Discussion :

[cheik_koita]

Bonjour,

j'ai un switch catalyst 4500 dans mon réseau sur lequel sont connectés la majeure partie de mes serveurs et autres équipements réseaux.
Depuis quelques jours je constate que le switch perd tout seul ses configs Vlans créant des indisponibilités das mon réseau. (heureusement que je fais des backup regulièrement) donc je les reconfigure à chaque fois afin de lever l'incident.
après investigations, je constate des msg d'erreurs ci-dessous sur certain ports dans les logs:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
*Dec 22 10:26:56.583: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 6 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Gi1/24 in vlan 35
*Dec 24 01:48:13.133: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 1 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Gi1/12 in vlan 39

après un coup de recherche sur le supportforums de cisco, je suis tombé sur un tuto qui propose d'appliquer le "switchport port-security limit rate invalid-source-mac " sur les dits afin d'eviter les CPU load que ces broadcast L2 peuvent causer.
Mon problème est que les dits ports sont en mode trunk sur le switch:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
interface GigabitEthernet1/12
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 39-41,137
switchport mode trunk
load-interval 30
speed 100
duplex full
no cdp enable
end

interface GigabitEthernet1/24
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 34-37,42
switchport mode trunk
load-interval 30
speed 100
duplex full
no cdp enable
end

- Est-ce que ces msg d'erreurs peuvent expliquer le comportement du Switch (perte des configs Vlans)
- l'activation du port-security servirait-il à quelque chose dans ce cas vue que mes ports sont en trunk?
-sinon il y aurait-il d'autres alternatives de securité?
Aussi

[Invité]

Salut,

je constate que le switch perd tout seul ses configs Vlans

qu'est-ce que tu entends par "perdre ses config Vlans" ? Peux-tu détailler comment tu arrives à cette conclusion ? Quelque chose disparaît de la running-config par exemple ?

après investigations, je constate des msg d'erreurs ci-dessous sur certain ports dans les logs

aurais-tu par hasard des serveurs ESX déployés avec plusieurs cartes réseau en actif/passif ?

Qu'est-ce qui est connecté sur les interfaces Gi1/12 et Gi1/24 ?

Hormis le cas de cartes réseaux défectueuses, ces messages sont souvent caractéristiques de trames Reverse ARP.

après un coup de recherche sur le supportforums de cisco, je suis tombé sur un tuto qui propose d'appliquer le "switchport port-security limit rate invalid-source-mac " sur les dits afin d'eviter les CPU load que ces broadcast L2 peuvent causer.

La fréquence de ces messages n'est pas non plus très élevée, je doute qu'ils impactent la CPU du 4500. Mais ça ne coûtera rien d'utiliser la commande.

Steph

[cheik_koita]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

qu'est-ce que tu entends par "perdre ses config Vlans" ? Peux-tu détailler comment tu arrives à cette conclusion ? Quelque chose disparaît de la running-config par exemple ?

Oui des vlans disparaissent dans la running config. (plus de la moitié)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Qu'est-ce qui est connecté sur les interfaces Gi1/12 et Gi1/24 ?

ces interfaces sont connectés à des équipements de transmission FH (IDU qui me permettent de relier des sites distants).

quand j'ai essayé d'appliquer le "switchport port-security limit rate invalid-source-mac" avec le violation mode shutdown, je constate que mes ports tombent systématiquement. donc j'ai du mettre le violation mode en restrict.
si ça peut aider voici le "sh port-security" de l'interface et vous pouvez constater la fréquence avec laquelle la valeur du security violation count s'incrémente:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
sh port-security int G1/12
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1000
Total MAC Addresses        : 75
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 687f.7406.198c:40
Security Violation Count   : 207283

[Invité]

Oui des vlans disparaissent dans la running config. (plus de la moitié)

Le switch qui a ce problème est-il configuré en VTP server/client ?
Y a-t-il des messages particuliers dans le log du switch ?
Quelle est la version logicielle du switch en question ?

Steph

[cheik_koita]

oui il est configuré en VTP server.
des messages particuliers dans les logs? non pas vraiment, seulement le message "%C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET" qui revenait ces derniers jours. Mais il n'y a en plus depuis j'ai que appliqué le port security.
Ci-dessous la version de l'IOS:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
sh version 
Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-IPBASE-M), Version 12.2(53)SG2, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Tue 16-Mar-10 00:54 by prod_rel_team
Image text-base: 0x10000000, data-base: 0x11B95764

[cheik_koita]

bjr,

des idées par rapport à ce problème? le switch vient de perdre à nouveau ces vlans.
cette perte de vlan ne serait-il pas liée à un problème hard?

[Invité]

Salut,

il faudrait que tu fasses une capture de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

show vtp status

dès à présent... Puis en refaire une autre lorsque le problème se reproduit. C'est pour vérifier si la configuration revision s'incrémente.

J'ai vérifié les problèmes connus VTP sur cette version mais je n'ai rien trouvé.

Une solution alternative consisterait également à migrer ce switch vers un VTP Transparent pour voir si le problème se reproduit.

Steph