Добрый день.
Имеется странная проблема с маршрутизиремыми VLAN на Cisco 3750G, а именно: Периодически хосты как-бы отваливаются. Если хост постоянно висит на пинге из другой подсети, то работает стабильно, если же хост не пинговать, то через некоторое время (точно какое - пока что не установил) он пропадает. Если же затем поставить его обратно на ping -t, то через некоторое время (какое, тоже пока что не установил), он снова появляется, и пинг идет без сбоев.
На циске ничего хитромудрого нет:
interface Vlan110
description iLO VLAN
ip address 172.x.x.x 255.255.255.224
ip access-group 101 out
ip helper-address 172.x.x.x
no ip redirects
no ip unreachables
no ip proxy-arp
Кстати, пинги пропадают как с другого VLAN, так и с самой циски, при чем пропадают при любом source.
В логах тоже ничего нету. Ошибок нет ни на одном из портов, линки не рвутся.
Оконечное оборудование, которое пропадает, включено в 3COM 4924, на время эксперимента, STP на этом 3COM и на всех промежуточных, выключен.
Заранее благодарен за помощь
Рекомендации только 2:1. Смотреть загрузку ЦПУ в проблемные периоды. Если она высокая - смотреть како именно процесс грузит. И т.д.
2. Поставить wireshark и посмотреть что у вас происходит в сети. Может у вас IP/arp спуфинг в сети или еще чего.
> Рекомендации только 2:
> 1. Смотреть загрузку ЦПУ в проблемные периоды. Если она высокая - смотреть
> како именно процесс грузит. И т.д.ЦПУ загружен на 9%, в пиках - 20%, так что это исключено.
> 2. Поставить wireshark и посмотреть что у вас происходит в сети.
> Может у вас IP/arp спуфинг в сети или еще чего.Про Wireshark - понял. В принципе теоретически возможно, но сомневаюсь, потому что есть влан, используемый под ILO (управление серверами HP), там аксесс-порты по пальцам пересчитать можно, и они однозначно воткнуты в iLO. Так что буду думать дальше :)
>[оверквотинг удален]
> no ip redirects
> no ip unreachables
> no ip proxy-arp
> Кстати, пинги пропадают как с другого VLAN, так и с самой циски,
> при чем пропадают при любом source.
> В логах тоже ничего нету. Ошибок нет ни на одном из портов,
> линки не рвутся.
> Оконечное оборудование, которое пропадает, включено в 3COM 4924, на время эксперимента,
> STP на этом 3COM и на всех промежуточных, выключен.
> Заранее благодарен за помощьЕсли выполнить cle ip arp IP-неотвечающего-хоста, а потом выполнить пинг , хост отвечает?
> Если выполнить cle ip arp IP-неотвечающего-хоста, а потом выполнить пинг , хост
> отвечает?Кхм. Сейчас попробовал, да, после удаления arp-записи начинает пинговаться. сейчас попробую поймать, что за запись там может появляться.
Сейчас продиагностил следующим образом:
Пинги не проходят, ARP выглядит следующим образом
Internet 172.x.x.x 29 9c8e.9918.1a64 ARPA Vlan110делаю clear ip arp 172.x.x.x
Пинг появляется. Теперь я в замешательстве....
Может быть такое, что на нижестоящем свитче таблица mac-адресов отчищается раньше, чем циска удаляет запись из arp-таблицы, поэтому и не инициируется arp-запрос?
Уже хоть что-то прояснилось, уже интереснее. Возможно еще одну проблему сразу решу. Есть ли какие-нибудь варианты, почему так происходит?
> Сейчас продиагностил следующим образом:
> Пинги не проходят, ARP выглядит следующим образом
> Internet 172.x.x.x 29
> 9c8e.9918.1a64 ARPA Vlan110
> делаю clear ip arp 172.x.x.x
> Пинг появляется. Теперь я в замешательстве....
> Может быть такое, что на нижестоящем свитче таблица mac-адресов отчищается раньше, чем
> циска удаляет запись из arp-таблицы, поэтому и не инициируется arp-запрос?
> Уже хоть что-то прояснилось, уже интереснее. Возможно еще одну проблему сразу решу.
> Есть ли какие-нибудь варианты, почему так происходит?А причем тут очишение таблици на коммутаторе? вспомните логику езернета - если в таблице соотв. МАС нет - то с ним поступают как с бродкастом - во все порты кроме входящего...
> А причем тут очишение таблици на коммутаторе? вспомните логику езернета - если
> в таблице соотв. МАС нет - то с ним поступают как
> с бродкастом - во все порты кроме входящего...Головой то я понимаю, только на практике - ерунда какая-то тут выходит :)
Сейчас выяснил еще одну интересную особенность:
Делаю на 3750G:
mac address-table static 9c8e.9918.1a64 vlan 110 interface Po1
Пинг проходит...
> Сейчас выяснил еще одну интересную особенность:
> Делаю на 3750G:
> mac address-table static 9c8e.9918.1a64 vlan 110 interface Po1
> Пинг проходит...У меня была похожая проблема, это было из за следующей настройки на интерфейсе:
switchport block unicast
>У меня была похожая проблема, это было из за следующей настройки на интерфейсе:switchport block unicast
У меня нет такой ерунды.
sh run all
switchport
switchport access vlan 1
switchport trunk encapsulation dot1q
switchport trunk native vlan 1
switchport trunk allowed vlan 1,110
switchport mode trunk
no switchport nonegotiate
no switchport protected
no switchport block multicast
no switchport block unicast
no ip arp inspection trust
ip arp inspection limit rate 15 burst interval 1
ip arp inspection limit rate 15
no shutdown
snmp trap mac-notification change added
snmp trap mac-notification change removed
snmp trap link-status
spanning-tree port-priority 3
spanning-tree cost 3
ip igmp snooping tcn flood
ip dhcp snooping limit rate 4294967295
ip dhcp snooping trust
no ip dhcp snooping information option allow-untrusted
> no switchport block multicast
> no switchport block unicast
> no ip arp inspection trust
> ip arp inspection limit rate 15 burst interval 1
> ip arp inspection limit rate 15У вас точно arp выще 15 не превышает ?
в общем не знаю: Костыль это или нет, уравнял ARP и CAM тайм-ауты:sh mac address-table aging-time
Global Aging Time: 300
Vlan Aging Time
---- ----------interface Vlan110
...
arp timeout 300Сейчас все работает нормально.
Может быть кто-нибудь знает более элегантное решение проблемы?
>[оверквотинг удален]
> тайм-ауты:
> sh mac address-table aging-time
> Global Aging Time: 300
> Vlan Aging Time
> ---- ----------
> interface Vlan110
> ...
> arp timeout 300
> Сейчас все работает нормально.
> Может быть кто-нибудь знает более элегантное решение проблемы?Добрый день, недавно появилась аналогичная проблема. Отваливаются коммутаторы.
Помогло во влане управления выставить arp timeout 60.
Вопрос что это? Проблема появилась ни с того ни с сего... При том что проблема исключительно в рамках одной агрегации, во главе которой стоит Cisco 3750(L2), L3 поднято на ядре Cisco 7609 - на нем Global Aging Time настроен по дефолту: 300.
> Добрый день, недавно появилась аналогичная проблема. Отваливаются коммутаторы.
> Помогло во влане управления выставить arp timeout 60.
> Вопрос что это? Проблема появилась ни с того ни с сего... При
> том что проблема исключительно в рамках одной агрегации, во главе которой
> стоит Cisco 3750(L2), L3 поднято на ядре Cisco 7609 - на
> нем Global Aging Time настроен по дефолту: 300.День добрый.
А случаем VTP Pruning не включен?
Мы стали решать проблему с верха в низ, в результате мы перековыряли конфиги, обновили прошивки на Cisco 7609 и Cisco 3750, переварили и почистили оптическую трассу - а проблема была в D-Link 3526 и D-Link 3200-26 (ревизия C).
Не знаю у всех так было или нет, но в нашем случае на коммутаторах отображалась не корректная ARP таблица. Помог дамп по участкам сети и последний на аплинке коммутатора, мы зафиксировали что на коммутатор доходят ICMP запросы, а от него ничего не возвращается.
Кратковременно помогали и облегчали жизнь выкручивания arp time во вланах управления коммутаторами, чистка ARP таблиц на Cisco, коммутаторы падали по управлению реже, но проблему не решало до конца. В результате один коммутатор я просто отправил в reboot и о чудо. Не знаю как так получилось что сегмент сети (10 веток примерно по 15-20 коммутаторов) разом вывалился в одну проблему, но помог reboot.
Вспомнилась одна фраза: семь бед - один резет. Всем удачи.