Algo está llenando mi tabla force10 ARP

8

Tengo 2 interruptores force10 s25 que se utilizan para un enlace de fibra oscura entre dos edificios escolares. Uno de mis interruptores está llenando su tabla ARP hasta el borde y luego falla. Esto puede suceder tan a menudo como cada 1,5 horas. Noté que una de las direcciones en el caché es una dirección de nuestro filtro web anterior que no ha estado en línea en 6 meses. No podemos pensar en nada que contenga un caché ARP, pero algo parece estar alimentando a nuestra fuerza10 con direcciones, pero al ejecutar show arp summary, a veces se agregan hasta 50 nuevas direcciones por segundo. ¿Qué debería estar buscando para averiguar de dónde viene esto?

Aquí está mi ruta show ip conectada

MiddleSchool#show ip route connected
   Destination        Gateway                      Dist/Metric Last Change
   -----------        -------                      ----------- -----------
  C    10.4.0.0/16        Direct, Vl 400                       0/0    03:39:18
  C    192.168.1.0/30     Direct, Te 0/28                      0/0    03:39:20

La única ruta estática es la ruta predeterminada (0.0.0.0 / 0 a través del puerto tengig 0/28) a través del enlace de fibra, ya que todo el tráfico debe abandonar este conmutador e ir al otro edificio para llegar a Internet.

switch routing router ethernet arp MooseBalm
fuente
44
basado en la información muy limitada que tenemos ahora, mi mejor conjetura es que tiene una máquina (s) falsificando arps para desbordar la tabla de direcciones mac. Otra posibilidad es una máquina con un mapeador de virus / gusano / red que transmite interfaces configuradas para usar proxy arp para la resolución del próximo salto. Edite en "Mostrar ruta IP conectada" (o lo que sea que use en Force10 como el equivalente de ese cmd Cisco IOS), así como cualquier ruta estática que apunte a una interfaz conectada en lugar de una dirección IP de siguiente salto. Mire en su tabla de direcciones de Mac la fuente de muchas direcciones de Mac que deberían ser una sola PC.
Mike Pennington
¿Hay patrones o repeticiones en la tabla ARP o la mayoría de las entradas de direcciones MAC son aleatorias? ¿Hay entradas de tiempo de espera de caché ARP configuradas manualmente más allá de los valores predeterminados (que generalmente son cuatro horas)? ¿Hay algún conmutador aguas abajo que se pueda conectar potencialmente? Puede valer la pena rastrear hasta el borde si hay interruptores aguas abajo.
one.time
Los interruptores parecen estar recibiendo una tormenta de transmisión, pero no podemos identificarlo. Desconectamos todas las conexiones para ver si algo causaría que la actividad intensa se detuviera o se ralentizara, pero no tuvimos éxito. Si miro la tabla ARP, la parte inusual es que está almacenando direcciones de Internet para las direcciones IP y todas están vinculadas a la dirección MAC del conmutador. Nuestra red es 10.4.0.0 / 16 en este edificio, e incluso veremos direcciones que son algo así como 10.4.85. *, Muy cerca de nuestra subred. También se muestran 192.168 direcciones fuera de nuestra ruta de enlace.
MooseBalm

Respuestas:

6

Miré las configuraciones en su pregunta de desbordamiento de pila .

A modo de revisión, esta es su topología ...

      Ten0/28  Ten0/28
Bldg_L----------------Bldg_S
F10 S25               F10 S25
  |                     |
  Vlan200               Vlan400
  10.2.0.101            10.4.0.101/16

El problema es que la construcción de los proxy-ARP de L para resolver 10.4.0.0/16y la construcción de los proxy-ARP de S para 10.2.0.0/16... la interfaz TenGig0 / 28 (su enlace de tránsito entre los edificios) responde a las solicitudes de proxy-ARP. Elimine esas estadísticas de 10 redes y use ...

  • Edificio L: ip route 10.4.0.0 255.255.0.0 192.168.1.2
  • Edificio S: ip route 10.2.0.0 255.255.0.0 192.168.1.1

La razón por la que una ruta como ip route 10.4.0.0 255.255.0.0 TenGigabit0/28proxy-ARPs es porque esencialmente le está diciendo al conmutador que toda la subred / 16 está directamente conectada a TenGigabit0 / 28 cuando está enrutando estáticamente una interfaz como esta. El uso de un próximo salto de IP solo requiere una entrada ARP para ese próximo salto específico.

Probablemente necesite mover la puerta de enlace predeterminada a una nueva interfaz en el conmutador Building L, por lo que toda la subred puede predeterminar hasta 10.2.0.101 y llegar a 10.4.0.0/16 o Internet.

Lamento decirlo, pero se está dejando abierto a los problemas de agotamiento de recursos ARP cuando asigna un / 16 como una subred conectada ... ARP es un protocolo no autenticado, y cualquier persona en la LAN puede inundar el conmutador con ARP y tiene no hay más remedio que almacenarlos en caché / responderlos ... incluso para direcciones fantasmas.

Proactivamente, puede considerar la inspección DHCP y la inspección ARP dinámica, si su versión de FTOS lo admite. Estas características normalmente requieren un poco de reflexión y pruebas antes de la implementación; sin embargo, vale la pena usarlos si tienes cientos de niños con nada más emocionante que mostrar sus habilidades de "pirateo". Hice una búsqueda rápida para ver si Force10 admite lo que Cisco llama seguridad de puerto, pero no pude encontrarlo; la seguridad del puerto se puede usar para limitar la cantidad de equipos Mac aprendidos en un puerto del conmutador.

Mike Pennington
fuente
Quise decir que estaba cerca de nuestro alcance. Sé que no está en la subred, es mi culpa. Nuestro alcance de DHCP en este edificio es 10.4.50.1-10.4.51.254, por lo que 10.4.85. * No es una dirección dhcp que emitiríamos. He cambiado las rutas para que usen las direcciones IP en lugar de la puerta de enlace. No puedo desconectar todo hasta esta noche, pero actualmente la tabla de direcciones MAC está en 246 direcciones dinámicas y 0 direcciones estáticas o fijas.
MooseBalm
Después de cambiar las rutas, eso parece haberlo solucionado. Si algo cambia, actualizaré la publicación, pero por ahora mi tabla ARP está en 230 registros y no ha saltado desde allí en 10 minutos. Muchas gracias. Tu ayuda ha sido muy apreciada.
MooseBalm