Недавно я обновил старый ISA до Forefront. Сейчас я получаю массу ошибок 0xc0040050. Подавляющее большинство из них поступает на внутренний широковещательный адрес - 100.100.100.255. Это устаревшая подсеть, которая работает в VLAN 1. У меня есть три сети VLAN, определенные на моем компьютере Forefront - 40, 50, 250. Они настроены с помощью NCU HP и отлично работают. Похоже, Forefront видит эти пакеты и выдает ошибку, поскольку не ожидает прямого трафика в этом диапазоне IP-адресов. Мне нужно остановить это ведение журнала, удалив VLAN1 из порта коммутатора или со стороны Forefront.
Речь идет о устаревшем маршрутизаторе 2811 под управлением IOS 12.4. Forefront находится на накопительном пакете обновления 3 SP 1. Я очень надеюсь, что смогу каким-то образом удалить эту VLAN из порта коммутатора - это кажется самым чистым решением. Я не могу отключить его по умолчанию, и я не знаю, как изменить это поведение.
interface FastEthernet1/8
switchport trunk native vlan 250
switchport trunk allowed vlan 1,2,40,50,250,1002-1005
switchport mode trunk
Когда я пытаюсь удалить VLAN, я получаю
Команда отклонена: недопустимый список разрешенных VLAN. Вы должны включить все vlan по умолчанию, например 1-2,1002-1005.
conf t int f1/8 switchport trunk allowed vlan remove 1
Это удалит vlan 1 из транкинговой связи на этом порту.
interface f1/8
switchport trunk allowed vlan remove 1
Это остановит передачу трафика vlan 1 через порт.
В конце концов, мы решили замять проблему. Мы начали использовать фильтр syslog-ng, чтобы отбрасывать сообщения до того, как они достигли нашего центрального сервера журналов.
Бумага поверх проблемы!
Создайте правило запрета, соответствующее трафику, расположите его первым в списке и отключите ведение журнала для этого правила.
(может работать :) )
Вы не можете удалить vlan1 с этого коммутатора (см. шаг 3), но вы можете удалить порт из влана:
conf t
interface FastEthernet1/8
no switchport access vlan 1
Это удалит магистральный порт из vlan1.
Я предпочитаю отключать трафик от vlan1, потому что мне не нравятся вещи, которые я не могу полностью настроить. Попробуйте исключить широковещательные пакеты из вашей сети, если они не нужны.