[GTER] conexão IXbr caindo por l2ptguard

[Leonardo Porto]

Douglas, vou tentar fazer esse espelhamento na minha porta access, 
obrigado pela sugestão.

De fato não limitei as vlans permitidas, vou fazer isso agora e ver o 
resultado.

Meu estranhamento é que segundo a documentação de Cisco e Juniper, o 
l2ptguard seria ativado por um PDU com mac encapsulado, ou seja, uma 
porta trunk entregando tráfego encapsulado anteriormente. Se fosse isso 
minha porta access não funcionaria, pois seria double tag em cima de 
double tag, então deve ser outro tipo de tráfego que dispara o l2ptguard.

Já na porta da Equinix a gerência é deles então fico de mãos atadas, 
aguardando uma posição do IX.

Obrigado


Em 18-07-2018 14:29, Douglas Fischer escreveu:
> O Sniffer é seu amigo!
> Com a porta down, deixa ela espelhada para um host com sniffer.
> Sobe ela e espera ela cair.
> Aí escova bit nos pacotes que fora espelhados para o Sniffer.
> A resposta vai estar lá.
>
>
> Se os link está em dot1q, na tua porta de entrada você deu um allowed vlan
> especificando somente aquela que te interessa?
> Já me acontece de a Vlan nativa do trunk fazer lambança de um lado para o
> outro...
> Deixa só as vlans que te interssam permitidas.
>
>
>
> Em qua, 18 de jul de 2018 às 12:27, Leonardo Porto <leonardo.porto at iw.net.br>
> escreveu:
>
>> Pessoal,
>>
>> Temos conexão em dois PIX do IXbr São Paulo e temos tido quedas devido
>> ao mecanismo L2PT Guard.
>> Na conexão com o PIX mais antigo recebemos o transporte num switch
>> Juniper EX2220 e porta access com dot1q (alguma necessidade na época
>> devido a coincidência de IDs), eventualmente essa porta recebe BPDU L2PT
>> e prevenindo loop desabilita a porta. Ainda não consegui desabilitar
>> esse mecanismo mas deve haver alguma configuração ou posso passar a
>> porta para trunk mas a frequência é baixa.
>>
>> No novo PIX dentro de um data center Equinix recebemos o cross connect
>> em outro EX2220, desta vez em porta trunk. Já tivemos três quedas em 12
>> dias, porém aqui o link entre nossa porta e o equipamento da Equinix
>> permanece UP (um Cisco usando dot1q para passar nossas vlans) e a porta
>> deles que se conecta ao switch do PIX entra em 'error-disable' pelo
>> mesmo motivo, o L2PT Guard.
>>
>> A Equinix não quer desabilitar o loop detection, aparentemente isso não
>> ocorre com outros clientes no mesmo data center e o IXbr ainda não se
>> posicionou no chamado que questionamos o recebimento desses pacotes que
>> causam as quedas. O switch do PIX estaria enviando algum tráfego
>> indevido em nossa porta? Alguém já passou por algo parecido ou tem
>> alguma sugestão?
>>
>> Obrigado.
>>
>> Leonardo
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>