Algo está enchendo minha tabela ARP force10

Eu tenho 2 switches force10 s25 que são usados para um link de fibra escura entre dois prédios da escola. Um dos meus switches está preenchendo sua tabela ARP até a borda e falhando. Isso pode acontecer sempre que a cada 1,5 horas. Percebi que um dos endereços no cache é um endereço do nosso filtro da web anterior que não está online há 6 meses. Não podemos pensar em nada que possa conter um cache ARP, mas algo parece estar alimentando nossa força10 com endereços, mas executando o resumo do show arp, às vezes até 50 novos endereços por segundo estão sendo adicionados. O que devo procurar para descobrir de onde isso vem?

Aqui está o meu show ip route conectado

MiddleSchool#show ip route connected
   Destination        Gateway                      Dist/Metric Last Change
   -----------        -------                      ----------- -----------
  C    10.4.0.0/16        Direct, Vl 400                       0/0    03:39:18
  C    192.168.1.0/30     Direct, Te 0/28                      0/0    03:39:20

A única rota estática é a rota padrão (0.0.0.0 / 0 na porta tengig 0/28) sobre o link de fibra, pois todo o tráfego deve sair desse comutador e ir para o outro prédio para acessar a Internet.

switch routing router ethernet arp MooseBalm
fonte

com base nas informações muito limitadas que temos agora, meu melhor palpite é que você tem uma máquina (s) falsificando arcos para sobrecarregar a tabela de endereços mac. Outra possibilidade é uma máquina com um mapeador de vírus / worm / rede que interage com interfaces configuradas para usar o proxy arp na resolução do próximo salto. Edite em "show ip route connection" (ou o que você usar no Force10 como o equivalente ao cmd do Cisco IOS), bem como quaisquer rotas estáticas que apontem para uma interface conectada em vez de um endereço IP do próximo salto. Veja na tabela de endereços mac a origem de muitos endereços mac que devem ser um único PC.

Mike Pennington

Existem padrões ou repetições na tabela ARP ou a maioria das entradas de endereços MAC são aleatórias? Existem entradas de tempo limite do cache ARP configuradas manualmente além dos padrões (que normalmente são quatro horas)? Existem comutadores a jusante que possam ser potencialmente executados em loop? Pode valer a pena rastrear até a borda, se houver comutadores a jusante.

one.time 16/09/2013

Os switches parecem estar recebendo uma tempestade de transmissão, mas não podemos identificá-lo. Desconectamos todas as conexões para ver se alguma coisa faria com que a atividade intensa parasse ou diminuísse a velocidade, mas não tivemos êxito. Se eu olhar para a tabela ARP, a parte incomum é que ela está armazenando endereços da Internet para os endereços IP e todos eles estão vinculados ao endereço MAC do switch. Nossa rede é 10.4.0.0 / 16 neste edifício, e até veremos endereços como 10.4.85. *, Muito próximos à nossa sub-rede. Também existem 192.168 endereços fora da nossa rota de link.

MooseBalm 16/09

Respostas:

Eu olhei para as configurações na sua pergunta de estouro de pilha .

A título de revisão, esta é sua topologia ...

      Ten0/28  Ten0/28
Bldg_L----------------Bldg_S
F10 S25               F10 S25
  |                     |
  Vlan200               Vlan400
  10.2.0.101            10.4.0.101/16

O problema é que a construção de proxy-ARPs de switch da L para resolver 10.4.0.0/16e a construção de proxy-ARPs de switch da S para 10.2.0.0/16... a interface TenGig0 / 28 (seu link de trânsito entre os edifícios) está respondendo às solicitações dos proxy-ARPs. Remova essas estáticas de 10 redes e use ...

Edifício L: ip route 10.4.0.0 255.255.0.0 192.168.1.2
Edifício S: ip route 10.2.0.0 255.255.0.0 192.168.1.1

A razão pela qual uma rota como ip route 10.4.0.0 255.255.0.0 TenGigabit0/28 ARPs de proxy é porque você está basicamente dizendo ao switch que toda a sub-rede / 16 está diretamente conectada ao TenGigabit0 / 28 quando você estática encaminhar uma interface como esta. O uso de um próximo salto IP requer apenas uma entrada ARP para esse próximo salto específico.

Você provavelmente precisará mover o gateway padrão para uma nova interface no comutador Building L, para que toda a sub-rede possa usar como padrão 10.2.0.101 e atingir 10.4.0.0/16 ou a Internet.

Lamento dizer, mas você está se deixando exposto a problemas de exaustão de recursos do ARP ao atribuir um / 16 como uma sub-rede conectada ... O ARP é um protocolo não autenticado, e qualquer pessoa na LAN pode inundar o switch com ARPs e não há escolha a não ser armazená-las em cache / respondê-las ... mesmo para endereços fantasmas.

Proativamente, você pode considerar a espionagem DHCP e a inspeção ARP dinâmica, se a sua versão do FTOS suportar. Esses recursos normalmente requerem reflexão e teste antes da implantação; no entanto, vale a pena usá-lo se você tiver centenas de crianças com nada mais emocionante do que exibir suas habilidades de "hacking". Eu fiz uma pesquisa rápida para ver se o Force10 suporta o que a Cisco chama de segurança de porta, mas não consegui encontrá-lo; A segurança da porta pode ser usada para limitar o número de macs aprendidos em uma porta do switch.

Mike Pennington
fonte

Eu quis dizer que era próximo do nosso escopo. Eu sei que não está na sub-rede, a culpa é minha. Nosso escopo DHCP neste edifício é 10.4.50.1-10.4.51.254; portanto, 10.4.85. * Não é um endereço dhcp que emitiríamos. Eu mudei as rotas para que eles usem os endereços IP em vez do gateway. Não consigo desconectar tudo até hoje à noite, mas atualmente a tabela de endereços MAC tem 246 endereços dinâmicos e 0 endereços estáticos ou fixos.

MooseBalm

Depois de mudar as rotas, isso parece ter corrigido. Se alguma coisa mudar, atualizarei a postagem, mas por enquanto minha tabela ARP está em 230 registros e não pulou a partir daí em 10 minutos. Muito Obrigado. Sua ajuda foi muito apreciada.

MooseBalm 16/09