Pakete mit der falschen DST-Mac empfangen

[Kartfahrer 10]

Hallo allerseits,

 

ich hab etwas Bauchschmerzen wegen unserem Coreswitch (Catalyst 6509 mit 2 Supervisor Engines) vielleicht kann mir jemand etwas weiterhelfen.

 

Ich habe nämlich das Gefühl das der Core mit seiner MAC-Address-Table weng Probleme hat. Wenn ich jetzt nämlich hergeh und ein meinem PC den Wireshark weng mitlaufen lass kommen einige Unicastpakete die nicht für mein PC sind.

Wenn ich dann her geh und nach dem Destination-MAC such kann wird sie allerdings dem richtigen Port zugeordnet.

 

Irgendwie hab ich da momentan ein etwas ungutes Gefühl bei der Kiste.

Vielleicht hat ja jemand einen Tipp für mich wie ich testen kann ob das noch alles IO is oder vielleicht gibts ja auch ne logischer Erklärung.

Auf jeden Fall würde ich mich über Antworten freuen.

 

Mfg

Kartfahrer

[Otaku19 33]

um wie viele Pakete handelt es sich denn da ? Vereinzelt wird das immer weider vorkommen, nämlich dann wenn der Switch die DST MAC nicht im CAM findet, dann wird auf alle Ports in dem betroffenen VLAN geflooded.

Solceh Pakete kannman natürlicha uch gezielt erzeugen

[Nightwalker_z 10]

Coreswitch?

Meinst du einen "collapsed" Core? Also die Endgerätenetze sind auf dem Core angelegt oder hast du einen fully routed Core?

Wie Otaku schon sagte - das passt schon so.

 

Mich würde interessieren woher das "ungute" Bauchgefühl kommt. Versteh mich nicht falsch - aber "Gefühle" haben bei diesem Thema nichts zu suchen. Nur Fakten. Im übrigen kann man mit der Info "Ich habe einen 6509" recht wenig anfangen. Welche Supervisor Engine - welche Software. Mit dem Chassis alleine ist da recht wenig anzufangen.

 

Ich kann nur sagen, dass ich schon Sup2, Sup32, Sup720, Sup720-10GE in den Fingern hatte und alle tadellos ihren Dienst tun.

 

Ansonsten Kiste ausbauen und schon durchtesten. Diverse Testcases schreiben und grün machen falls alles klappt.

[Kartfahrer 10]

Erst mal danke für die Antwort.

 

Also von der Anzahl der Pakete die ich nicht bekommen sollte hält sich in grenzen.

Das die DST MAC nicht im CAM ist kann ich ausschließen da auch mehrere Pakete mit der selben DST MAC innerhalb kürzester Zeit zusehen sind.

 

Die Begriffe "collapsed" Core oder fully routed Core sagen mir jetzt ehrlichgesagt nix.

 

Das ungute Gefühl kommt einfach daher das ich der Meinung bin, das es nicht ok is das ich die Pakete seh. Wir haben bis jetzt deswegen noch keine Probleme, aber ich würde zumindest gerne verstehen warum er sich so verhält.

 

Bei dem Core handelt es sich wie schon erwähnt um einen Cat6509 mit zwei Supervisor Engine 2 mit der IOS Version 12.2(18)SXD6.

 

Die Kiste mal schnell auszubauen und sie durchzutesten ist jetzt nicht ganz so einfach. Die nächste Möglichkeit für so ne Aktion bietet sich erst wieder mitte bis ende Januar.

 

Wenn ich noch irgendwelche Infos vergessen hab einfach Bescheidsagen.

[Wordo 11]

Kannst du den Dump mal posten (als TXT, nicht pcap)?

 

Aehnliche Sachen erlebt man hin und wieder wenn Kabel falsch gepatcht sind, oder der Klassiker mit Native VLAN 1 :)

[Otaku19 33]

Das die DST MAC nicht im CAM ist kann ich ausschließen da auch mehrere Pakete mit der selben DST MAC innerhalb kürzester Zeit zusehen sind.

 

wenn sie wirklich sehr knapp hintereinander daherkommen und es nur wenige sind, dann passt das doch. der Switch kann nun mal erst dann die frames richtig weiterleiten wenn sich das angesprochene Gerät auch endlich meldet. Und das tut es normalerweise sehr viel langamer als der Switch Frames weiterleitet.

[Wordo 11]

Mich irritiert etwas das Wort "Unicastpaket" ... das ist ja eigentlich schon im Layer 3.

[Otaku19 33]

und ? trotzdem basier die frameweiterleitung ja auf L2 und wenn in der Switch CAM kein Port zur MAC gefunden wird, wird eben geflooded

[daking 10]

Hi,

 

mit DFC's oder ohne?

 

ciao

[Kartfahrer 10]

@Wordo: Wie gewünscht hab ich mal File angehängt und vor her alles übern Filter rausgeschmissen was ok gewesen wäre.

Welchen Klassiker mit Native Vlan1 meintest du? Der is mir gerade nicht geläufig. :confused:

falsche Packete2.txt

[Wordo 11]

Hm, hab wohl in die falsche Richtung gedacht.

Machst du was mit HA oder Clustern und Gratuitous ARP?

[Otaku19 33]

uh, das ist sicher das hässlichste, unleserlichste capturefile das ich je gesehen hab :) geht das nicht etwas augenfreundlicher ?

[Kartfahrer 10]

@Otaku19: was findest du denn da Augenunfreundlich?

Also ich bekomm mit Wireshark Version 1.2.7 das File ohne Probleme auf. Aber wenn du mir genauer sagst wie ich dir und deinen Augen entgegenkommen kann mach ich das gerne.

 

@Wordo: Ne HA, Cluster oder Gratuitous ARP haben wir da garnichts.

 

Einfach mal als info, die IP von meinem Rechner wäre die 192.168.100.47

MAC: 18-A9-05-24-32-3A

[Wordo 11]

Und was ist die bekannte DST MAC fuer die du Pakete bekommst?

[Kartfahrer 10]

Die MAC: 18-A9-05-24-32-3A ist du von meinem PC und nur für die würde ich Pakete erwarten. Außer Broadcast usw natürlich.