Порт ловит "кольцо" от самого себя.

Обсуждение оборудования и его настройки
Ответить
Alex_Zlobin
Сообщения: 8
Зарегистрирован: 23 дек 2015, 17:25

Здравствуйте.
Прошу помощи
Есть CCR-1016-12G, с последней стабильной версией прошивки. Внутренняя сеть на бридже и 2 провайдера на двух соседних портах.
Несколько дней назад Провайдер 1 отключил мой порт у себя с формулировкой: От вас идет кольцо. Стали разбираться вместе с технарями провайдера, в чем дело, вот что удалось выяснить:

Мои подключения
Провайдер 1: eth1-wan1 (со стороны провайдера cisco 6509) - Вот у этого провайдера кольцо выскочило.
Провайдер 2: eth2-wan2 (со стороны провайдера cisco 6509)
Причем- это одна и та же циска :) Т.е оба провайдера приезжают В ОДНУ. Это офисное здание и какие там договоренности между провайдерами и владельцами здания, я не знаю, но несколько месяцев всё было хорошо, всё работало, пока в помещении, где проходит кабель(медь) от провайдера 1, строители не обрезали наш линк. Кабель, со слов провайдера 1 восстановили, но вот такие чудеса теперь имеют место быть:

Отключил я порт eth1-wan1 и стали мы с админом провайдера 1 смотреть что будет при подключении. На его циске, после того, как я включил порт 1 (xxxx.xxxx.xxxx - МАС моего eth1-wan1 :
>sh mac-address-table address xxxx.xxxx.xxxx
Legend: * - primary entry
age - seconds since last seen
n/a - not available

vlan mac address type learn age ports
------+----------------+--------+-----+----------+--------------------------
Module 8[FE 1]:
* 45 xxxx.xxxx.xxxx dynamic Yes 10 Gi8/43
Module 8[FE 2]:
* 45 xxxx.xxxx.xxxx dynamic Yes 5 Gi8/43

FE1 и FE2, по словам провайдера, сквозная нумерация записей в таблице МАК-адресов.

У себя я включил на всех WAN портах loopback protect с отключением порта на 1 минуту и вот что вижу за 3 дня:
(XX:XX:XX:XX:XX:45 и XX:XX:XX:XX:XX:46 MACи eth1 и eth2)

Mar/15/2019 13:42:04 interface,warning eth1-wan1 received loop protect packet originated from XX:XX:XX:XX:XX:45 (eth1-wan1)
Mar/15/2019 17:44:22 interface,warning eth1-wan1 received loop protect packet originated from XX:XX:XX:XX:XX:45 (eth1-wan1)
Mar/16/2019 15:25:35 interface,warning eth1-wan1 received loop protect packet originated from XX:XX:XX:XX:XX:45 (eth1-wan1)
Mar/16/2019 22:27:12 interface,warning eth1-wan1 received loop protect packet originated from XX:XX:XX:XX:XX:45 (eth1-wan1)
Mar/17/2019 14:14:36 interface,warning eth1-wan1 received loop protect packet originated from XX:XX:XX:XX:XX:45 (eth1-wan1)
Mar/18/2019 07:31:05 interface,warning eth1-wan1 received loop protect packet originated from XX:XX:XX:XX:XX:45 (eth1-wan1)
Mar/18/2019 09:12:46 interface,warning eth1-wan1 received loop protect packet originated from XX:XX:XX:XX:XX:45 (eth1-wan1)
Mar/18/2019 15:44:35 interface,warning eth1-wan1 received loop protect packet originated from XX:XX:XX:XX:XX:45 (eth1-wan1)
Mar/18/2019 18:33:47 interface,warning eth2-wan2 received loop protect packet originated from XX:XX:XX:XX:XX:46 (eth2-wan2)
Mar/19/2019 16:47:47 interface,warning eth1-wan1 received loop protect packet originated from XX:XX:XX:XX:XX:45 (eth1-wan1)
Mar/20/2019 08:59:14 interface,warning eth1-wan1 received loop protect packet originated from XX:XX:XX:XX:XX:45 (eth1-wan1)

Т.е. каждый раз интерфейс ловит кольцо от самого себя. И из всех случаев, событие один раз произошло на 2-м интерфейсе.
Подскажите, в какую сторону копать ? Провайдер уверяет, что у них "всё хорошо, попробуйте поменять роутер". Совет хороший, но для меня в данный момент невыполнимый.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Скажу так, всегда в логе о том, что есть кольцо = всегда будет присутствовать
МАК Вашего роутера. Это норма.

Кольцо (петля, так мне привычнее), это когда пакет(ы) лавинно пришли (бродкастом).
Защита от петель позволяет да, порт отключать/включать, видеть в логах, и прочее.

Главное что Вы видите откуда идёт петля.
Если у Вас идёт с порта1 и вдруг один раз пришло с порта2 = тогда надо понять,
у Вас порт1 и порт2 не соединены вместе (логически?) Бридж?
Или не могут где-то дальше соединяться.
Во вторых, если Вы у себя не меняли, не создавали бриджей новых, за этот момент,
пока была авария у них, значит проблема на их стороне.

Да и если мне провайдер посоветовал роутер профессиональный сменить,
претензия минимум что было в их адрес....
Скорее всего где-то после восстановления, они чего-то не прописали.
Ну и Вы не описали настройки Вашего роутера? Есть промежуточные линки,
сквозные/транзитные каналы?

P.S.(от себя лично)
а) За CCR1016-12G = плюс ставлю :a_g_a:
б) а за стабильную последнюю прошивку = минус :du_ma_et:
в) опять же, если провайдеры приходят в общий роутер на здании, а провайдеры
врят ли стали так дружить, получается, что у здания есть админ, который их "собрал"
вместе, в Вы уже подключились к этому роутеру?
Схема очень странная....и малопонятная...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Alex_Zlobin
Сообщения: 8
Зарегистрирован: 23 дек 2015, 17:25

Конфиг моего роутера самый стандартный. 2 порта от провайдеров, оба с белыми адресами, в бридж они, конечно, не связаны (на самом деле, провайдеров 3, но с третим вообще никаких проблем нет). На каждом поднято по GRE тунелю, которые "едут" до удаленого роутера (резервирование канала между двумя офисами). Бридж в этом роутере смотрит в локалку, с портами провайдеров связан только маршрутами. МАСи на всех портах роутера проверены много раз, бридж имеет mac первого ethernet порта, который в этот самый бридж входит, ессна, отличается от МАСов портов, смотрящих на провайдеров.
В логах типа " interface,warning eth1-wan1 received loop protect packet originated from XX:XX:XX:XX:XX:45 (eth1-wan1)" меня смущает то, что порт сам от себя ответ получает. Я бы понял, если порт1 поймал контрольный пакет от порта2, тогда было бы ясно, что где-то у двух провайдеров линки от меня "встречаются", а у меня же порт сам себе через провайдера ответил.

P.S. конфиг на этом микротике не менялся уже давно. Что там творится у провайдеров, мне не ведомо, но клянутся, что у них всё хорошо, говорят искать у себя :)


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Если бы при петли приходил МАК того, кто её устроил/породил, то:
а) можно было легко найти и наказать виновника
б) свитчи бы отключали лишь этот порт, с этим МАКом, но увы, петля - она на то и петля.

Доложите провайдеру, что на Вашем проф. роутере стоит защита от петель, бриджи Вы не используете,
объединяющих линков/узлов на WAN'ах нету.

Я просто хочу до Вас донести, если бы не микротик и его информирование, Вы и не знали что петля,
или всё в таком роде. И второе, петля может быть у другого клиента в этом здании, работающий
с циской поставленной в этом здании.
Пусть докажут (интересно только как) что петля идёт с Вашей стороны, и что Вы её породили?
Сеть у Вас работает, локальная сеть функционирует, сам роутер корректно сконфигурирован,
так что будьте настойчивым и заставляйте их проверять.

P.S.
Перепишите все МАКи что видите, сделайте скриншоты...Понаблюдайте за сетью.
Отключите/настройки Discovery (CDP) протокол (чтобы не вещать в сторону провайдера)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить