Logging discriminator

[mauryno]

Ciao a tutti, sono nuovo della community.
Spero che l'argomento non sia già stato trattato, purtroppo facendo un search con le parole in oggetto escono ovviamente più di mille risultati..

Avrei questo problemino: ho un cluster di server Sun su una coppia di 3750G-48 collegati in stack tra loro. Per ridondanza le porte della macchina Sun sono state distribuite su entrambi gli switch, però ovviamente questo comporta un foltio di segnalazioni di flapping di mac-address.
Purtroppo il problema lato server non è stato risolto e io dovrei, almeno per il momento, conviverci. Funzionalmente in verità non è un problema, solo che ho i log sporcati...e alla velocità di 4-5 segnalazioni al secondo
Quello che mi domandavo è se qualcuno sa come evitare/ignorare solo alcuni messaggi del log. Non vorrei infatti abbassare il livello di logging perchè altre eventuali segnalazioni (su altre porte) mi sarebbero comunque utili. Avevo provato a smanettare con il logging discriminator (mi pareva ci fosse infatti un modo per selezionare le stringhe da droppare) ma non vedo miglioramenti...

Grazie in anticipo.

[ep]

Un'idea potrebbe essere quella di filtrare i messaggi sul server syslog; se usi syslog-ng puoi fare filtraggi arbitrari.

Però non ho capito bene la configurazione... ciascuna singola porta dei Sun è agganciata ad entrambi gli switch? (in quale maniera?)

Ciao!

[mauryno]

Non ho server syslog...il mio unico mezzo è lo show log direttamente sugli switch.
Scusa ma mi sono spiegato male: il cluster Sun ha più porte per ogni macchina che lo compone, ogni singolo server fisico ha almeno 2 schede ripartite sui due switch.

[ep]

Scusami, credo che mi stia sfuggendo qualcosa di ovvio… se ciascun server ha almeno due schede fisiche, e ciascuna scheda ha il proprio MAC address, quali MAC flappano, e da dove a dove?

Indipendentemente da questo: potrebbe essere una soluzione, configurare LACP su ciascun server (come fanno, ad esempio, qui) e mettere degli EtherChannel cross-stack (vedi qui), con la limitazione che non si può usare la port aggregation per aumentare la banda, ma soltanto LACP per il failover automatico?

Ciao!

[mauryno]

Ciao, il mac che flappa è uno virtuale...
E ' in effetti una situazione un pò curiosa, in pratica questo mac virtuale
viene visto su porte di diversi server fisici ma appartenenti alla stessa rete...il bello poi è che flappa fra due server non appartenenti allo stesso cluster!
In pratica, ho Server3 e 4 in cluster tra loro e Server5 e 6 in cluster tra loro. Il flap lo vedo tra il Server4 e il 5...e tra il 6 e il 3
Ti posto uno stralcio di log:

Jan 9 14:13:12: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe01 in vlan 841 is flapping between port Gi1/0/12 and port Gi1/0/14
Jan 9 14:13:12: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe00 in vlan 841 is flapping between port Gi2/0/14 and port Gi2/0/12
Jan 9 14:13:27: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe00 in vlan 841 is flapping between port Gi2/0/14 and port Gi2/0/12
Jan 9 14:13:27: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe01 in vlan 841 is flapping between port Gi1/0/14 and port Gi1/0/12
Jan 9 14:13:42: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe00 in vlan 841 is flapping between port Gi2/0/12 and port Gi2/0/14
Jan 9 14:13:42: %SW_MATM-4-MACFLAP_NOTIF: Host 0000.0000.fe01 in vlan 841 is flapping between port Gi1/0/14 and port Gi1/0/12

e la config delle porte incriminate:

interface GigabitEthernet1/0/12
description Cluster4
switchport access vlan 841
switchport mode access
spanning-tree portfast
end
!
interface GigabitEthernet1/0/14
description Cluster5
switchport access vlan 841
switchport mode access
spanning-tree portfast
end
!
interface GigabitEthernet2/0/14
description Cluster6
switchport access vlan 841
switchport mode access
spanning-tree portfast
end
!
interface GigabitEthernet2/0/12
description Cluster3
switchport access vlan 841
switchport mode access
spanning-tree portfast
end

Purtroppo niente LACP....circa un anno fa, ovvero alla comparsa da questo cliente della necessità di aggregare porte verso server, avevamo fatto la prova con LACP ma non funzionava. Non so dirti se per "carenze" mie o dei sistemisti server. Da allora in ogni caso tutti i port-channel sono GEC...e ovviamente il cliente vorrebbe mantenere lo standard.
Purtroppo le macchine incriminate sono anche proxy in produzione, fare dei test al momento non sarebbe proprio il massimo (anche se è vero che per una macchina attiva ce n'è una in stanbdy).
Visto che questa anomalia mi si presentava solo su queste macchine, cercavo uno stratagemma non troppo impegnativo per sistemare il problema dei log, senza dover cambiare configurazioni.
Grazie comunque per le velocissime risposte!

[ep]

Ciao,

io non ho mai avuto occasione di lavorare con questi attrezzi, però ho cercato con Google il mac virtuale e ho visto dei post, in giro per il mondo, che parlano del ClusterXL di Checkpoint. Immagino che diverse architetture di questo tipo usino gli indirizzi MAC virtuali per non dover aggiornare le tabelle ARP degli altri dispositivi quando serve.

In effetti si direbbe quasi che i due cluster abbiano la stessa configurazione ed usino lo stesso base MAC address virtuale… ma non ne saprei di più!

[mauryno]

Sì in effetti il problema deriverebbe anche da quello, ovvero che due cluster diversi si presentano con uno stesso mac-address virtuale (probabilmente di default), incasinando il tutto.
Tornando però IT, nessuno sa come poter "scremare" i log sullo switch senza abbassare il livello di logging?
Il logging discriminator funziona solo sui log mandati al log-server?
Grazie

[ep]

Tornando però IT, nessuno sa come poter "scremare" i log sullo switch senza abbassare il livello di logging?
Il logging discriminator funziona solo sui log mandati al log-server?
Grazie

Guardando questo ti direi che (come al solito) si può se l'IOS è abbastanza recente… io con un Cat 2950 me lo sogno, ma su altre piattaforme un bel

Codice: Seleziona tutto

logging discriminator noflap drops "MACFLAP_NOTIF: Host 0000.0000.fe"
logging buffered discriminator noflap 1058576 informational

potrebbe essere un punto di partenza.

Ciao!

[mauryno]

Purtroppo nulla da fare. Unica discrepanza con lo scenario da te suggerito sono le possibili opzioni in più che ho probabilmente con questo IOS:

SWITCH(config)#logging discriminator noflap ?
facility Facility pattern for messsage filtering
mnemonics Mnemonics pattern for messsage filtering
msg-body Msg-body pattern for messsage filtering
rate-limit Rate-limit value for messsage rate control
severity Severity group for messsage filtering
<cr>

Il comando completo risulta quindi:

logging discriminator noflap msg-body drops MACFLAP_NOTIF: Host 0000.0000.fe
logging buffered discriminator noflap 1058576 informational

Ho provato le prime tre (le restanti due mi sembravano inutili). Seppur mi vede il discriminator attivo nell "sh log", mi ripete comunque tutti i messaggi che invece dovrebbe eliminare. L'IOS installato è un c3750e-universalk9-mz.122-46.SE.bin e al momento mi sembra pure il più recente...

/me triste

[ep]

logging discriminator noflap msg-body drops MACFLAP_NOTIF: Host 0000.0000.fe
logging buffered discriminator noflap 1058576 informational

Sparo un'ipotesi: che la parte prima del duepunti sia considerata il mnemonic, e quella dopo il body? In questo caso il primo comando dovrebbe essere piuttosto

Codice: Seleziona tutto

logging discriminator noflap msg-body drops Host 0000.0000.fe

oppure

Codice: Seleziona tutto

logging discriminator noflap mnemonics MACFLAP_NOTIF

…
come detto, non posso provarlo, quindi sto andando a tentoni

Ciao!

[mauryno]

Idolo delle masse!!!

Funzionano alla perferzione entrambi, ovviamente la mia scelta ricade sul primo, in quanto più specifico.
Grande EP, grazie tante per la dritta e il tempo dedicatomi

[ep]

Perfetto, è stato un piacere!