Sesuatu sedang mengisi tabel ARP force10 saya

8

Saya memiliki 2 saklar force10 s25 yang digunakan untuk tautan serat gelap antara dua gedung sekolah. Salah satu switch saya mengisi tabel ARP sampai penuh dan kemudian gagal. Ini dapat terjadi sesering setiap 1,5 jam. Saya perhatikan bahwa salah satu alamat dalam cache adalah alamat dari filter web kami sebelumnya yang belum online dalam 6 bulan. Kami tidak dapat memikirkan apa pun yang akan menahan cache ARP tetapi sesuatu tampaknya memberi makan force10 kami dengan alamat, tetapi dengan menjalankan ringkasan acara arp, kadang-kadang hingga 50 alamat baru per detik ditambahkan. Apa yang harus saya cari untuk mencari tahu dari mana ini berasal?

Ini adalah show ip route saya yang terhubung

MiddleSchool#show ip route connected
   Destination        Gateway                      Dist/Metric Last Change
   -----------        -------                      ----------- -----------
  C    10.4.0.0/16        Direct, Vl 400                       0/0    03:39:18
  C    192.168.1.0/30     Direct, Te 0/28                      0/0    03:39:20

Satu-satunya rute statis adalah rute default (0.0.0.0 / 0 di atas pelabuhan tengig 0/28) melalui fiber link karena semua lalu lintas harus meninggalkan switch ini dan pergi ke gedung lain untuk mencapai internet.

switch routing router ethernet arp MooseBalm
sumber
4
berdasarkan informasi yang sangat terbatas yang kami miliki sekarang, tebakan terbaik saya adalah Anda memiliki mesin spoofing arps untuk melimpah tabel alamat mac. Kemungkinan lain adalah mesin dengan virus / worm / network mapper yang mengkonfigurasi antarmuka transit untuk menggunakan proxy arp untuk resolusi next-hop. Harap edit di "tampilkan rute ip yang terhubung" (atau apa pun yang Anda gunakan di Force10 sebagai setara dengan Cisco IOS cmd), serta rute statis yang mengarah ke antarmuka yang terhubung, bukan ke alamat ip next-hop. Lihatlah tabel alamat mac Anda untuk sumber dari banyak alamat mac yang seharusnya menjadi PC tunggal.
Mike Pennington
Apakah ada pola atau pengulangan dalam tabel ARP atau sebagian besar entri alamat MAC acak? Apakah ada entri batas waktu cache ARP yang dikonfigurasi secara manual di luar standar (yang biasanya empat jam)? Apakah ada switch hilir yang berpotensi diulang? Mungkin perlu ditelusuri ke tepi jika ada switch hilir.
one.time
Sakelar tampaknya menerima badai siaran, tetapi kami tidak dapat menunjukkan dengan tepat. Kami mencabut setiap koneksi untuk melihat apakah ada sesuatu yang menyebabkan aktivitas yang intens berhenti atau melambat tetapi kami tidak berhasil. Jika saya melihat tabel ARP, bagian yang tidak biasa adalah bahwa ia menyimpan alamat internet untuk alamat IP dan mereka semua ditautkan ke alamat MAC saklar. Jaringan kami adalah 10.4.0.0 / 16 di gedung ini, dan kami bahkan akan melihat alamat yang kira-kira seperti 10.4.85. *, Sangat dekat dengan subnet kami. Ada juga 192.168 alamat di luar rute yang ditampilkan juga.
MooseBalm

Jawaban:

6

Saya melihat konfigurasi dalam pertanyaan stack overflow Anda .

Dengan ulasan, ini adalah topologi Anda ...

      Ten0/28  Ten0/28
Bldg_L----------------Bldg_S
F10 S25               F10 S25
  |                     |
  Vlan200               Vlan400
  10.2.0.101            10.4.0.101/16

Masalahnya adalah membangun proxy-ARP switch L untuk menyelesaikan 10.4.0.0/16dan membangun proxy-ARP switch S untuk 10.2.0.0/16... antarmuka TenGig0 / 28 (tautan transit Anda di antara bangunan) menjawab permintaan proxy-ARP. Hapus statika 10-net dan gunakan ...

  • Gedung L: ip route 10.4.0.0 255.255.0.0 192.168.1.2
  • Membangun S: ip route 10.2.0.0 255.255.0.0 192.168.1.1

Alasan bahwa rute seperti ip route 10.4.0.0 255.255.0.0 TenGigabit0/28proxy-ARP adalah karena Anda pada dasarnya memberi tahu saklar bahwa seluruh / 16 subnet terhubung langsung ke TenGigabit0 / 28 ketika Anda statis merutekan antarmuka seperti ini. Menggunakan IP next-hop hanya membutuhkan entri ARP untuk next-hop tertentu.

Anda mungkin perlu memindahkan gateway default ke antarmuka baru pada switch Building L, sehingga seluruh subnet dapat default melalui 10.2.0.101 dan mencapai 10.4.0.0/16 atau internet.

Maaf untuk mengatakannya, tetapi Anda membiarkan diri Anda terbuka lebar untuk masalah kelelahan sumber daya ARP ketika Anda menetapkan / 16 sebagai subnet yang terhubung ... ARP adalah protokol yang tidak diautentikasi, dan siapa pun di LAN dapat membanjiri saklar dengan ARP dan memiliki tidak ada pilihan selain untuk cache / menjawabnya ... bahkan untuk alamat hantu.

Secara proaktif, Anda dapat mempertimbangkan pengawasan DHCP dan inspeksi ARP dinamis, jika versi FTOS Anda mendukungnya. Fitur ini biasanya memerlukan beberapa pemikiran dan pengujian sebelum penyebaran; Namun mereka layak digunakan jika Anda memiliki 100 anak-anak dengan tidak lebih menarik daripada memamerkan keterampilan "meretas" mereka. Saya melakukan pencarian cepat untuk melihat apakah Force10 mendukung apa yang disebut Cisco keamanan pelabuhan, tetapi saya tidak dapat menemukannya; keamanan port dapat digunakan untuk membatasi jumlah mac yang dipelajari pada port switch.

Mike Pennington
sumber
Saya bermaksud mengatakan bahwa itu dekat dengan ruang lingkup kami. Saya tahu itu bukan di subnet, itu salah saya. Ruang lingkup DHCP kami di gedung ini adalah 10.4.50.1-10.4.51.254, jadi 10.4.85. * Bukan alamat dhcp yang akan kami terbitkan. Saya telah mengubah rute sehingga mereka menggunakan alamat IP, bukan gateway. Saya tidak bisa memutuskan semuanya sampai malam ini, tetapi saat ini tabel alamat MAC di 246 alamat dinamis, dan 0 alamat statis atau lengket.
MooseBalm
Setelah mengubah rute, itu sepertinya telah memperbaikinya. Jika ada perubahan, saya akan memperbarui posting, tetapi untuk saat ini tabel ARP saya duduk di 230 catatan dan belum melompat dari sana dalam 10 menit. Terimakasih banyak. Bantuan Anda sangat kami hargai.
MooseBalm