CCIE.pl

site 4 CCIE wannabies
Dzisiaj jest 20 kwie 2018, 03:08

Strefa czasowa UTC+02:00




Nowy temat  Odpowiedz w temacie  [ Posty: 14 ] 
Autor Wiadomość
Post #1 : 05 kwie 2018, 15:03 
Offline
fresh
fresh

Rejestracja: 05 kwie 2018, 14:52
Posty: 6
Witam,
Losowo wypadają mi porty na przełączniku, przełącznik loguje takie zdarzenie:
Kod:
%AUTHMGR-5-SECURITY_VIOLATION: Security violation on the interface GigabitEthernet3/0/34, new MAC address (902b.0000.0000) is seen.AuditSessionID  Unassigned
%PM-4-ERR_DISABLE: security-violation error detected on Gi3/0/34, putting Gi3/0/34 in err-disable state (SW-3)
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet3/0/34, changed state to down
%LINK-3-UPDOWN: Interface GigabitEthernet3/0/34, changed state to down
Początek MAC jest zawsze zgodny z podłączonym PC (klienci Windows) potem lecą same zera jak w powyższym przykładzie, w tym przypadku właściwy mac to: 902b.3453.ba2a

Dzieje się to podczas normalnej pracy, żadne wpinanie/hibernowanie/wybudzanie PC, zwyczajnie user przegląda Net i wylatuje port (MAC based auth.)

Po zresetowaniu portu: shutdown/no shutdown przez jakiś czas jest dobrze.

Jakieś sugestie? BUG w sofcie przełącznika?

Pozdr,
Niebieski


Na górę
Post #2 : 05 kwie 2018, 16:04 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 16 lis 2004, 13:55
Posty: 1825
Lokalizacja: Edinburgh
Jaki switch i jaki soft

_________________
Jeden konfig wart więcej niż tysiąc słów


Na górę
Post #3 : 05 kwie 2018, 19:19 
Offline
fresh
fresh

Rejestracja: 05 kwie 2018, 14:52
Posty: 6
Powyższe zdarzenia rejestruje w różnych punktach dystrybucyjnych na przełącznikach:
Kod:
WS-C2960X-48FPD-L soft: C2960X-UNIVERSALK9-M, Version 15.0(2a)EX5
WS-C2960X-48FPD-L soft: C2960X-UNIVERSALK9-M, Version 15.2(2)E5
WS-C2960S-48LPD-L soft: C2960S-UNIVERSALK9-M, Version 12.2(55)SE7
Pozdr,
Niebieski


Na górę
Post #4 : 06 kwie 2018, 06:56 
Offline
member
member

Rejestracja: 31 lip 2017, 15:35
Posty: 34
pierwsze co mi przychodzi na myśl to wina stacji końcowej użytkownika (jakiś wirus podmieniający mac?) (uruchomienie wirtualki na systemie użytkownika?)


Na górę
Post #5 : 06 kwie 2018, 08:28 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 16 lis 2004, 13:55
Posty: 1825
Lokalizacja: Edinburgh
Zgoda z turbokrecik'iem, to raczej stacja końcowa z jakiegoś powodu podmienia MACa. Switch nie robi takich rzeczy bo po co?

_________________
Jeden konfig wart więcej niż tysiąc słów


Na górę
Post #6 : 06 kwie 2018, 08:37 
Offline
fresh
fresh

Rejestracja: 05 kwie 2018, 14:52
Posty: 6
Domyślna konfiguracja na interfejsach:
Kod:
 switchport mode access
 switchport voice vlan 2
 switchport port-security maximum 4
 switchport port-security maximum 3 vlan access
 switchport port-security
 authentication event fail action authorize vlan 3
 authentication event no-response action authorize vlan 3
 authentication host-mode multi-domain
 authentication order mab
 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate 60
 mab
 dot1x pae authenticator
 spanning-tree portfast
 spanning-tree bpduguard enable

dzieje się to na różnych stacjach końcowych (wspólny jest OS - Windows), użytkownicy nie mają praw do instalowania oprogramowania - wirtualki nie wchodzą w grę, aktualne oprogramowanie Anty-Vir.
Miałem podejrzenie, że może laptopy podłączane do stacji dokującej w trakcie wpinania albo wybudzania potrafią takie coś wygenerować, ewentualnie wygaszacz/tryb uśpienia itp. ale sytuacja zdarza się również na komputerach stacjonarnych, użytkownicy zeznają, że podczas normalnej pracy np. kopiowania plików.

Nie wiem czy to ma związek - kiedyś przy próbie resetu konfiguracji na takim interfejsie co wyleciał odnotowałem coś takiego:
Kod:
SW22(config)#default int gi 2/0/14
Command rejected: the VLAN has already learned more than 65535 addresses
Maximum is less than number of currently secured mac-addresses on the vlan.
Interface GigabitEthernet2/0/14 set to default configuration
Nie wiem jak to ugryźć..., w tym przypadku PC użytkownika podłączone było przez telefon Avaya.


po wpisaniu na interfejsie:
Kod:
 switchport access vlan 10
 switchport mode access
 switchport voice vlan 2 
Ten dziwny MAC siedział sobie dalej:
Kod:
show mac address-table | inc 3/0/34

   2    64c3.549c.9857    DYNAMIC     Gi3/0/34
  10    902b.0000.0000    DYNAMIC     Gi3/0/34
  10    902b.3453.ba2a    DYNAMIC     Gi3/0/34


Może jakiś debug można założyć aby uzyskać więcej info - jakaś sugestia?
Przyjął bym do wiadomości że to stacja/virus itp. gdyby nie to że dzieje się to na różnych przełącznikach - różne stacje, średnio raz na miesiąc jakaś wylatuje... jak żyć...?




Pozdr,
Niebieski


Na górę
Post #7 : 08 kwie 2018, 10:38 
Offline
CCIE
CCIE
Awatar użytkownika

Rejestracja: 23 sty 2008, 14:21
Posty: 312
Lokalizacja: Singapore, SG
1. Skrypt, który reaguje na zamknięcie portu przy takim dziwacznym-a-jednak-podobnym MAC adresie (chociaż nie będziesz miał wtedy skarg).
2. Lecący w tle SPAN (albo, przy odpowiednim hardware, ELAM) i czyhasz.
(ja bym obstawiał uszkodzenie okablowania / jakieś przepięcie czy co - albo bug w firmware karty)


Na górę
Post #8 : 09 kwie 2018, 10:57 
Offline
fresh
fresh

Rejestracja: 05 kwie 2018, 14:52
Posty: 6
Zawsze dostaje tego typu MAC - pierwsze dwa oktety zgodne z adresem sprzętowym komputera dalej 4 oktety z zerami.
W przypadku uszkodzonego kabla przypuszczam, że byłaby większa losowość.

Tutaj moim zdaniem wystąpił identyczny problem:

https://supportforums.cisco.com/t5/lan- ... -p/2289372
Cytuj:
Interface FastEthernet0/16
description PHONE-DEVTORO-PC
switchport mode access
switchport port-security maximum 2
switchport port-security
keepalive 4

Each time this port is down and the log say:

.Oct 2 19:03:23.559: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/16, putting Fa0/16 in err-disable state
.Oct 2 19:03:23.568: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0027.0000.0000 on port FastEthernet0/16.
.Oct 2 19:03:23.568: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/16, changed state to down
.Oct 2 19:03:25.573: %LINK-3-UPDOWN: Interface FastEthernet0/16, changed state to down

Prawdopodobnie przekłamania MAC związane są z telefonami Avaya będącymi przed komputerami użytkowników.

Czy ktoś ma wdrożoną konfiguracje: CISCO - TEL. AVAYA - KLIENT z założonym port security na adresy MAC i mógłby potwierdzić lub obalić hipotezę, że winne są telefony Avaya?

Pozdr,
Niebieski


Na górę
Post #9 : 10 kwie 2018, 09:51 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 21 cze 2006, 16:27
Posty: 974
Lokalizacja: Warszawa
Cytuj:
Czy ktoś ma wdrożoną konfiguracje: CISCO - TEL. AVAYA - KLIENT z założonym port security na adresy MAC i mógłby potwierdzić lub obalić hipotezę, że winne są telefony Avaya?
Kiedys miałem taka konfiguracje przed wdrozeniem autoryzacji 802.1x ale wazne zeby CDP było wyłączone w kierunku Avaya i właczone LLDP.

_________________
Somewhere back in time.


Na górę
Post #10 : 10 kwie 2018, 12:15 
Offline
fresh
fresh

Rejestracja: 05 kwie 2018, 14:52
Posty: 6
To jeszcze jedno pytanie,

dlaczego port przechodzi w stan err-disable po pojawieniu się tego "nowego" adresu MAC?

rozumiem, że przełącznik spodziewa się 2 urządzeń: - telefonu i urządzenia za nim (PC), a jak się pojawi kolejne urządzenie to ustawione port-security składa interfejs... tylko, że w konfiguracji maximum jest z zapasem - większe niż 2 :
Kod:
 switchport port-security maximum 4
 switchport port-security maximum 3 vlan access
 switchport port-security
Kod:
   2    64c3.549c.9857    DYNAMIC     Gi3/0/34
  10    902b.0000.0000    DYNAMIC     Gi3/0/34
  10    902b.3453.ba2a    DYNAMIC     Gi3/0/34
w voice vlanie - jeden adres
w data vlan - zaledwie dwa

Port "wyleciał" decyzją przełącznika - radius nie został odpytany o drugi MAC - w logach czysto.

Czy interfejs składany jest z uwagi na "niepoprawność" tego drugiego adresu MAC?


Na górę
Post #11 : 10 kwie 2018, 20:41 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 21 cze 2006, 16:27
Posty: 974
Lokalizacja: Warszawa
Kod:
show port-security interface
zobacz co masz na takim porcie.
Tu sobie poczytaj troche o port-sec:
https://supportforums.cisco.com/t5/ip-t ... -p/1580921

_________________
Somewhere back in time.


Na górę
Post #12 : 11 kwie 2018, 10:50 
Offline
fresh
fresh

Rejestracja: 05 kwie 2018, 14:52
Posty: 6
przeczytałem proponowany wątek i pewnie Ci o to chodziło:
Cytuj:
Sometimes, when the Phone boots the Phone MAC is associated to the Data VLAN first and after that to the Voice VLAN ... if you use the 'maximum 2' you will reach a violation because you will have 3x MAC & VLAN info:
Phone MAC in Data VLAN
Phone MAC in Voice VLAN
PC in Data VLAN
Because of that, it's recommended to use at least 'maximum 3'
Wszystko fajnie ale u mnie w konfiguracji (właśnie z tego wzgledu) jest
Kod:
 switchport port-security maximum 4
 switchport port-security maximum 3 vlan access
co wg. mnie ma zabezpieczać przed sytuacją, że w Data VLAN podczas startu wpadnie chwilowo MAC telefonu.

podczas normalnej pracy taki interfejs zgłasza:
Kod:
Maximum MAC Addresses      : 4
Total MAC Addresses        : 2
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 0
Na logikę wygląda, że jeszcze ze 2 adresy by się zmieściły dlatego dalej jest dla mnie zagadką czemu leci err-disable przy MACu z zerami?


Na górę
Post #13 : 12 kwie 2018, 12:53 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 21 cze 2006, 16:27
Posty: 974
Lokalizacja: Warszawa
Cytuj:
Na logikę wygląda, że jeszcze ze 2 adresy by się zmieściły dlatego dalej jest dla mnie zagadką czemu leci err-disable przy MACu z zerami?
Co pokazuje podczas problemu?

_________________
Somewhere back in time.


Na górę
Post #14 : 16 kwie 2018, 11:50 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 04 lip 2011, 10:25
Posty: 394
Cytuj:
[...]
(ja bym obstawiał uszkodzenie okablowania / jakieś przepięcie czy co - albo bug w firmware karty)
Miałem coś podobnego, porty zaczęły się same blokować. Już nie pamiętam, jaki tam był konfig. Wina: marnej jakości okablowanie + win 10.
Po podłączeniu bezpośrednio do switcha nowym patchcordem (około 15 metrów), problemy zniknęły. Spróbuj zrobić to samo.

_________________
Ups I switched again =)


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie  [ Posty: 14 ] 

Strefa czasowa UTC+02:00


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Technologię dostarcza phpBB® Forum Software © phpBB Limited
Polski pakiet językowy dostarcza phpBB.pl