無効なソースMACアドレスの追跡

Cisco 4500を含み、2〜12個のCiscoアクセススイッチに接続されているリモートサイトのサポートを継承しました。主に2960と3750と3560のカップルです。すべてのアクセススイッチが4500に直接接続されているわけではありません-不十分なケーブル接続の結果として明らかに行われたスイッチのデイジーチェーンがあります。最近、4500で、無効なソースMACアドレスでフレームが受信されたことを示すエラーメッセージに気付きました。

*Sep 10 09:29:48.609: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 102563 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Te5/1 in vlan 1460

Te5 / 1に接続されているデバイスは、アクセススイッチ（Cisco 3750）です。次に、他の6つのアクセススイッチに接続されます。少しグーグルで調べた後、4500は無効なソースMACアドレスを記録する唯一のCiscoプラットフォームです。私の読書から、他のプラットフォーム（2960、3750など）はフレームを転送しているように見えますが、無効としてログに記録したり、MACアドレステーブルにエントリを追加したりしません。無効なソースMACアドレスの根本的な原因は、nicの障害、ソフトウェアのバグ、またはVMwareサーバーの構成の誤りである可能性があります。問題のポートを追跡するためにアクセススイッチで使用できるツールは何ですか？

インターフェイスまたはアクセススイッチのVLANでMAC ACLを使用してフレームをブロックできるかどうかを試すことができます。ブロックを選択的に適用し、4500のエラーメッセージが消えるかどうかを確認することで、トラフィックのソースを特定できます。

4500のエラーメッセージに記載されているポートが続くかどうかを確認するためにケーブルを移動することも役立ちますが、実稼働環境では注意が必要です。

一般的に、これを見たとき、それは設定が不十分なVM（多くの場合ユーザーマシンでホストされている）から来ています。状況や環境によっては、追跡するのが難しい場合があります（これらの多くは、学生と同じように移動したり、行ったり来たりしたCSおよびECE部門の大学で見ました）。

すでにいくつかのすばらしい答えがありますが、追求できる別のオプションは、次の構成をダウンストリームスイッチ（37xx、36xx、29xx）に追加することです。

   mac address-table static 0000.0000.0000 vlan <VLAN ID> drop

これは、このMACを転送するのではなく、このMACを持つトラフィックをドロップします（ハードウェアで実行する必要があるため（ソフトウェアでMACルックアップを実行する機能/問題がない限り）、パフォーマンスに悪影響を与えることはありません）。

ユーザーからの苦情が殺到しているのではなく、自分でログメッセージを発見したため、このエラーはネットワークパフォーマンスに影響を与えていないようです。これにより、現在使用されていない、接続されているが部分的に構成された、または誤って構成されたソフトウェアまたはサービスに問題があると疑われます。

ユーザーが問題を報告するまで、この眠っている犬を寝かせるのが最善の方法かもしれません。または、余裕がある場合は、@ Daniel Dibが提案したとおりにSPANセッションを実行し、疑わしいポートまたはデバイスを特定するまで出力を詳細に調査できます。