chfran
Goto Top

Switch schickt Pakete mit FF:FF:FF:FF:FF:FF (Broadcast) als Source Mac Adresse

Hallo zusammen,

ich habe in einem Log von einem CISCO Switch Einträge von einem anderen CISCO Switch gefunden mit FF:FF:FF:FF:FF:FF (Broadcast) als Source Mac Adresse:

000034: Nov 28 07:52:32.422: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: Packet received with invalid source MAC address (F
F:FF:FF:FF:FF:FF) on port Gix/x in vlan x
000035: Nov 28 14:00:50.359: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 11 times)Packet received with invalid
source MAC address (FF:FF:FF:FF:FF:FF) on port Pox in vlan x
000036: Nov 29 07:39:08.283: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 17 times)Packet received with invalid
source MAC address (FF:FF:FF:FF:FF:FF) on port Pox in vlan x
switch2# 

Wie kann so etwas passieren?

Content-ID: 322362

Url: https://administrator.de/forum/switch-schickt-pakete-mit-ff-ff-ff-ff-ff-ff-broadcast-als-source-mac-adresse-322362.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

aqui
aqui 29.11.2016 aktualisiert um 12:22:15 Uhr
Goto Top
Das ist tödlich und darf niemals sein !!
Der Switch beschwert sich da zu Recht. HW Source IPs müssen immer eine gültige Mac haben und die muss einzigartig innerhalb einer L2 Broadcast Domain sein.
Der gesamte Ethernet Standard basiert darauf.
Lediglich Zieladressen können sowas haben z.B. DHCP Broadcasts usw.
Du solltest dir also dringenst den Host unter "on port Gix/x in vlan x" mal etwas genauer ansehen !!
Wenn der von enem Uplink eines anderen Switches kommt sieh dir an auf welchem physischen Port der hängt !
Dieser Switch sollte ebenfalls diese Warnung ins Log schreiben oder dir es mit show mac auch direkt anzeigen.
Kann das sein das das ne VM ist oder was anderes Virtuelles ist dem man vergessen hat ne gültige Mac zu geben !
chfran
chfran 29.11.2016 um 12:39:13 Uhr
Goto Top
Vielen Dank, das ist eine gute Idee! Der Host unter "on port Gix/x in vlan x" ist der besagte andere CISCO Switch und auf diesem hat der Admin kein Logging aktiviert. Ich werde dem nachgehen und berichten ...
aqui
aqui 29.11.2016 aktualisiert um 18:01:34 Uhr
Goto Top
ist der besagte andere CISCO Switch und auf diesem hat der Admin kein Logging aktiviert.
Das macht auch nichts solltest du aber noch aktivieren. Sieh dir die Mac Forwarding Database mit show mac an dann siehst du den Übeltäter und den Verursacher Port sofort !
chfran
chfran 29.11.2016 um 18:11:45 Uhr
Goto Top
Zitat von @aqui:
Das macht auch nichts solltest du aber noch aktivieren. Sieh dir die Mac Forwarding Database mit show mac an dann siehst du den Übeltäter und den Verursacher Port sofort !

Das hatte ich definitiv vor, bekam nur heute keinen Access mehr. Das Logging ist wohl mittlerweile aktiviert, und laut Angaben von dort wurde auch mit Virtualisierungslösungen experimentiert. Für die Theorie spricht auch, dass der Fehler intermittierend ist, es könnte also sein, dass er dann auftritt, wenn man so eine VM hochfährt. Wir werden sehen, bin gespannt und werde berichten ...
aqui
aqui 30.11.2016 um 10:06:58 Uhr
Goto Top
Ja das wäre möglich. Du kannst dich aber einfach schützen wenn du auf den Ports wo die VM Bastler ihre Geräte dranhaben einfach eine Mac Adress Accessliste konfigurierst, die die FF... als Source Mac Adresse blockt.
Dann hast du Ruhe !