잘못된 소스 맥 주소 추적

Cisco 4500이 포함 된 원격 사이트에 대한 지원을 상속 받았으며 최대 12 개의 시스코 액세스 스위치 (주로 2960s, 3750 및 3560)에 연결되었습니다. 모든 액세스 스위치가 4500에 직접 연결되는 것은 아닙니다. 케이블 연결이 부적절하여 스위치가 데이지 체인 방식으로 연결되어 있습니다. 최근에 4500에서 잘못된 소스 mac 주소로 프레임이 수신되었음을 나타내는 오류 메시지를 발견했습니다.

*Sep 10 09:29:48.609: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 102563 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Te5/1 in vlan 1460

Te5 / 1에 연결된 장치는 액세스 스위치입니다 (Cisco 3750). 차례로 6 개의 다른 액세스 스위치에 연결됩니다. 약간의 인터넷 검색 후 4500은 유효하지 않은 소스 mac 주소를 기록하는 유일한 cisco 플랫폼입니다. 내 독서에서 다른 플랫폼 (2960, 3750 등)은 프레임을 전달하는 것처럼 보이지만 유효하지 않은 것으로 기록하지 않으며 mac 주소 테이블에 항목을 추가하지도 않습니다. 유효하지 않은 소스 mac 주소의 근본 원인은 결함이있는 nic, 소프트웨어 버그 또는 잘못 구성된 vmware 서버 일 수 있습니다. 액세스 스위치에서 문제가되는 포트를 추적 할 수있는 도구는 무엇입니까?

인터페이스 및 / 또는 액세스 스위치의 VLAN에서 MAC ACL을 사용하여 프레임을 차단할 수 있는지 시도 할 수 있습니다. 블록을 선택적으로 적용하고 4500의 오류 메시지가 사라지는 지 확인하면 트래픽 소스를 확인할 수 있습니다.

4500 다음에 나오는 오류 메시지에 언급 된 포트를 확인하기 위해 케이블을 옮기는 것도 도움이 될 수 있지만 프로덕션 환경에서는 까다로울 수 있습니다.

일반적으로 이것을 보았을 때 제대로 구성되지 않은 VM (종종 사용자 컴퓨터에서 호스팅 됨)에서 비롯된 것입니다. 상황과 환경에 따라 추적하기가 어려울 수 있습니다 (CS와 ECE 부서 건물의 학생들은 학생들이 옮겼거나갔습니다).

이미 몇 가지 훌륭한 답변이 있지만 추구 할 수있는 또 다른 옵션은 다운 스트림 스위치 (37xx, 36xx, 29xx)에 다음 구성을 추가하는 것입니다.

   mac address-table static 0000.0000.0000 vlan <VLAN ID> drop

이렇게하면이 MAC의 트래픽이 전달되지 않고 중단되며 하드웨어에서 수행되어야합니다 (소프트웨어에서 MAC 조회를 수행하는 기능 / 문제는 제외). 성능에 부정적인 영향을 미치지 않아야합니다.

사용자 불만으로 인해 범람하지 않고 직접 로그 메시지를 발견 한 것처럼이 오류는 네트워크 성능에 영향을 미치지 않는 것으로 보입니다. 이로 인해 현재 연결되어 있지 않지만 부분적으로 구성되었거나 잘못 구성된 소프트웨어 또는 서비스에 문제가있는 것으로 의심됩니다.

가장 좋은 방법은 일부 사용자가 문제를보고 할 때까지이 잠자는 개를 눕히는 것입니다. 또는 여유 시간이 있으면 @Daniel Dib가 제안한대로 SPAN 세션을 실행하고 의심스러운 포트 나 장치를 결정할 때까지 출력을 면밀히 조사 할 수 있습니다.