Хорошо

Loopback

Опубликовано 2020-6-10 10:04:22Последний ответ июн 12, 2020 13:24:56 448 28 0 0 0
  Награжденные Форбаллы: 0 (Проблема решена)

Добрый день! Возник вопрос, а корректно ли работает механизм loopback-detect на коммутаторах Huawei? Ситуация следующая, по жесткой необходимости провожу эксперемент с отработкой петли на коммутаторе. На Huawei S2309TP-EI ver: V100R006C05, настраиваю loopback-detect  на порту 1 и порту 2, устанавливаю патчкорд между ними и вижу, что порты как работали так и работают, он даже и не собирался их госить. Далее, конфигурю еще два порта 3 и 4 с такими же настройками и включаю патчкорд и только через минут пять шесть первый порт лег, в логах было написано, что из-за петли. Потом отключился второй порт, через десять секунд (так задал интервал) включился, но отключился уже четвертый. Вопрос - это что за логика такая по ловле петлей, и не слишком ли долго он отрабатывал? Хотя если взять коммутатор другого вендора, например Eltex, и настраиваем аналогичный пример, то петля ловится в считанные милисекунды. 

Возможно есть подводный камень? Всю документацию Huawei по loopback-detect прочитал, там все предельно просто написано, включил - поймал, а на самом деле... После этого я уже не уверен, отсутствуют ли в моей сети петли.

Для примера конфиг портов:


interface Ethernet0/0/1

 port link-type access

 port default vlan 40

 loopback-detect recovery-time 10

 loopback-detect packet vlan 40

 loopback-detect enable

 stp edged-port enable

#

interface Ethernet0/0/2

 port link-type access

 port default vlan 40

 loopback-detect recovery-time 10

 loopback-detect packet vlan 40

 loopback-detect enable

 stp edged-port enable



  • x

Избранные ответы
Peterhof
MVE Опубликовано 2020-6-12 13:24:56
Опубликовано пользователем artemrus38 в 2020-06-12 02:41 Возник еще один вопрос, если на портах включить port-security ...
В принципе, как вариант решения, должно сработать, но не будет автоматического восстановления.
Я думаю, что даже липкие маки с блокировкой конкретных маков дадут небольшой результат. Но они не уберут широковещательные пакеты :(
Развернуть
  • x

artemrus38
artemrus38 Опубликовано 2020-6-12 17:23 (0) (0)
Спасибо, за уделенное время.  
Все ответы
Peterhof
Peterhof MVE Опубликовано 2020-6-10 10:13:27
У меня без loopback-detect просто STP петли гасит. Я в этом уверен, иначе бы вся сеть лежала :)
<VD-Optic-Switch>dis stp brie
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 DESI FORWARDING NONE
...
0 XGigabitEthernet0/0/1 ROOT FORWARDING NONE
0 XGigabitEthernet0/0/3 ALTE DISCARDING NONE
Развернуть
  • x

artemrus38
artemrus38 Опубликовано 2020-6-10 10:15 (0) (0)
Да, я согласен, когда в порт BPDU посылаются, он их выловит, у меня тоже так работает и не раз спасало сеть, но если бездумное оборудование подключить, которое не шлет BPDU, то тогда беда.  
artemrus38
artemrus38 Опубликовано 2020-6-10 10:18 (0) (0)
Вот поэтому и существует протокол loopback-detect. У меня он хромает почему то.  
I%20am%20an%20IT%20engineer%20in%20the%20State%20Museum%20Reserve%20Peterhof.%20My%20job%20is%20keeping%20alive%20our%20network%2C%20servers%20and%20storages%20solutions%20and%20also%20preparing%20for%20purchasing%20new%20equipment%20and%20server%20software.
user_2909167
user_2909167 Модератор Опубликовано 2020-6-10 10:15:39
добрый день
а loopback-detect action какой?
Развернуть
  • x

artemrus38
artemrus38 Опубликовано 2020-6-10 10:22 (0) (0)
block  
artemrus38
artemrus38 MVE Опубликовано 2020-6-10 10:28:22
Наверное больше вопрос, а кто нибудь вообще проверял, работает loopback-detect на данном железе? Возможно прошивка глючная? Потому что коммутатор S2326TP-EI с таким же ПО, ведет себя точно так же.
Развернуть
  • x

Peterhof
Peterhof MVE Опубликовано 2020-6-10 10:30:32
А Вы пробовали убирать loopback-detect packet vlan 40?
Может быть порты access ооперируют нетегированными пакетами, а данная конструкция заставляет использовать тегированные, которых нет на данных портах?
Развернуть
  • x

artemrus38
artemrus38 Опубликовано 2020-6-10 10:37 (0) (0)
Да, пробовал, результат тот же. Хотя в описании написано, что такая команда, позволяет отыскивать петли в vlan.  
Peterhof
Peterhof Ответить artemrus38  Опубликовано 2020-6-10 10:41 (0) (0)
А если на всякий случай проверить что говорит STP?  
artemrus38
artemrus38 Ответить Peterhof  Опубликовано 2020-6-10 11:50 (0) (0)
у STP вообще все хорошо
MSTID Port Role STP State Protection
0 Ethernet0/0/1 DESI FORWARDING BPDU
0 Ethernet0/0/2 DESI FORWARDING BPDU
0 Ethernet0/0/3 DESI FORWARDING BPDU
0 Ethernet0/0/4 DESI FORWARDING BPDU  
Peterhof
Peterhof Ответить artemrus38  Опубликовано 2020-6-10 12:01 (0) (0)
Можно похардкорить и послушать Wireshark что там в интерфейсах.  
artemrus38
artemrus38 Ответить Peterhof  Опубликовано 2020-6-10 18:28 (0) (0)
Можно, но как я понимаю, особого я ничего не увижу, ведь трафик между портами носится, петли не ловятся.  
I%20am%20an%20IT%20engineer%20in%20the%20State%20Museum%20Reserve%20Peterhof.%20My%20job%20is%20keeping%20alive%20our%20network%2C%20servers%20and%20storages%20solutions%20and%20also%20preparing%20for%20purchasing%20new%20equipment%20and%20server%20software.
Peterhof
Peterhof MVE Опубликовано 2020-6-10 12:04:19
Вот что я ещё нашёл в https://support.huawei.com/enterprise/en/doc/EDOC1000091883/7aff8316:
In V100R006, load V100R006SPH011 and run the loopback-detect untagged mac-address command to change the destination MAC address to all Fs (excluding S2700SI).
Развернуть
  • x

artemrus38
artemrus38 Опубликовано 2020-6-10 13:15 (0) (0)
спасибо, но к сожалению у меня страница недоступна. Я так понимаю, этот патч для работы loopback по мак адресам?  
artemrus38
artemrus38 Опубликовано 2020-6-10 13:20 (0) (0)
Видите в чем проблема, вроде и работает служба от петли, но как то криво! Мне лично не понятно, как. Таким образом, петля не хило нагибает коммутатор, загрузка CPU может от 98% до 100% подскакивать  
Peterhof
Peterhof Ответить artemrus38  Опубликовано 2020-6-10 13:40 (0) (0)
Кстати, там же в траблшутинге было упоминание про повышенную нагрузку на процессор.  
artemrus38
artemrus38 Ответить Peterhof  Опубликовано 2020-6-10 18:50 (0) (0)
это нормальное явление при петлях.  
I%20am%20an%20IT%20engineer%20in%20the%20State%20Museum%20Reserve%20Peterhof.%20My%20job%20is%20keeping%20alive%20our%20network%2C%20servers%20and%20storages%20solutions%20and%20also%20preparing%20for%20purchasing%20new%20equipment%20and%20server%20software.
dai_splav
dai_splav Опубликовано 2020-6-11 08:14:16
Доброе утро!
Попробуй следующую конфигурацию порта:
Глобально : error-down auto-recovery cause port-security interval 600
На порту:
port link-type access
port default vlan 40
loopback-detect enable
loopback-detect action shut
Развернуть
  • x

artemrus38
artemrus38 Опубликовано 2020-6-11 10:30 (0) (0)
К великому сожалению, в команде error-down auto-recovery cause нет параметра port-security. Есть только:auto-defend; bpdu-protection;dhcp-packet-overspeed;efm-remote-failure;efm-threshold-event;error-statistics, все! Уже паника начинается.  
HCIE%20R%26S%20%2314779
artemrus38
artemrus38 MVE Опубликовано 2020-6-11 11:19:49
Для примера создал схему. В первый порт свитча подключил неуправляемый хаб и уже в нем включил патчкорд, создав таким образом петлю. Результата нет! Уже пробовал менять системное ПО на более старое, обновлял патчи, менял порты, сбрасывал до заводских, настраивал заново, причем минимум настроек, только loopback, не хочет ловить петлю и все!
Заметил, с новым патчем, если создать петлю на самом huawei, то буквально на несколько секунд по stp ловится петля, порт второй в дискард, в логах отображается что stp loopback, а потом оба благополучно переходят в передачу. Бред!
Развернуть
  • x

dai_splav
dai_splav Опубликовано 2020-6-11 12:13 (0) (0)
Конечно ситуация странная. В ТАС Хуавея запрос не делали? Может там помогут разобраться или баг выловят.
Как и писали коллеги выше, реализуйте схему stp, bpdu protect.  
artemrus38
artemrus38 Ответить dai_splav  Опубликовано 2020-6-11 17:40 (0) (0)
Нет, не обращался. А ТАС русскоязычная? Я согласен, если включить механизм bpdu-protect то порты он будет выключать, те, которые посылают BPDU.  
Peterhof
Peterhof Ответить artemrus38  Опубликовано 2020-6-11 18:10 (0) (0)
Да, TAC русскоязычная. Но время работы стоит уточнить.
Возможно, какие-то продукты только по английски, но все мои последние заявки были на русском.  
artemrus38
artemrus38 Ответить Peterhof  Опубликовано 2020-6-12 07:36 (0) (0)
Спасибо, попробую. Это этот адрес CISsupport@huawei.com?  
Peterhof
Peterhof Ответить artemrus38  Опубликовано 2020-6-12 13:22 (0) (0)
Да, этот.  
artemrus38
artemrus38 MVE Опубликовано 2020-6-12 07:41:06
Возник еще один вопрос, если на портах включить port-security, и прописать port-security protect-action shutdown, он же тоже должен отрабатывать защиту от петель на L2, только по мак адресам?
Развернуть
  • x

Peterhof
Peterhof MVE Опубликовано 2020-6-12 13:24:56
Опубликовано пользователем artemrus38 в 2020-06-12 02:41 Возник еще один вопрос, если на портах включить port-security ...
В принципе, как вариант решения, должно сработать, но не будет автоматического восстановления.
Я думаю, что даже липкие маки с блокировкой конкретных маков дадут небольшой результат. Но они не уберут широковещательные пакеты :(
Развернуть
  • x

artemrus38
artemrus38 Опубликовано 2020-6-12 17:23 (0) (0)
Спасибо, за уделенное время.  

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.