Problema de MAC Flapping en la red Destacado

Última respuesta febr. 02, 2020 21:56:58 144 5 6 1

Descripción del Problema:

Se descubrió que las interfaces del switch estaban aprendiendo direcciones MAC de estaciones conectadas en otras interfaces, aleatoriamente.

Es importante mencionar que en cada una de las interfaces se había configurado el secure-port enable, y que las estaciones se autenticaban por MAC.


Se tiene la siguiente topología:


Tolpogía



En este caso, la PC 1 con  la MAC xxx-xxx-98ee, estaba conectada directamente en la interface GE1/0/1, pero también estaba siendo aprendida por la interface GE1/0/26, al mismo tiempo. En la interface GE1/0/26 está conectada la PC 2


Manejo del problema.


1- Lo primero que se debe hacer es confirmar que no existe ningún loop en la red, revisar la configuración del STP y que esté funcionando bien. Para este problema no había loops, el STP estaba habilitado y los estados de los puertos eran correctos. Además, las MACs que se estaban aprendiendo en otras interfaces eran únicamente de las PCs, no de los teléfonos. Además se probaron los camandos "undo mac-address", "port-security max-mac" y "undo mac-address sticky", pero esto no solucionó el problema.


2- Se procedió a hacer una captura de paquetes dentro del mismo Switch S5720, mediante una ACL, como se muestra a continuación:

[Switch]acl 4445

[Switch-L2-4445]rule permit  source-mac  xxx-xxx-98ee

[Switch] capture-packet interface GigabitEthernet 1/0/26 acl 4445 destination terminal packet-num 10


El resultado fue el siguiente:

Result


Con lo cual se demostró que la PC 2 está reenviando paquetes ARP con la MAC de origen 98ee, los paquetes ARP activan la autenticación y la interface aprende la MAC  98ee en la interface 0/26. Esto es un comportamiento abnormal por parte de las PCs


3- Para estas seguros del comportamiento, se procedió a realizar una captura de paquetes usando el "port mirror"  en la interface 0/26 utilizando wireshark, y el resultado fue el siguiente:


captura


Con esto se confirmó que las PCs estaban reenviando los paquetes ARP por alguna extraña razón.




Solución temporal:

Ejecutar los siguientes comandos en el switch para indicar que únicamente se validen los paquetes DHCP y no los ARP:


dot1x-access-profile name dot1x_access

authentication trigger-condition dhcp

#

mac-access-profile name mac_access

authentication trigger-condition dhcp dhcpv6 nd



Solución definitiva.

Revisar si en la PC existe algún software installado que esté ocasionando este comportamiento, o tal vez un virus.


Saludos.






  • x
  • convención:

Gustavo.HdezF
Moderador Publicado 2020-1-24 08:23:03 Útil(1) Útil(1)
Hola @YoryiE gracias por compartir esta información en el foro, este análisis que realizaron para resolver este problema sera de utilidad para nuestros usuarios. Gracias & Saludos
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2022%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.
user_153387
Publicado 2020-1-29 10:32:24 Útil(1) Útil(1)
Muy interesante gracias por compartir problemas que se nos pueden dar
  • x
  • convención:

Hello%20friends%2C%20I%20am%20a%20Telecommunications%20and%20electronics%20engineer%20and%20I%20just%20graduated%20as%20a%20master%20in%20telecommunications%20systems.%20I%20work%20in%20the%20telecommunications%20company%20of%20Cuba%2C%20ETECSA.%20I%20am%2035%20years%20old%20and%20I%20attend%20the%20transport%20network%20in%20my%20province%2C%20which%20is%20mainly%20Huawei.
Jfriash
Publicado 2020-1-29 14:27:28 Útil(1) Útil(1)
Gracias por compartir!
  • x
  • convención:

Hola%20mi%20nombre%20es%20Jorge%20Arturo%20Frias%20Hernandez%2C%20trabajo%20en%20Zona%20IP%20y%20estoy%20estudiando%20la%20carrera%20de%20Ing.%20Mecatronica.%20Me%20gustan%20la%20inform%C3%A1tica%20y%20es%20algo%20a%20lo%20que%20me%20eh%20dedicado%20toda%20mi%20vida%20laboral%2C%20me%20gusta%20aprender%20y%20compartir%20conocimiento.
LUISHR
Publicado 2020-1-30 17:01:28 Útil(0) Útil(0)
Interesante garcias por compartir
  • x
  • convención:

gabriel_romero
Publicado 2020-2-2 21:56:58 Útil(0) Útil(0)
Muy interesante.
  • x
  • convención:

Tecnologo%20en%20Seguridad%20informatica%20y%20computacion%20forense.

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión