Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » Сети
Страницы: 1
RSS
Зверь ЭрДизэйбл, ...оживление на фоне ip-видеонаблюдения
 
#1
Это нравится:0Да/0Нет
22.11.2010 11:32:58
Коллеги, вот такая картина.

Все жило в штатном режиме. И тут поступило два звонка по проблемам с коммутаторами Cisco 2950.
По первому звонку: "Что-то с портами сегмента видеонаблюдения, охрана/безопасность воет".
Посмотрел ситуацию - порты в состоянии err-disabled. Особо разбираться некогда было. Через recovery вернул на круги своя,
убрал security-port временно. Выставил автовосстановление порта из блокировки по ошибке.
Думу про ситуацию отложил на потом. Главное видео заработало.
И тут, через три дня звонок, из другой организации. Ситуация та же самая: err-disabled.

Какие тонкости: в первом случае в конфигурации по умолчанию security-port и параметры aging, type -не установлены, устанавливались руками,
а во 2м случае все установлено с завода по дефолту. В обих случаях все началось именно тогда, когда начали навешивать в сетку ip-видеонаблюдение.
Причем, в 1м случае беспроводную точку доступа подключили (как мне сказали) на которую беспроводные камеры завязаны. Во 2м - в коммутатор прямо ip-камеры подключали.

Отсюда вопрос - кто-то еще сейчас с таким сталкивался? Тут ответ кроется в особенностях работы протоколов ip-видео? С чего бы коммутатору в блокировку уходить.
P.S. Особо с конфигами не поколдовать. Если опять включить errdisable, порты опять будут блокированы, опять по кругу - проблемы с видео и т.п.
 
 
 
#2
Это нравится:0Да/0Нет
22.11.2010 12:40:12
думаю было бы интересно для начало посмотреть что у тебя выставленно:
sh err de
ну а самому не мешало бы посмотреть debug
Изменено: [mad]Mega - 22.11.2010 12:45:44
 
 
 
#3
Это нравится:0Да/0Нет
22.11.2010 13:24:06
В конифгурации порта было следующее:
switchport port-security
switchport port-security violation shutdown
switchport port-security aging time 2
switchport port-security aging type inactivity
spanning-tree bpduguard enable

Добавил в конфиг :
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause psecure-violation
errdisable recovery cause gbic-invalid
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause loopback
errdisable recovery interval 30

для порта сделал: no port-security,
bpdu guard оставил
пока временно оставил все в таком виде.
конечно, смысла особого тут нет ) выключить port-security, и навесить recovery all...

и все равно основной вопрос в том, что все из-за ip-видео. ранее все работало штатно.
 
 
 
#4
Это нравится:0Да/0Нет
22.11.2010 16:55:40
если не ошибаюсь можно было написать:
errdisable recovery cause all
а не 10 строчек.
в конфиге порта не вижу количество маков на запоминание поэтому предположу что тебя спасёт
switchport port-security maximum 18
где 18 - максимальное количество маков у тебя на порту
З.Ы. по дефолту вроде вводится 1 мак на порт
Изменено: [mad]Mega - 22.11.2010 16:57:20
 
 
 
#5
Это нравится:0Да/0Нет
22.11.2010 17:11:24
хм.. у нас тоже на днях была похожая хрень
заблокировался порт, смотрящий в локалку, в итоге циска стала недоступной из локалки.
сбросить удалось только с консоли
до этого 3 года все работало без косяков и проблем
 
 
 
#6
Это нравится:0Да/0Нет
23.11.2010 10:04:04
Цитата
[mad]Mega пишет:
если не ошибаюсь можно было написать:
errdisable recovery cause all
errdisable recovery cause all

даю эту команду, а в конфиге вижу потом набор строчек. так что тут нечего особенного нет.
mac по умолчанию один, да.

и все таки, хочу ударение сделать не на возню с errdisable, а на саму ситуацию. Ранее ничего такого не было.
А теперь что-то вгоняет порты в ошибку, скорее всего особенности реализации ip-видеонаблюдения.
 
 
 
#7
Это нравится:0Да/0Нет
23.11.2010 12:59:15
я хотел бы заострить внимание что это может быть не "особенности реализации ip-видеонаблюдения" , а банальный error который можно проверить:
1.посмотреть сколько маков на парту светится
2.посмотреть ошибки на порте
3.посмотреть что говорит штормконтрол
 
 
 
#8
Это нравится:0Да/0Нет
23.11.2010 14:02:58
Цитата
[mad]Mega пишет:
я хотел бы заострить внимание что это может быть не "особенности реализации ip-видеонаблюдения" , а банальный error который можно проверить:

В том то и дело, что не проверить. Не организационно, не технически.
Все было сделано быстро - устранение ситуации и все.
Теперь уже не посмотреть и не проверить.
А там, в организации, политика проста - все заработало, значит инцидент исчерпан, все свободны.

Но мне, как спецу, все таки хочется разобраться с ситуацией.
 
 
 
#9
Это нравится:0Да/0Нет
23.11.2010 14:08:16
ха, а вот и коллега позвонил. та же проблема err-disabled. вводят в эксплуатацию wifi.
в интеренете кусками информация есть про то, что cisco и d-link друг друга не понимают.

ситуация, конечно дурная, никто разобраться не хочет.
а мне имитацию сотворить не на чем. (
потому и спрашивал - может кто сталкивался с подобным.
 
 
 
#10
Это нравится:0Да/0Нет
23.11.2010 14:09:32
а раз пишут:

Цитата
Сетевой пишет:
хм.. у нас тоже на днях была похожая хрень

значит не я один, все таки, с этим сталкиваюсь.
 
 
 
#11
Это нравится:0Да/0Нет
23.11.2010 14:15:06
И вот какая еще мысль. А какой подход будет верный. Может выключить, действительно, security-port на интерфейсе.
Если жестких ограничений нет, политки никакой, привести все к двум состояниям - connected и noconnect,
без отключений по ошибкам.
?
 
 
 
#12
Это нравится:0Да/0Нет
23.11.2010 15:54:33
насколько я знаю: длинк и циска не понимают друг друга только в инкапсуляции транка (у циске по дефолту стоит свой isl а не 1q), а так должны дружить (по cdp ты конечно длинк не увидишь, но ни тот не другой стандарты от себя не убирал)
"вводят в эксплуатацию wifi"  может всё таки "switchport port-security maximum 18"

"хм.. у нас тоже на днях была похожая хрень
заблокировался порт, смотрящий в локалку, в итоге циска стала недоступной из локалки."
ерр дисейбл имеет множество причин по которой может уйти в даун и угадать по какой нужно тока читая логи и смотря дебаг.
скажем у нас был еррдисейбл из за:
1. банального покоцанного провода (несмотря что провод соединял 2 этажа между собой, его строители всётаки достали)
2. из за того здох кондей и оптический конвертор себя стрёмно себя ввёл(перегревался), посылая коцаные пакеты.
причина уйма и угадать её - сложновато.
"Может выключить, действительно, security-port на интерфейсе"
имхо: пусть лучше стоит, чем потом понять что у тебя не включен спанинг три (или порт в порфаст) и кто то умудрился всё таки сделать кольцо.
 
 
 
#13
Это нравится:0Да/0Нет
23.11.2010 16:47:37
Вообще-то в логах кошки пишется по какому из параметров порт выставляется в состояние errdisable. У меня подобное было, когда я втыкал GBIC, который не являлся оригиналом CISCO, а произведена некой третьей рисоводческой фирмой в пустыне Гоби.  ;) Решается это или перепрошивкой GBIC, или  заданием no errdisable detect cause gbic-invalid. Это потому, что я прочитал в логах - по какому признаку порт становился в этот статус. Проверяется, естественно, командой sh log (если он ведется, разумеется) - ну, либо посмотреть на сервере - на который скидываются логи. Собственно, откуда вывод, что порт отрубается именно по port security?
Изменено: SOLDIER - 23.11.2010 16:48:24
 
 
 
Страницы: 1
Читают тему