Etwas füllt meine force10 ARP-Tabelle

8

Ich habe 2 force10 s25-Schalter, die für eine dunkle Glasfaserverbindung zwischen zwei Schulgebäuden verwendet werden. Einer meiner Schalter füllt die ARP-Tabelle bis zum Rand und schlägt dann fehl. Dies kann bis zu alle 1,5 Stunden geschehen. Ich habe festgestellt, dass eine der Adressen im Cache eine Adresse aus unserem vorherigen Webfilter ist, die seit 6 Monaten nicht mehr online war. Wir können uns nichts vorstellen, was einen ARP-Cache enthalten würde, aber etwas scheint unsere force10 mit Adressen zu versorgen, aber durch Ausführen von show arp summary werden manchmal bis zu 50 neue Adressen pro Sekunde hinzugefügt. Worauf sollte ich achten, um herauszufinden, woher das kommt?

Hier ist meine Show IP Route verbunden

MiddleSchool#show ip route connected
   Destination        Gateway                      Dist/Metric Last Change
   -----------        -------                      ----------- -----------
  C    10.4.0.0/16        Direct, Vl 400                       0/0    03:39:18
  C    192.168.1.0/30     Direct, Te 0/28                      0/0    03:39:20

Die einzige statische Route ist die Standardroute (0.0.0.0 / 0 über den Tengig 0/28-Port) über die Glasfaserverbindung, da der gesamte Verkehr diesen Switch verlassen und zum anderen Gebäude gehen muss, um ins Internet zu gelangen.

MooseBalm
quelle
4
Aufgrund der sehr begrenzten Informationen, die wir jetzt haben, ist meine beste Vermutung, dass Sie eine Maschine haben, die Arps fälscht, um die Mac-Adresstabelle zu überlaufen. Eine andere Möglichkeit ist ein Computer mit einem Viren- / Wurm- / Netzwerk-Mapper, der Schnittstellen überträgt, die für die Verwendung von Proxy-Arp für die Auflösung des nächsten Hops konfiguriert sind. Bitte bearbeiten Sie unter "IP-Route verbunden anzeigen" (oder was auch immer Sie auf Force10 als Äquivalent zu diesem Cisco IOS-Cmd verwenden) sowie alle statischen Routen, die auf eine verbundene Schnittstelle anstelle einer IP-Adresse für den nächsten Hop verweisen. Schauen Sie sich Ihre MAC - Adresstabelle für die Quelle vieler Mac - Adressen, sollte ein einzelner PC sein.
Mike Pennington
Gibt es Muster oder Wiederholungen in der ARP-Tabelle oder sind die meisten MAC-Adresseinträge zufällig? Gibt es manuell konfigurierte ARP-Cache-Timeout-Einträge, die über die Standardeinstellungen hinausgehen (normalerweise vier Stunden)? Gibt es nachgeschaltete Switches, die möglicherweise geloopt werden könnten? Es kann sich lohnen, bis zur Kante zurückzuverfolgen, wenn nachgeschaltete Schalter vorhanden sind.
einmal
Die Schalter scheinen einen Broadcast-Sturm zu empfangen, aber wir können ihn nicht genau bestimmen. Wir haben jede Verbindung getrennt, um zu sehen, ob die intensive Aktivität durch irgendetwas gestoppt oder verlangsamt wird, aber wir waren erfolglos. Wenn ich mir die ARP-Tabelle anschaue, ist der ungewöhnliche Teil, dass sie Internetadressen für die IP-Adressen speichert und alle mit der MAC-Adresse des Switches verknüpft sind. Unser Netzwerk ist 10.4.0.0 / 16 in diesem Gebäude, und wir werden sogar Adressen sehen, die ungefähr 10.4.85. * Sind, also sehr nahe an unserem Subnetz. Es werden auch 192.168 Adressen außerhalb unserer Linkroute angezeigt.
MooseBalm

Antworten:

6

Ich habe mir die Konfigurationen in Ihrer Stapelüberlauffrage angesehen .

Zur Überprüfung ist dies Ihre Topologie ...

      Ten0/28  Ten0/28
Bldg_L----------------Bldg_S
F10 S25               F10 S25
  |                     |
  Vlan200               Vlan400
  10.2.0.101            10.4.0.101/16

Das Problem ist, dass das Erstellen der Switch-Proxy-ARPs von L zum Auflösen 10.4.0.0/16und Erstellen der Switch-Proxy-ARPs von S für die 10.2.0.0/16... Schnittstelle TenGig0 / 28 (Ihre Transitverbindung zwischen den Gebäuden) Proxy-ARPs-Anfragen beantwortet. Entfernen Sie diese 10-Net-Statik und verwenden Sie ...

  • Gebäude L: ip route 10.4.0.0 255.255.0.0 192.168.1.2
  • Gebäude S: ip route 10.2.0.0 255.255.0.0 192.168.1.1

Der Grund für eine Route wie ip route 10.4.0.0 255.255.0.0 TenGigabit0/28Proxy-ARPs liegt darin, dass Sie dem Switch im Wesentlichen mitteilen, dass das gesamte / 16-Subnetz direkt mit TenGigabit0 / 28 verbunden ist, wenn Sie eine Schnittstelle wie diese statisch routen. Für die Verwendung eines IP-Next-Hop ist nur ein ARP-Eintrag für diesen bestimmten Next-Hop erforderlich.

Sie müssen wahrscheinlich das Standard-Gateway auf eine neue Schnittstelle auf dem Building L-Switch verschieben, damit das gesamte Subnetz über 10.2.0.101 standardmäßig 10.4.0.0/16 oder das Internet erreichen kann.

Es tut mir leid, das zu sagen, aber Sie sind offen für Probleme mit der Erschöpfung von ARP-Ressourcen, wenn Sie a / 16 als verbundenes Subnetz zuweisen ... ARP ist ein nicht authentifiziertes Protokoll, und jeder im LAN kann den Switch mit ARPs überfluten keine andere Wahl, als sie zwischenzuspeichern / zu beantworten ... selbst für Phantomadressen.

Proaktiv können Sie DHCP-Snooping und dynamische ARP-Inspektion in Betracht ziehen, wenn Ihre FTOS-Version dies unterstützt. Diese Funktionen erfordern normalerweise einige Überlegungen und Tests vor der Bereitstellung. Es lohnt sich jedoch, sie zu verwenden, wenn Sie Hunderte von Kindern haben, die nichts Aufregenderes haben, als ihre "Hacking" -Fähigkeiten zu demonstrieren. Ich habe eine schnelle Suche durchgeführt, um festzustellen, ob Force10 das unterstützt, was Cisco als Port-Sicherheit bezeichnet, aber ich konnte es nicht finden. Die Port-Sicherheit kann verwendet werden, um die Anzahl der an einem Switch-Port gelernten Macs zu begrenzen.

Mike Pennington
quelle
Ich wollte damit sagen, dass es nahe an unserem Anwendungsbereich lag. Ich weiß, dass es nicht im Subnetz ist, das ist meine Schuld. Unser DHCP-Bereich in diesem Gebäude ist 10.4.50.1-10.4.51.254, daher ist 10.4.85. * Keine DHCP-Adresse, die wir ausgeben würden. Ich habe die Routen so geändert, dass sie die IP-Adressen anstelle des Gateways verwenden. Ich kann bis heute Abend nicht alles trennen, aber derzeit befindet sich die MAC-Adresstabelle bei 246 dynamischen Adressen und 0 statischen oder klebrigen Adressen.
MooseBalm
Nach dem Ändern der Routen scheint dies behoben zu sein. Wenn sich etwas ändert, werde ich den Beitrag aktualisieren, aber im Moment befindet sich meine ARP-Tabelle bei 230 Datensätzen und ist seit 10 Minuten nicht mehr von dort gesprungen. Danke vielmals. Ihre Hilfe wurde sehr geschätzt.
MooseBalm