Author Topic: Log ใน CoreSwitch ขึ้นแบบนี้บ่อยมาก  (Read 17119 times)

0 Members และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

whyrukter

  • Layer 1
  • *
  • Posts: 31
  • จิตพิสัย +0/-0
  • อยากจะทำให้ชีวิตดีขึ้นกว่านี้
Log ใน CoreSwitch ขึ้นแบบนี้บ่อยมาก
« on: 30 สิงหาคม , 2010, 11:27:17 am »
Aug 16 09:06:12: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 1 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Gi3/3 in vlan 651
Aug 19 00:41:49: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: Packet received with invalid source MAC address (00:00:00:00:00:00) on port Gi3/3 in vlan 651
Aug 19 23:30:04: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 8 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Gi3/3 in vlan 651
Aug 20 09:06:05: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 2 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Gi3/3 in vlan 651
Aug 20 20:08:41: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 5 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Gi3/3 in vlan 651
Aug 24 09:29:42: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: Packet received with invalid source MAC address (00:00:00:00:00:00) on port Gi3/3 in vlan 651

port Gi3/3 ต่อเข้ากับ Switch 2960  ลอง sh log แล้วก็ไม่มีอะไรผิดปกติ  ไม่ทราบว่าที่ log ขึ้นแบบนี้จะมีผลกระทบไหมครับ  [onion49]

pp

  • Layer 1
  • *
  • Posts: 1
  • จิตพิสัย +0/-0
Re: Log ใน CoreSwitch ขึ้นแบบนี้บ่อยมาก
« Reply #1 on: 14 ตุลาคม , 2010, 07:40:34 am »
โดน attack หรือเปล่าครับ ทำไม source mac มันเป็น 0 หมดเลย
ลอง sniff ดูสิครับ จะได้รู้ว่ามี packet แบบนี้เข้ามาจริงหรือ switch รายงานผิด

ส่วนถ้าถามว่ามีผลอย่างไร ผมเดาว่าไม่น่าจะกระทบกับ service เพราะMAC แปลกๆนี้ switch ก็คงไม่เก็บลง mac table แต่จะมีผลเรื่องกิน cpu มั๊ง ลอง show process cpu ดูครับว่าสูงหรือเปล่า

ปลาวาฬทราย

  • Layer 5
  • *****
  • Posts: 558
  • จิตพิสัย +1/-0
    • ไทยซีพีอี
    • Email
Re: Log ใน CoreSwitch ขึ้นแบบนี้บ่อยมาก
« Reply #2 on: 23 ตุลาคม , 2010, 02:25:49 pm »
Core issue
The default form of error message is:

%C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: Packet received with invalid source MAC address ([mac-addr] ) on port [char] in vlan [dec]

This means a packet was received with an all zero (00:00:00:00:00:00) or a multicast source address, for example, FF:FF:FF:FF:FF:FF. which is a Layer 2 broadcast. The packet is treated as invalid and no learning is done. Excessive flow of such packets can waste CPU cycles. This message is rate-limited and is displayed only for the first such packet received on any interface or VLAN. Subsequent messages display the cumulative count of all such packets received in given interval on all interfaces.

 
Resolution
Check the switch configuration file in order to find the source of these packets on the specified port and take corrective action in order to fix them at the source end. For example, it can be due to a faulty NIC or connected hub. You can also setup a SPAN session to identify the source.

Alternatively,  you can also issue the switchport port-security limit rate invalid-source-mac command in order to enable port security on that interface in order to shutdown the port if the incoming rate of packets with invalid source mac address is too high.
[onion28]
ปลาวาฬทราย
RMUTT CPE IX

jorn_it

  • Layer 1
  • *
  • Posts: 2
  • จิตพิสัย +0/-0
Re: Log ใน CoreSwitch ขึ้นแบบนี้บ่อยมาก
« Reply #3 on: 30 กันยายน , 2011, 06:53:32 pm »
มี VMWARE หรือว่า IBM run Cluster หรือพวก hard-beat อะไรบ้างหรือเปล่าครับ
 

ppyut

  • Layer 1
  • *
  • Posts: 42
  • จิตพิสัย +0/-0
Re: Log ใน CoreSwitch ขึ้นแบบนี้บ่อยมาก ^^
« Reply #4 on: 23 ธันวาคม , 2013, 04:17:06 pm »
มีปัญหานี้ เหมือนกัน แก้อย่างใงดีคับ ตอนนี้  High CPU ด้วย


plzzzzzzzzzzzzzzzzzzzzzzzzzz [onion25]

At lease 8

  • VIP Member
  • Layer 4
  • *****
  • Posts: 329
  • จิตพิสัย +4/-0
    • Email
Re: Log ใน CoreSwitch ขึ้นแบบนี้บ่อยมาก
« Reply #5 on: 23 ธันวาคม , 2013, 04:57:59 pm »
ผมไม่เคยเจอนะครับ แต่ที่มันมี source เป็น 00:->:00 นั้นเป็นหมายเลข Mac address ที่ผิด มันเป็นไปได้ว่าจะเป็น multicast address  หรือ บางคนก็บอกว่ามันเกิดจาก VMware  ก็มี แต่สิ่งที่ต้องทำคือ หาว่ามันมาจากไหน ลองใช้คำสั่งนี้ดู
1. sh arp ดูว่ามันอยู่ใน vlan ไหน ของคุณน่าจะเป็น vlan 651
2. sh int vlan 651 ดูว่าตัวเลข error , crc หรือ overrun มันขึ้น เพราะบางคนก็บอกว่ามันเกิดจากการ์ดแลนที่ต่อเสีย หรือ ตัว Switch เสียก็มี
3. จัด rate-limit ไปพลางๆก่อน โดยระบุ mac นี้เสีย ไม่ให้ไปกวน cpu เพราะ Switch จะคิดว่า address นี้เป็น Broadcast ทำให้ % cpu สูง

SW3(config-if)#rate-limit input access-group rate-limit 2 ?
  <8000-2000000000>  Bits per second
 [onion5]

ก้าวต่อไป ลองสอบ CCIE SP

ppyut

  • Layer 1
  • *
  • Posts: 42
  • จิตพิสัย +0/-0
Re: Log ใน CoreSwitch ขึ้นแบบนี้บ่อยมาก
« Reply #6 on: 23 ธันวาคม , 2013, 09:37:31 pm »
ผมไม่เคยเจอนะครับ แต่ที่มันมี source เป็น 00:->:00 นั้นเป็นหมายเลข Mac address ที่ผิด มันเป็นไปได้ว่าจะเป็น multicast address  หรือ บางคนก็บอกว่ามันเกิดจาก VMware  ก็มี แต่สิ่งที่ต้องทำคือ หาว่ามันมาจากไหน ลองใช้คำสั่งนี้ดู
1. sh arp ดูว่ามันอยู่ใน vlan ไหน ของคุณน่าจะเป็น vlan 651
2. sh int vlan 651 ดูว่าตัวเลข error , crc หรือ overrun มันขึ้น เพราะบางคนก็บอกว่ามันเกิดจากการ์ดแลนที่ต่อเสีย หรือ ตัว Switch เสียก็มี
3. จัด rate-limit ไปพลางๆก่อน โดยระบุ mac นี้เสีย ไม่ให้ไปกวน cpu เพราะ Switch จะคิดว่า address นี้เป็น Broadcast ทำให้ % cpu สูง

SW3(config-if)#rate-limit input access-group rate-limit 2 ?
  <8000-2000000000>  Bits per second
 [onion5]


ขอบคุณครับ  ตอนนี้ แก้ไข อยู่ เปิด TAC ไปด้วย  ถ้าแก้ได้จะเอามาแชร์นะฮับ

แนะนำหน่อยคับ อยากจะหา source ที่มาว่าเป็น host ไหน อย่างใงดี เพราะ มันมี log มาจาก Up link (trunk) ใน access sw ไม่มี Log ผิดปกติ

span port ใช้ wireshare จะเห็น Mac 00000000000000 ไหม ฮับ
ขอบคุงฮับ [onion49] [onion79]