Как понять в cisco из-за чего vlan'ы стали видны друг другу?

Question

[Zar747]

Вообщем в крадце перед новым годом произошла какая-то фигня с сетью и начались траблы.. все VLANы стали видны друг другу.. а их более 24штук..
пользователи, телефония, камеры, сервера и т.п.
вообщем имеем.
-два ЦОДа с виртуалками(в каждом СХД); цоды-железо в 250вланах, вирт. сервера 100ый
-два центральных свича Catalyst 4500
на них уходят trunk'и на стэки и ЦОДЫ:

!
interface TenGigabitEthernet2/10
description ----- Link to STACK1 -----
 switchport trunk allowed vlan 10,20,30,40,50-55,57,60,61,104,110,192,200,250........
 switchport mode trunk
!
interface GigabitEthernet3/5
 description --link to  ЦОД  собственно у меня еще подозрения в глюках vCentra с его вритуальным свичом--
 switchport trunk allowed vlan 10,20,30,50-53,55,57,60,61,100,104,110,200,250........
 switchport mode trunk
!
!
interface GigabitEthernet3/6
 description ----- link to ESXi -----
 switchport trunk allowed vlan 10,20,30,50-53,55,57,60,61,100,104,110,200,250..........
 switchport mode trunk
!         
.... и т.п........

-3x3 стэка цисок C2960S там чисто настроены порты на access например пользователи:

!
interface GigabitEthernet1/0/5
 switchport access vlan 10
 switchport mode access
 switchport voice vlan 40
 spanning-tree portfast
 spanning-tree bpduguard enable
!

- есть маршрутизатор C2951 но о нём ниже.
с каждого стэка идет по оптике 10Gbit в 4500 (в оба)
каталисты 4500 между собой оптика 10Gbit

так... это была примерно схема.... там еще куча всяего железа типо айрон портов 4 штуки... cisco wlc5508 но оно неважно.
вернемся к каталисту 4500
все вланы описаны

!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan10
 description ----- Users Vlan -----
 ip address 10.100.10.2 255.255.255.0
 ip helper-address 10.100.100.250
 no ip redirects
 standby 10 ip 10.100.10.1
 standby 10 timers 1 3
 standby 10 priority 110
 standby 10 preempt delay minimum 120
 ip policy route-map Internet_access  ну и сами правила на интернет
!

поумолчанию весь трафик идет на C2951 но правилами Internet_access разруливаем кому куда можно но это я тоже думаю тут неричем(я порты идущие к нему вырубал ни чего не менялось кроме интернета). там еще разные подсетки которые уходят на vpn но приведу пример основного:

!
ip route 0.0.0.0 0.0.0.0 10.100.200.1
ip route 10.0.0.0 255.0.0.0 10.100.100.212
!

и сама проблема в том что пользователи(10влан) стали попадать в ВЛАНы(например влан61) не предназначенные для них:
raceroute to 10.100.61.32 (10.100.61.32), 30 hops max, 60 byte packets
1 10.100.10.2 (10.100.10.2) 0.897 ms 1.037 ms 1.126 ms
2 10.100.61.32 (10.100.61.32) 0.418 ms 0.524 ms 0.610 ms

собственно вопрос.. куда смотреть? что крутить... задайте направление

Comments

[Валентин]

Если реально ничего не настраивали и оно само, то скорее всего на одном из коммутаторов произошло переполнение таблицы коммутации. А настроек как такое можно сделать полно (тут и vtp, и mac-learning disable, и proxy-arp, и выдача влана по 802.1x, и voice, multicast вланы, да дофига всего). А могли и физический порт кто-то и как-то воткнуть (например, аксессный порт влан 10 соединили с аксесным другим)
Ревизия конфигуратор, ревизия портов

[Рональд Макдональд]

Вообщем в крадце

Дуплет.

[Zar747]

Валентин, по поводу воткнуть 10 влан в другой я думаю что петлю бы он определил...
а переполнение таблицы коммутации можно как-то выявить? куда смотреть?
cisco Network Assistant ошибок как таковых не показывает, кроме того что на одном свиче влан кривой через него другой влан идет, но его не меняли, и отключение его физически не влияет ни на что....

[Валентин]

Zar747, Это не обязательно была бы петля. Просто перелив мак адресов из влана во влан.
Как отследить переполнение маков - пробежаться по коммутаторам и посмотреть сколько их в таблице коммутатции, свериться с даташитом на максимально возможное.

Answer 1

[Денис Сечин]

Смотреть туда, где находится терминация данных вланов и отсекать там-же access-list-ами

Comments

[Zar747]

я затупил на том, что поумолчанию шлюз в влане идет на 10.100.10.1 (для пользователей)
а при трэйсе у нас хопы идут на 10.2
и не могу понять куда смотреть...

[Денис Сечин]

Zar747, либо ты что-то не то пишешь, либо у тебя две терминации одного влана)

[Руслан Федосеев]

это из за vrrp.
отвечает реальный ип, а не виртуальный

А по сути проблемы - проверяйте аксесс листы

[Zar747]

Руслан Федосеев, там access лист то только для интернета прописаны...

!
interface Vlan10
 description ----- Users Vlan -----
 ip address 10.100.10.2 255.255.255.0
 ip helper-address 10.100.100.250
 no ip redirects
 standby 10 ip 10.100.10.1
 standby 10 timers 1 3
 standby 10 priority 110
 standby 10 preempt delay minimum 120
 ip policy route-map Internet_access
!

ip access-list extended Internet_access
 deny   ip 10.100.100.0 0.0.0.255 тык.тык.99.192 0.0.0.31
 deny   ip 10.100.100.0 0.0.0.255 тык.тык.178.192 0.0.0.15
 deny   ip any 10.0.0.0 0.255.255.255
 deny   ip 10.100.10.0 0.0.0.255 172.10.3.0 0.0.0.255
 deny   ip 10.100.100.0 0.0.0.255 172.10.3.0 0.0.0.255
 permit ip 10.100.20.0 0.0.0.255 any
 permit ip 10.100.10.0 0.0.0.255 any

!
route-map Internet_access permit 10
 match ip address Internet_access
 set ip next-hop 10.100.104.100 и ушло всё на шлюз
!