた優先度で最速/最も中央に接続されたスイッチを設定することでクラッシュが修正されました。

デフォルトでは、シスコはper-vlan-spanning-tree(pvst +)コマンドを使用します。spanning-treevlan1-666 priority 24576

基本的に大幅に高速化するrapid-spanning-tree「spanning-treemoderapid-pvst」の使用をお勧めします

ウィキペディアから( http://en.wikipedia.org/wiki/Spanning_tree_protocol

スパニングツリーのルートブリッジは、ブリッジIDが最小(最小)のブリッジです。各ブリッジには、一意の識別子(ID)と構成可能な優先順位番号があります。ブリッジIDには両方の番号が含まれています。 2つのブリッジIDを比較するために、優先順位が最初に比較されます。 2つのブリッジの優先度が等しい場合、MACアドレスが比較されます。たとえば、スイッチA(MAC = 0200.0000.1111)とB(MAC = 0200.0000.2222)の両方の優先度が10の場合、スイッチAがルートブリッジとして選択されます。ネットワーク管理者がスイッチBをルートブリッジにする場合は、優先度を10未満に設定する必要があります。

1
dan pugh

シスコ以外の環境でこれが発生しました。ハブはネットワークポートに接続され、ネットワークポートには3台のコンピューターが接続されていました。 1人のユーザー、問題ありません。他の全員が参加してプレイすると、ターミナルサーバーへのRDP接続が切断され始めました。ハブを引き抜くと問題は解決します。

0
Peter