Сподіваючись, що хтось тут може мати деяке розуміння проблеми, з якою ми стикаємося. Наразі у нас є розгляд справи Cisco TAC, але вони намагаються знайти першопричину.
Хоча в заголовку згадується широкомовна передача ARP та високе використання процесора, ми не впевнені, що вони на цьому етапі пов'язані чи не пов'язані між собою.
Оригінальний випуск розміщено в Інтернет-спільноті INE
Ми зняли мережу до єдиної ланки, не встановлюючи надмірності, думаємо про це як про зіркову топологію.
Факти:
- Ми використовуємо 3750x вимикачі, 4 в одній стеці. Версія 15.0 (1) SE3. Cisco TAC не підтверджує жодних відомих проблем для високих помилок CPU або ARP для цієї конкретної версії.
- Немає підключених концентраторів / некерованих комутаторів
- Перезавантажений стек Core
- У нас немає маршруту за замовчуванням "Ip route 0.0.0.0 0.0.0.0 f1 / 0". Використання OSPF для маршрутизації.
- Ми бачимо великі пакети широкомовної передачі від VLAN 1, VLAN 1, які використовуються для настільних пристроїв. Ми використовуємо 192.168.0.0/20
- Cisco TAC сказав, що вони не бачать нічого поганого у використанні / 20, інакше у нас буде великий домен широкомовної передачі, але він все одно повинен функціонувати.
- Wi-Fi, управління, принтери тощо - всі на різних VLAN
- Розташоване дерево було перевірено кваліфікованими особами Cisco TAC та CCNP / CCIE. Ми відключаємо всі зайві посилання.
- Конфігурація на ядрі була перевірена Cisco TAC.
- Для більшості комутаторів у нас встановлений за замовчуванням тайм-аут ARP.
- Ми не реалізуємо Q & Q.
- Не додано нових комутаторів (принаймні жодних, про яких ми знаємо)
- Неможливо використовувати динамічну перевірку арп на крайових комутаторах, оскільки це 2950
- Ми використовували шоу-інтерфейси | inc line | трансляція, щоб визначити, звідки велика кількість трансляцій, що надходять, однак як Cisco TAC, так і два інших інженери (CCNP & CCIE) підтвердили, що це нормальна поведінка через те, що відбувається в мережі (як і у великій кількості закритих маків викликаючи більшу трансляцію). Ми переконалися, що STP справно працює на крайових вимикачах.
Симптоми в мережі та комутаторах:
- Велика кількість кришок MAC
- Високе використання процесора для процесу введення ARP
- Величезна кількість пакетів ARP, швидко зростаючих і помітних
- Wiresharks показує, що 100-ті комп'ютери затоплюють мережу ARP Broadcast
- Для тестових цілей ми поставили приблизно 80 настільних машин різної vlan, однак ми протестували це і не бачили різниці на високому процесорі або arp
- Запускав різні AV / шкідливі / шпигунські програми, але вірусів у мережі не було.
- sh-таблиця адресних таблиць mac, показує нам приблизно 750 різних мак-адрес, як очікується, на vlan 1.
#sh processes cpu sorted | exc 0.00%
CPU utilization for five seconds: 99%/12%; one minute: 99%; five minutes: 99%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
12 111438973 18587995 5995 44.47% 43.88% 43.96% 0 ARP Input
174 59541847 5198737 11453 22.39% 23.47% 23.62% 0 Hulc LED Process
221 7253246 6147816 1179 4.95% 4.25% 4.10% 0 IP Input
86 5459437 1100349 4961 1.59% 1.47% 1.54% 0 RedEarth Tx Mana
85 3448684 1453278 2373 1.27% 1.04% 1.07% 0 RedEarth I2C dri
- Ran show mac-таблиця адрес на різних комутаторах та самому ядрі (на ядрі, наприклад, підключений безпосередньо на робочому столі, на моєму робочому столі), і ми можемо бачити, як декілька різних MAC-апаратних адрес зареєстровані в інтерфейсі, хоча цей інтерфейс має до цього приєднано лише один комп’ютер:
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 001c.c06c.d620 DYNAMIC Gi1/1/3
1 001c.c06c.d694 DYNAMIC Gi1/1/3
1 001c.c06c.d6ac DYNAMIC Gi1/1/3
1 001c.c06c.d6e3 DYNAMIC Gi1/1/3
1 001c.c06c.d78c DYNAMIC Gi1/1/3
1 001c.c06c.d7fc DYNAMIC Gi1/1/3
- показати використання платформи Tcam
CAM Utilization for ASIC# 0 Max Used
Masks/Values Masks/values
Unicast mac addresses: 6364/6364 1165/1165
IPv4 IGMP groups + multicast routes: 1120/1120 1/1
IPv4 unicast directly-connected routes: 6144/6144 524/524
IPv4 unicast indirectly-connected routes: 2048/2048 77/77
IPv4 policy based routing aces: 452/452 12/12
IPv4 qos aces: 512/512 21/21
IPv4 security aces: 964/964 45/45
Зараз ми перебуваємо на етапі, коли нам буде потрібно величезна кількість простоїв, щоб ізолювати кожну область за один раз, якщо хтось ще не має ідей, щоб визначити джерело чи першопричину цієї дивної та химерної проблеми.
Оновлення
Дякую @MikePennington та @RickyBeam за детальну відповідь. Я спробую відповісти, що можу.
- Як згадувалося, 192.168.0.0/20 - це спадковий безлад. Однак ми маємо намір розділити це в майбутньому, але, на жаль, це питання виникло раніше, ніж ми могли це зробити. Я особисто також погоджуюся з більшістю, завдяки чому домен широкомовного телебачення є занадто великим.
- Використання Arpwatch - це, безумовно, щось, що ми можемо спробувати, але я підозрюю, що кілька портів доступу реєструють мак-адресу, навіть якщо вона не належить до цього порту, висновок arpwatch може бути не корисним.
- Я повністю погоджуюся з тим, що не буду на 100% впевнений у знаходженні всіх зайвих посилань та невідомих комутаторів у мережі, але як найкраще ми знаходимо, це так, поки ми не знайдемо подальших доказів.
- Безпека порту була розглянута, на жаль, керівництво вирішило не використовувати це з різних причин. Загальною причиною є те, що ми постійно переміщуємо комп’ютери (середовище коледжу).
- Ми використовували портфайн spanning-tree разом із спільно з bpduguard spanning-tree на всіх портах доступу (настільних машинах).
- Наразі ми не використовуємо непереговори про перемикання на порту доступу, але ми не отримуємо жодної скакальної атаки Влана, що підстрибує через декількох владів.
- Дасть сповіщення про таблицю mac-address і перегляне, чи зможемо ми знайти якісь шаблони.
"Оскільки ви отримуєте велику кількість закриттів MAC між комутаційними портами, важко знайти, де порушники (припустимо, ви знайдете дві-три мак-адреси, які надсилають безліч арп., Але мак-адреси вихідних файлів не змінюються між портами."
- Ми почали з цього, вибрали будь-які клаптики MAC і продовжили свій шлях через усі основні перемикання на розподіл до комутатора доступу, але те, що ми знайшли, знову-таки, інтерфейс порту доступу навішував декілька mac-адрес, отже, мак-клапті; тому назад до квадратного.
- Контроль над штормом - це те, що ми врахували, але боїмося, що деякі законні пакети будуть відкинуті, що спричинить подальшу проблему.
- Потрійно перевірить конфігурацію VMHost.
- @ytti, незрозумілі MAC-адреси стоять за багатьма портами доступу, а не окремими особами. На цих інтерфейсах не знайдено циклів. MAC-адреси існують і в інших інтерфейсах, що пояснювало б велику кількість закритих MAC
- @RickyBeam я згоден з тим, чому хости надсилають стільки запитів ARP; це одне з дивовижних питань. Бездротовий міст Rouge - цікавий, про який я не замислювався, наскільки ми знаємо, бездротовий зв’язок є на різних VLAN; але шахрай, очевидно, означає, що він цілком може бути на VLAN1.
- @ RickyBeam, я не хочу дуже відключати мережу від мережі, оскільки це спричинить величезну кількість простоїв. Однак саме тут він може просто заголовок. У нас є сервери Linux, але не більше 3-х.
- @ RickyBeam, чи можете ви пояснити зондування DHCP-сервера?
Ми (Cisco TAC, CCIEs, CCNP) в усьому світі погоджуємось, що це не конфігурація комутатора, а хост / пристрій викликає проблему.
switchport port-security aging time 5
і switchport port-security aging type inactivity
означає, що ви можете переміщати станції між портами через 5 хвилин бездіяльності або якщо ви вручну очистити запис із безпеки порту. Однак ця конфігурація перешкоджає закриттю mac між портами доступу комутатора, оскільки порти не можуть довільно надсилати ту саму мак-адресу з іншого порту.