Pertes de config Vlan sur un Switch catalyst 4500

cheik_koita · 24/12/2012, 18h27

Bonjour,

j'ai un switch catalyst 4500 dans mon réseau sur lequel sont connectés la majeure partie de mes serveurs et autres équipements réseaux.
Depuis quelques jours je constate que le switch perd tout seul ses configs Vlans créant des indisponibilités das mon réseau. (heureusement que je fais des backup regulièrement) donc je les reconfigure à chaque fois afin de lever l'incident.
après investigations, je constate des msg d'erreurs ci-dessous sur certain ports dans les logs:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
*Dec 22 10:26:56.583: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 6 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Gi1/24 in vlan 35
*Dec 24 01:48:13.133: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 1 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Gi1/12 in vlan 39

après un coup de recherche sur le supportforums de cisco, je suis tombé sur un tuto qui propose d'appliquer le "switchport port-security limit rate invalid-source-mac " sur les dits afin d'eviter les CPU load que ces broadcast L2 peuvent causer.
Mon problème est que les dits ports sont en mode trunk sur le switch:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
interface GigabitEthernet1/12
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 39-41,137
switchport mode trunk
load-interval 30
speed 100
duplex full
no cdp enable
end

interface GigabitEthernet1/24
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 34-37,42
switchport mode trunk
load-interval 30
speed 100
duplex full
no cdp enable
end

- Est-ce que ces msg d'erreurs peuvent expliquer le comportement du Switch (perte des configs Vlans)
- l'activation du port-security servirait-il à quelque chose dans ce cas vue que mes ports sont en trunk?
-sinon il y aurait-il d'autres alternatives de securité?
Aussi

IP_Steph · 25/12/2012, 23h17

Salut,

Citation:

je constate que le switch perd tout seul ses configs Vlans

qu'est-ce que tu entends par "perdre ses config Vlans" ? Peux-tu détailler comment tu arrives à cette conclusion ? Quelque chose disparaît de la running-config par exemple ?

Citation:

après investigations, je constate des msg d'erreurs ci-dessous sur certain ports dans les logs

aurais-tu par hasard des serveurs ESX déployés avec plusieurs cartes réseau en actif/passif ?

Qu'est-ce qui est connecté sur les interfaces Gi1/12 et Gi1/24 ?

Hormis le cas de cartes réseaux défectueuses, ces messages sont souvent caractéristiques de trames Reverse ARP.

Citation:

après un coup de recherche sur le supportforums de cisco, je suis tombé sur un tuto qui propose d'appliquer le "switchport port-security limit rate invalid-source-mac " sur les dits afin d'eviter les CPU load que ces broadcast L2 peuvent causer.

La fréquence de ces messages n'est pas non plus très élevée, je doute qu'ils impactent la CPU du 4500. Mais ça ne coûtera rien d'utiliser la commande.

Steph

cheik_koita · 26/12/2012, 09h33

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

qu'est-ce que tu entends par "perdre ses config Vlans" ? Peux-tu détailler comment tu arrives à cette conclusion ? Quelque chose disparaît de la running-config par exemple ?

Oui des vlans disparaissent dans la running config. (plus de la moitié)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Qu'est-ce qui est connecté sur les interfaces Gi1/12 et Gi1/24 ?

ces interfaces sont connectés à des équipements de transmission FH (IDU qui me permettent de relier des sites distants).

quand j'ai essayé d'appliquer le "switchport port-security limit rate invalid-source-mac" avec le violation mode shutdown, je constate que mes ports tombent systématiquement. donc j'ai du mettre le violation mode en restrict.
si ça peut aider voici le "sh port-security" de l'interface et vous pouvez constater la fréquence avec laquelle la valeur du security violation count s'incrémente:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
sh port-security int G1/12
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1000
Total MAC Addresses        : 75
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 687f.7406.198c:40
Security Violation Count   : 207283

IP_Steph · 26/12/2012, 10h50

Citation:

Oui des vlans disparaissent dans la running config. (plus de la moitié)

Le switch qui a ce problème est-il configuré en VTP server/client ?
Y a-t-il des messages particuliers dans le log du switch ?
Quelle est la version logicielle du switch en question ?

Steph

cheik_koita · 26/12/2012, 12h53

oui il est configuré en VTP server.
des messages particuliers dans les logs? non pas vraiment, seulement le message "%C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET" qui revenait ces derniers jours. Mais il n'y a en plus depuis j'ai que appliqué le port security.
Ci-dessous la version de l'IOS:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
sh version 
Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-IPBASE-M), Version 12.2(53)SG2, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Tue 16-Mar-10 00:54 by prod_rel_team
Image text-base: 0x10000000, data-base: 0x11B95764

cheik_koita · 02/01/2013, 09h57

bjr,

des idées par rapport à ce problème? le switch vient de perdre à nouveau ces vlans.
cette perte de vlan ne serait-il pas liée à un problème hard?

IP_Steph · 03/01/2013, 16h08

Salut,

il faudrait que tu fasses une capture de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

show vtp status

dès à présent... Puis en refaire une autre lorsque le problème se reproduit. C'est pour vérifier si la configuration revision s'incrémente.

J'ai vérifié les problèmes connus VTP sur cette version mais je n'ai rien trouvé.

Une solution alternative consisterait également à migrer ce switch vers un VTP Transparent pour voir si le problème se reproduit.

Steph

03/01/2013, 16h08	#7
IP_Steph Modérateur Steph Architecte réseau Inscription : février 2012 Messages : 1 282 Détails du profil Informations personnelles : Nom : Steph Localisation : France Informations professionnelles : Activité : Architecte réseau Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : février 2012 Messages : 1 282 Points : 2 716 Points : 2 716	Salut, il faudrait que tu fasses une capture de Code : Sélectionner tout - Visualiser dans une fenêtre à part show vtp status dès à présent... Puis en refaire une autre lorsque le problème se reproduit. C'est pour vérifier si la configuration revision s'incrémente. J'ai vérifié les problèmes connus VTP sur cette version mais je n'ai rien trouvé. Une solution alternative consisterait également à migrer ce switch vers un VTP Transparent pour voir si le problème se reproduit. Steph __________________ "#define QUESTION ((bb) \|\| !(bb))" - Shakespeare
	00

02/01/2013, 09h57	#6
cheik_koita Invité régulier Inscription : décembre 2008 Messages : 72 Détails du profil Informations forums : Inscription : décembre 2008 Messages : 72 Points : 9 Points : 9	bjr, des idées par rapport à ce problème? le switch vient de perdre à nouveau ces vlans. cette perte de vlan ne serait-il pas liée à un problème hard?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email