Mając nadzieję, że ktoś tutaj może mieć jakiś wgląd w problem, przed którym stoimy. Obecnie mamy Cisco TAC przyglądający się sprawie, ale starają się znaleźć podstawową przyczynę.
Chociaż w tytule wspomniano o transmisji ARP i wysokim zużyciu procesora, nie jesteśmy pewni, czy są one powiązane lub niezwiązane na tym etapie.
Oryginalny numer został opublikowany w społeczności internetowej INE
Obniżyliśmy sieć do jednego łącza bez konfiguracji redundancji, myśl o tym jak o topologii gwiazdy.
Fakty:
- Używamy przełączników 3750x, 4 w jednym stosie. Wersja 15.0 (1) SE3. Cisco TAC nie potwierdza znanych problemów z wysokimi procesorami lub błędami ARP w tej konkretnej wersji.
- Brak podłączonych koncentratorów / niezarządzanych przełączników
- Ponownie załadowano stos rdzenia
- Nie mamy domyślnej trasy „Ip route 0.0.0.0 0.0.0.0 f1 / 0”. Używanie protokołu OSPF do routingu.
- Widzimy duże pakiety emisji z sieci VLAN 1, VLAN 1 używanych na urządzeniach stacjonarnych. Używamy 192.168.0.0/20
- Cisco TAC powiedział, że nie widzą nic złego w korzystaniu z / 20, poza tym mielibyśmy dużą domenę rozgłoszeniową, ale powinniśmy nadal działać.
- Wi-Fi, zarządzanie, drukarki itp. Działają w różnych sieciach VLAN
- Drzewo opinające zostało zweryfikowane przez osoby wykwalifikowane Cisco TAC i CCNP / CCIE. Zamykamy wszystkie zbędne linki.
- Konfiguracja na rdzeniu została zweryfikowana przez Cisco TAC.
- Mamy domyślny limit czasu ARP na większości przełączników.
- Nie wdrażamy pytań i odpowiedzi.
- Nie dodano żadnych nowych przełączników (przynajmniej nie wiemy o nich)
- Nie można użyć dynamicznej kontroli arp na przełącznikach krawędzi, ponieważ są to 2950
- Użyliśmy interfejsów show | inc line |, aby dowiedzieć się, skąd pochodzi duża liczba transmisji, jednak zarówno Cisco TAC, jak i 2 innych inżynierów (CCNP i CCIE) potwierdziło, że jest to normalne zachowanie ze względu na to, co dzieje się w sieci (jak w przypadku dużej liczby klap mac powodując większą transmisję). Sprawdziliśmy, czy STP działa poprawnie na przełącznikach krawędziowych.
Objawy w sieci i przełącznikach:
- Duża liczba klap MAC
- Wysokie użycie procesora dla procesu wprowadzania ARP
- Ogromna liczba pakietów ARP, szybko rosnąca i widoczna
- Wiresharks pokazuje, że setki komputerów zalewają sieć ARP Broadcast
- Do celów testowych umieściliśmy około 80 komputerów stacjonarnych w różnych sieciach Vlan, jednak przetestowaliśmy to i nie zauważyliśmy żadnej różnicy w stosunku do wysokich wartości procesora lub arp
- Uruchomiłeś różne AV / złośliwe oprogramowanie / oprogramowanie szpiegujące, ale w sieci nie widać wirusów.
- sh tablica adresów mac, pokazuje nam około 750 różnych adresów mac zgodnie z oczekiwaniami na vlan 1.
#sh processes cpu sorted | exc 0.00%
CPU utilization for five seconds: 99%/12%; one minute: 99%; five minutes: 99%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
12 111438973 18587995 5995 44.47% 43.88% 43.96% 0 ARP Input
174 59541847 5198737 11453 22.39% 23.47% 23.62% 0 Hulc LED Process
221 7253246 6147816 1179 4.95% 4.25% 4.10% 0 IP Input
86 5459437 1100349 4961 1.59% 1.47% 1.54% 0 RedEarth Tx Mana
85 3448684 1453278 2373 1.27% 1.04% 1.07% 0 RedEarth I2C dri
- Poprzednio wyświetlałem tablicę adresów mac na różnych przełącznikach i samym rdzeniu (na rdzeniu, na przykład podłączonym bezpośrednio przez pulpit, mój pulpit), i możemy zobaczyć kilka różnych adresów sprzętowych MAC zarejestrowanych w interfejsie, nawet jeśli interfejs ten ma tylko jeden komputer podłączony do tego:
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 001c.c06c.d620 DYNAMIC Gi1/1/3
1 001c.c06c.d694 DYNAMIC Gi1/1/3
1 001c.c06c.d6ac DYNAMIC Gi1/1/3
1 001c.c06c.d6e3 DYNAMIC Gi1/1/3
1 001c.c06c.d78c DYNAMIC Gi1/1/3
1 001c.c06c.d7fc DYNAMIC Gi1/1/3
- pokaż wykorzystanie kamery na platformie
CAM Utilization for ASIC# 0 Max Used
Masks/Values Masks/values
Unicast mac addresses: 6364/6364 1165/1165
IPv4 IGMP groups + multicast routes: 1120/1120 1/1
IPv4 unicast directly-connected routes: 6144/6144 524/524
IPv4 unicast indirectly-connected routes: 2048/2048 77/77
IPv4 policy based routing aces: 452/452 12/12
IPv4 qos aces: 512/512 21/21
IPv4 security aces: 964/964 45/45
Jesteśmy teraz na etapie, w którym będziemy potrzebować ogromnej ilości przestojów, aby odizolować każdy obszar na raz, chyba że ktokolwiek inny ma jakieś pomysły na zidentyfikowanie źródła lub przyczyny tego dziwnego i dziwnego problemu.
Aktualizacja
Dziękuję @MikePennington i @RickyBeam za szczegółową odpowiedź. Spróbuję odpowiedzieć na to, co mogę.
- Jak wspomniano, 192.168.0.0/20 to odziedziczony bałagan. Jednak zamierzamy to rozdzielić w przyszłości, ale niestety ten problem pojawił się, zanim mogliśmy to zrobić. Osobiście zgadzam się również z większością, w której domena emisji jest zdecydowanie za duża.
- Korzystanie z Arpwatch jest zdecydowanie czymś, co możemy wypróbować, ale podejrzewam, że ponieważ kilka portów dostępu rejestruje adres mac, mimo że nie należy do tego portu, wniosek z arpwatch może nie być przydatny.
- Całkowicie zgadzam się z tym, że nie jestem w 100% pewien, że znajdę wszystkie nadmiarowe łącza i nieznane przełączniki w sieci, ale jak najlepiej z naszego ustalenia, dzieje się tak, dopóki nie znajdziemy dalszych dowodów.
- Sprawdzono bezpieczeństwo portów, niestety zarząd postanowił nie używać tego z różnych powodów. Częstym powodem jest ciągłe przenoszenie komputerów (środowisko uczelni).
- Domyślnie korzystaliśmy z portu spanning-tree w połączeniu z bpduguard z drzewa opinającego na wszystkich portach dostępowych (komputery stacjonarne).
- W tej chwili nie korzystamy z portu przełączającego bez negocjacji na porcie dostępowym, ale nie otrzymujemy żadnego skoku Vlana podskakującego na wielu Vlanach.
- Sprawi, że powiadomienie o tablicy adresów MAC sprawdzi, czy uda nam się znaleźć jakieś wzorce.
„Ponieważ między portami przełączników pojawia się duża liczba adresów MAC, trudno jest ustalić, gdzie znajdują się przestępcy (załóżmy, że znajdziesz dwa lub trzy adresy MAC, które wysyłają dużo plików ARP, ale źródłowe adresy MAC wciąż migają między portami)”.
- Zaczęliśmy od tego, wybraliśmy dowolne klapy MAC i kontynuowaliśmy naszą drogę przez wszystkie główne przełączniki do dystrybucji do przełącznika dostępu, ale okazało się, że ponownie, interfejs portu dostępowego przechwytuje wiele adresów mac, stąd klapy mac; wracając do punktu wyjścia.
- Kontrola burz jest czymś, co rozważaliśmy, ale obawiamy się, że niektóre z legalnych pakietów zostaną odrzucone, powodując dalszy problem.
- Potroi sprawdzi konfigurację VMHost.
- @ytti niewytłumaczalne adresy MAC znajdują się za wieloma portami dostępu, a nie za pojedynczymi osobami. Nie znalazłem żadnych pętli na tych interfejsach. Adresy MAC istnieją również w innych interfejsach, co wyjaśniałoby dużą liczbę klap MAC
- @RickyBeam Zgadzam się z tym, dlaczego gospodarze wysyłają tyle żądań ARP; jest to jeden z zagadkowych problemów. Bezprzewodowy most Rouge jest interesujący, o czym nie myślałem, o ile nam wiadomo, bezprzewodowy jest w innej sieci VLAN; ale łobuz będzie oczywiście oznaczać, że może to być na VLAN1.
- @RickyBeam, tak naprawdę nie chcę odłączać wszystkiego, ponieważ spowoduje to ogromne przestoje. Jednak właśnie tam może zmierzać. Mamy serwery Linux, ale nie więcej niż 3.
- @RickyBeam, czy możesz wyjaśnić sondowanie serwera DHCP w użyciu?
My (Cisco TAC, CCIEs, CCNP) globalnie zgadzamy się, że nie jest to konfiguracja przełącznika, ale problem powoduje host / urządzenie.
switchport port-security aging time 5
i switchport port-security aging type inactivity
oznacza, że możesz przenosić stacje między portami po 5 minutach bezczynności lub jeśli ręcznie wyczyścisz wpis zabezpieczenia portu. Jednak ta konfiguracja zapobiega klapom mac między portami dostępu przełącznika, ponieważ porty nie mogą arbitralnie pozyskiwać tego samego adresu mac z innego portu.