AT-FS970M/48, броадкастинг юникастовых пакетов - баг?

Все что связано с управляемыми и неуправляемыми коммутаторами 2го уровня

Модератор: Allied Telesis Russia

AT-FS970M/48, броадкастинг юникастовых пакетов - баг?

Сообщение sla0nru » 06 фев 2017, 12:59

Имеется AT-FS970M/48. С включенным service dhcp-snooping свич рассылает юникастовые ARP и некоторые DHCP пакеты по всем портам - по сути, делает
броадкастинг юникатовых пакетов. Предпосылок вроде отсутствия адресата в кэше MAC адресов или переполнение кэша не наблюдается. Отключение
service dhcp-snooping прекращает рассылку этих пакетов, свич работает обычным образом. Это какая-то особенность/фича dhcp-snooping?

# show version

Version 2.4.1.0 09/03/14 11:51:46

Application Build name : ats-fs970m-2.4.1.0.img
Application Build date : Sep 3 2014 11:51:46
Application Build type : RELEASE

Bootloader version : 5.1.2
Bootloader build date : Dec 06 2013 10:00:55

Избранные участки конфигурации:
Код: Выделить всё
!
service dhcp-snooping
!
interface port1.0.1-port1.0.46
 storm-control broadcast level 10
 storm-control multicast level 10
 storm-control dlf level 10
 ip dhcp snooping max-bindings 5
 ip dhcp snooping violation log
 arp security violation log
 switchport port-security
 switchport port-security aging
 switchport port-security maximum 1
 spanning-tree portfast
 spanning-tree portfast bpdu-guard
!
mac address-table ageing-time 600
!
interface vlan1
 ip dhcp snooping
 arp security
!


В порт 1.0.1 подключена машина с линуксом.
В порт 1.0.2 VoIP телефон с MAC 7c:2f:80:c0:67:e5, получающий IP по DHCP с default-lease-time 600.

На линуксе запускается tcpdump с фильтрами, отсеивающими всё кроме юникастовых пакетов с MAC 7c:2f:80:c0:67:e5 (телефона). По идее, таких
пакетов на порту 1.0.1 не должно быть вовсе. Единственный вариант появления такого пакета на чужом для телефона порту - это отсутствие
адреса 7c:2f:80:c0:67:e5 в кэше MAC адресов свича. Но такого не должно происходить, так как ageing-time на свиче установлен в 600, а телефон,
исходя из default-lease-time 600, приблизительно каждые 300 секунд обращается к DHCP, чем обновляет запись своего MAC в кэше. Однако, такие пакеты ходят регулярно. Причём, это только ARP и выборочно DHCP, другие протоколы свичём на чужой порт не рассылаются:

Код: Выделить всё
# tcpdump -nei eth0 ether host 7c:2f:80:c0:67:e5 and not broadcast and not multicast
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes

10:06:18.668286 00:1e:67:59:04:c1 > 7c:2f:80:c0:67:e5, ethertype ARP (0x0806), length 60: Request who-has 10.11.2.179 tell 10.11.0.254, length 46
10:06:18.684408 7c:2f:80:c0:67:e5 > 00:1e:67:59:04:c1, ethertype ARP (0x0806), length 60: Reply 10.11.2.179 is-at 7c:2f:80:c0:67:e5, length 46
10:06:42.832419 7c:2f:80:c0:67:e5 > 00:1e:67:59:04:c1, ethertype IPv4 (0x0800), length 358: 10.11.2.179.68 > 10.11.0.254.67: BOOTP/DHCP, Request from 7c:2f:80:c0:67:e5, length 316
10:06:47.881241 00:1e:67:59:04:c1 > 7c:2f:80:c0:67:e5, ethertype ARP (0x0806), length 60: Request who-has 10.11.2.179 tell 10.11.0.254, length 46
10:06:47.953051 7c:2f:80:c0:67:e5 > 00:1e:67:59:04:c1, ethertype ARP (0x0806), length 60: Reply 10.11.2.179 is-at 7c:2f:80:c0:67:e5, length 46
10:08:04.431670 00:1e:67:59:04:c1 > 7c:2f:80:c0:67:e5, ethertype ARP (0x0806), length 60: Request who-has 10.11.2.179 tell 10.11.0.254, length 46
10:08:04.451897 7c:2f:80:c0:67:e5 > 00:1e:67:59:04:c1, ethertype ARP (0x0806), length 60: Reply 10.11.2.179 is-at 7c:2f:80:c0:67:e5, length 46
10:11:45.903752 7c:2f:80:c0:67:e5 > 00:1e:67:59:04:c1, ethertype IPv4 (0x0800), length 358: 10.11.2.179.68 > 10.11.0.254.67: BOOTP/DHCP, Request from 7c:2f:80:c0:67:e5, length 316
10:13:03.942088 00:1e:67:59:04:c1 > 7c:2f:80:c0:67:e5, ethertype ARP (0x0806), length 60: Request who-has 10.11.2.179 tell 10.11.0.254, length 46
10:13:03.958100 7c:2f:80:c0:67:e5 > 00:1e:67:59:04:c1, ethertype ARP (0x0806), length 60: Reply 10.11.2.179 is-at 7c:2f:80:c0:67:e5, length 46


Переполнение кэша MAC адресов не наблюдается:

sw# sh mac address-table

Aging interval: 600 second(s)

Switch Forwarding Database
Total Number of MAC Address: 308
sla0nru
 
Сообщения: 1
Зарегистрирован: 27 дек 2016, 15:08

Вернуться в Коммутаторы 2го уровня

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6