J'ai hérité de la prise en charge d'un site distant qui contient un Cisco 4500 et est connecté à environ 2 douzaines de commutateurs d'accès Cisco - principalement des 2960 avec un couple de 3750 et 3560. Tous les commutateurs d'accès ne sont pas directement connectés au 4500 - il y a une connexion en guirlande de commutateurs qui a apparemment été effectuée en raison d'un câblage inadéquat. Récemment, j'ai remarqué des messages Serror sur le 4500 qui indiquent que des trames ont été reçues avec une adresse MAC source non valide:
*Sep 10 09:29:48.609: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 102563 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Te5/1 in vlan 1460
Le périphérique connecté à Te5 / 1 est un commutateur d'accès (Cisco 3750). Il est à son tour connecté à 6 autres commutateurs d'accès. Après un peu de recherche sur Google, il semble que le 4500 soit la seule plate-forme Cisco qui enregistre les adresses Mac source non valides. D'après ma lecture, d'autres plates-formes (2960, 3750, etc.) semblent transmettre les trames, mais ne les enregistrent pas comme non valides, ni n'ajoutent une entrée à la table d'adresses mac. Je soupçonne que la cause racine des adresses mac source invalides pourrait être un nic défectueux, un bug logiciel ou peut-être un serveur vmware mal configuré. Quels outils sont disponibles sur les commutateurs d'accès pour localiser le port incriminé?
Réponses:
Vous pouvez essayer si les trames peuvent être bloquées à l'aide d'une ACL MAC sur les interfaces et / ou sur les réseaux locaux virtuels sur les commutateurs d'accès. En appliquant les blocs de manière sélective et en vérifiant si les messages d'erreur sur le 4500 disparaissent ou non, vous pouvez identifier la source du trafic.
Déplacer les câbles pour voir si le port mentionné dans le message d'erreur du 4500 suit peut également aider, mais peut s'avérer délicat dans un environnement de production.
la source
Généralement, quand j'ai vu cela, cela vient d'une machine virtuelle mal configurée (souvent hébergée sur une machine utilisateur). En fonction de la situation et de l'environnement, ils peuvent être difficiles à retrouver (en voir beaucoup dans une université dans les bâtiments des départements CS et ECE qui se déplaçaient et venaient / partaient comme les étudiants).
Vous avez déjà quelques bonnes réponses, mais une autre option que vous pouvez poursuivre consiste à ajouter la configuration suivante aux commutateurs en aval (37xx, 36xx, 29xx):
Cela supprimera tout trafic avec ce MAC plutôt que de le transférer et comme cela devrait être fait sur le matériel (sauf les fonctionnalités / problèmes qui provoquent des recherches MAC dans le logiciel), cela ne devrait pas avoir un impact négatif sur les performances.
la source
Il me semble que cette erreur n'affecte pas les performances du réseau, car vous avez découvert les messages du journal par vous-même, plutôt que d'être inondé de plaintes des utilisateurs. Cela m'amène à soupçonner que le problème réside dans certains logiciels ou services connectés, mais partiellement configurés ou mal configurés qui ne sont pas actuellement utilisés.
Le mieux serait de laisser mentir ce chien endormi jusqu'à ce que certains utilisateurs signalent un problème. Alternativement, si vous avez du temps à perdre, vous pouvez exécuter des sessions SPAN comme l'a suggéré @Daniel Dib, et examiner la sortie de près jusqu'à ce que vous déterminiez un port ou un périphérique suspect.
la source