【ネットワーク:Cisco】L2ループ発生時のMACフラッピングのログよりループ発生ポートを特定できるか検証
運用しているなかでしばしばL2ループが発生し、MACフラッピングのログが出力されます。
このような時、ポートが errordisable となればL2ループ発生元を特定できるのですが errordisable とならない場合、L2ループのポート特定に時間がかかります。
今回は自身でL2ループを発生させ、MACフラッピングのログがどのように(どのポート)出力されるか規則性があるかなど検証したいと思います。
目次
パターン1:スイッチ配下のハブ同士でL2ループを発生させた場合
■環境
・Cisco catalyst 2960 8ポートスイッチ(2台)
型番:WS-C2960C-8TC-L(バージョン: 15.0(2)SE5)
・1GB対応ハブ
型番:LSW6-GT-5EPL
・100MB対応ハブ
型番:ETX-ESH8K
・VLAN、管理VLANともにすべて VLAN 1
・VLAN 1 のスパニングツリーを無効
L2ループ発生後のログを確認
実際の運用でよくあるケースかと思います。2台のハブのポート3同士でループさせると 異常な速さでMACフラッピングのログが出力されました。スイッチ SW01 、スイッチ SW02のログより Fa0/3、Fa0/8でループが発生していると特定できそうです。この形のL2ループはまだわかりやすいのかもしれません。
■スイッチ SW01のログ
・1回目
*Jan 2 2006 11:03:52.457 JST: %SW_MATM-4-MACFLAP_NOTIF: Host 18c2.bf64.07c1 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 11:03:56.374 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/8 and port Fa0/3
*Jan 2 2006 11:03:57.448 JST: %SW_MATM-4-MACFLAP_NOTIF: Host 18c2.bf64.07c1 in vlan 1 is flapping between port Fa0/8 and port Fa0/3
*Jan 2 2006 11:03:58.379 JST: %SW_MATM-4-MACFLAP_NOTIF: Host a01d.48fe.6914 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 11:04:09.679 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 11:04:09.687 JST: %SW_MATM-4-MACFLAP_NOTIF: Host a01d.48fe.6914 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 11:04:13.454 JST: %SW_MATM-4-MACFLAP_NOTIF: Host 18c2.bf64.07c1 in vlan 1 is flapping between port Fa0/8 and port Fa0/3
SW01#
・2回目
*Jan 2 2006 11:07:17.231 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 11:07:19.437 JST: %SW_MATM-4-MACFLAP_NOTIF: Host 18c2.bf64.07c1 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 11:07:26.090 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 11:07:26.618 JST: %SW_MATM-4-MACFLAP_NOTIF: Host e47f.b219.d546 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 11:07:29.445 JST: %SW_MATM-4-MACFLAP_NOTIF: Host 18c2.bf64.07c1 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 11:07:41.340 JST: %SW_MATM-4-MACFLAP_NOTIF: Host e47f.b219.d546 in vlan 1 is flapping between port Fa0/8 and port Fa0/3
*Jan 2 2006 11:07:41.340 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/8 and port Fa0/3
SW01#
■スイッチ SW02のログ
・1回目
*Jan 2 2006 11:04:02.624 JST: %SW_MATM-4-MACFLAP_NOTIF: Host 18c2.bf64.07c1 in vlan 1 is flapping between port Fa0/8 and port Fa0/3
*Jan 2 2006 11:04:06.592 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 11:04:06.634 JST: %SW_MATM-4-MACFLAP_NOTIF: Host 18c2.bf64.07c1 in vlan 1 is flapping between port Fa0/8 and port Fa0/3
*Jan 2 2006 11:04:08.521 JST: %SW_MATM-4-MACFLAP_NOTIF: Host a01d.48fe.6914 in vlan 1 is flapping between port Fa0/8 and port Fa0/3
*Jan 2 2006 11:04:18.747 JST: %SW_MATM-4-MACFLAP_NOTIF: Host a01d.48fe.6914 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 11:04:18.747 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/8 and port Fa0/3
*Jan 2 2006 11:04:21.641 JST: %SW_MATM-4-MACFLAP_NOTIF: Host 18c2.bf64.07c1 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
SW02#
・2回目
*Jan 2 2006 11:07:27.465 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 11:07:29.630 JST: %SW_MATM-4-MACFLAP_NOTIF: Host 18c2.bf64.07c1 in vlan 1 is flapping between port Fa0/8 and port Fa0/3
*Jan 2 2006 11:07:35.149 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 11:07:36.718 JST: %SW_MATM-4-MACFLAP_NOTIF: Host e47f.b219.d546 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 11:07:38.631 JST: %SW_MATM-4-MACFLAP_NOTIF: Host 18c2.bf64.07c1 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 11:07:50.350 JST: %SW_MATM-4-MACFLAP_NOTIF: Host e47f.b219.d546 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 11:07:50.350 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/8 and port Fa0/3
*Jan 2 2006 11:07:53.613 JST: %SW_MATM-4-MACFLAP_NOTIF: Host 18c2.bf64.07c1 in vlan 1 is flapping between port Fa0/8 and port Fa0/3
SW02#
パターン2:スイッチ配下のハブ内でL2ループを発生させた場合
■環境
・Cisco catalyst 2960 8ポートスイッチ(2台)
型番:WS-C2960C-8TC-L(バージョン: 15.0(2)SE5)
・1GB対応ハブ
型番:LSW6-GT-5EPL
・VLAN、管理VLANともにすべて VLAN 1
・VLAN 1 でスパニングツリーを無効
L2ループ発生後のログを確認
実際の運用でもしばしばあるケースですがログ出力の頻度がパターン1に比べて少ないのでL2ループのポート特定が難しいです。
スイッチ SW01 のFa0/3 にハブを接続し、そのハブの ポート 3 と ポート 4 でループを作ります。
スイッチ SW02 は、スイッチ SW01 と trunkポートで接続され、PC2 が接続されています。
ログ出力を見た時、まず Fa0/1、Fa0/3、Fa0/8(trunk)のどこかでL2ループが発生しているのかなとあたりがつきます。
ただ実際の運用ではもっと他のポートもMACフラッピングのログとして出力されるので特定は難しくなります。
今回の検証においても Fa0/3 に対する出力が多いので Fa0/3 でL2ループが発生としてよいのか根拠を示すことができませんでした。今後の課題にしたいと思います。
■SW01のログ
・1回目
*Jan 2 2006 09:54:19.678 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/1 and port Fa0/3
*Jan 2 2006 09:54:22.698 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/3 and port Fa0/1
*Jan 2 2006 09:56:02.153 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/1 and port Fa0/3
SW01#
・2回目
*Jan 2 2006 10:06:17.693 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/1 and port Fa0/3
*Jan 2 2006 10:07:15.725 JST: %SW_MATM-4-MACFLAP_NOTIF: Host e47f.b219.d546 in vlan 1 is flapping between port Fa0/3 and port Fa0/8
*Jan 2 2006 10:08:01.326 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/1 and port Fa0/3
*Jan 2 2006 10:08:17.675 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/1 and port Fa0/3
*Jan 2 2006 10:09:17.217 JST: %SW_MATM-4-MACFLAP_NOTIF: Host e47f.b219.d546 in vlan 1 is flapping between port Fa0/8 and port Fa0/3
*Jan 2 2006 10:10:17.699 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/1 and port Fa0/3
SW01#
・3回目
*Jan 2 2006 10:15:19.270 JST: %SW_MATM-4-MACFLAP_NOTIF: Host e47f.b219.d546 in vlan 1 is flapping between port Fa0/8 and port Fa0/3
*Jan 2 2006 10:15:45.132 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/1 and port Fa0/3
*Jan 2 2006 10:16:17.721 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/1 and port Fa0/3
*Jan 2 2006 10:16:19.752 JST: %SW_MATM-4-MACFLAP_NOTIF: Host f0de.f17a.5497 in vlan 1 is flapping between port Fa0/1 and port Fa0/3
*Jan 2 2006 10:17:17.272 JST: %SW_MATM-4-MACFLAP_NOTIF: Host e47f.b219.d546 in vlan 1 is flapping between port Fa0/8 and port Fa0/3
SW01#
■SW02のログ
・2回目
*Jan 2 2006 10:07:25.976 JST: %SW_MATM-4-MACFLAP_NOTIF: Host e47f.b219.d546 in vlan 1 is flapping between port Fa0/8 and port Fa0/1
*Jan 2 2006 10:09:27.477 JST: %SW_MATM-4-MACFLAP_NOTIF: Host e47f.b219.d546 in vlan 1 is flapping between port Fa0/1 and port Fa0/8
*Jan 2 2006 10:11:27.459 JST: %SW_MATM-4-MACFLAP_NOTIF: Host e47f.b219.d546 in vlan 1 is flapping between port Fa0/1 and port Fa0/8
*Jan 2 2006 10:15:28.480 JST: %SW_MATM-4-MACFLAP_NOTIF: Host e47f.b219.d546 in vlan 1 is flapping between port Fa0/1 and port Fa0/8
*Jan 2 2006 10:17:27.490 JST: %SW_MATM-4-MACFLAP_NOTIF: Host e47f.b219.d546 in vlan 1 is flapping between port Fa0/1 and port Fa0/8
SW02#
まとめ
今回検証してみて1台のハブ内でループが発生すると特定が難しいと感じました。実際の運用ではもっと他の複数ポートのMACフラッピングのログも出力されるのでさらに特定が難しくなります。すべてのポート配下のMACアドレスを事前に把握しているのであれば特定もしやすいですが実際の運用では、どのポートに何が(PCやプリンタなど)接続されているかまでは事前に把握していません。今後、コツのようなものを見つけられましたら、また追記したいと思います。
■2024/3/15 追記
本番運用のなかで2度「1台のスイッチ配下のハブ内でL2ループが発生」がありました。
環境は、複数台のCisco catalystスイッチと複数台の他社製スイッチです。
その際、2度とも以下の事象となりました。
①ループが発生している1台の他社製スイッチには、Loop detect のログが出力
②ループが発生してない①以外の他社製スイッチには、異常なログなし
③ループが発生してない複数台のCisco catalystスイッチのうち、数台で大量のMACフラッピングのログが出力
④ループが発生してない③以外のCisco catalystスイッチには、異常なログなし
⑤大量のMACフラッピングのログが出力された③の数台のCisco catalystスイッチは、Loop detect のログが出力された他社製スイッチとトランク接続されている場合もあれば、離れた場所にある場合もあった。
他社製スイッチの設定や環境によるため、上記のL2ループの事象が必ずすべてに当てはまるわけではないですが参考にしていただければ幸いです。
記事を読んでいただいて、コツはこうですよ!と教えていただける方がいらっしゃいましたらぜひご教示いただきたいです。
