Qualcosa sta riempiendo la mia tabella ARP force10

Ho 2 interruttori force10 s25 che vengono utilizzati per un collegamento in fibra scura tra due edifici scolastici. Uno dei miei switch sta riempiendo la sua tabella ARP fino all'orlo e poi fallendo. Questo può accadere ogni 1,5 ore. Ho notato che uno degli indirizzi nella cache è un indirizzo del nostro filtro web precedente che non era online da 6 mesi. Non possiamo pensare a nulla che possa contenere una cache ARP ma qualcosa sembra alimentare la nostra forza10 con indirizzi, ma eseguendo show arp summary, a volte vengono aggiunti fino a 50 nuovi indirizzi al secondo. Cosa dovrei cercare per capire da dove proviene?

Ecco il mio percorso IP Show collegato

MiddleSchool#show ip route connected
   Destination        Gateway                      Dist/Metric Last Change
   -----------        -------                      ----------- -----------
  C    10.4.0.0/16        Direct, Vl 400                       0/0    03:39:18
  C    192.168.1.0/30     Direct, Te 0/28                      0/0    03:39:20

L'unica route statica è la route predefinita (0.0.0.0 / 0 sulla porta tengig 0/28) sul collegamento in fibra poiché tutto il traffico deve lasciare questo switch e andare all'altro edificio per raggiungere Internet.

— MooseBalm
fonte

sulla base delle informazioni molto limitate che abbiamo ora, la mia ipotesi migliore è che tu abbia una macchina (e) archi di spoofing per traboccare la tabella degli indirizzi mac. Un'altra possibilità è una macchina con un mappatore di virus / worm / rete che trasferisca interfacce configurate per utilizzare proxy arp per la risoluzione dell'hop successivo. Modifica in "mostra route ip connessa" (o qualsiasi altra cosa usi su Force10 come l'equivalente di quel cmd Cisco IOS), nonché qualsiasi route statica che punti a un'interfaccia connessa anziché a un indirizzo ip successivo. Guarda la tua tabella degli indirizzi mac per l'origine di molti indirizzi mac che dovrebbero essere un singolo PC.

— Mike Pennington,

Ci sono modelli o ripetizioni nella tabella ARP o la maggior parte delle voci degli indirizzi MAC sono casuali? Esistono voci di timeout della cache ARP configurate manualmente oltre ai valori predefiniti (che in genere sono quattro ore)? Ci sono interruttori a valle che potrebbero essere potenzialmente collegati in loop? Potrebbe valere la pena risalire fino al bordo se ci sono interruttori a valle.

— one.time

Gli switch sembrano ricevere una tempesta di trasmissione, ma non possiamo individuarlo. Abbiamo disconnesso ogni connessione per vedere se qualcosa avrebbe causato l'interruzione o il rallentamento dell'attività intensa, ma non abbiamo avuto successo. Se osservo la tabella ARP, la parte insolita è che memorizza gli indirizzi Internet per gli indirizzi IP e sono tutti collegati all'indirizzo MAC dello switch. La nostra rete è 10.4.0.0 / 16 in questo edificio e vedremo persino indirizzi simili a 10.4.85. *, Molto vicini alla nostra sottorete. Ci sono anche 192.168 indirizzi al di fuori del nostro percorso di link.

— MooseBalm,

Ho esaminato le configurazioni nella tua domanda di overflow dello stack .

A titolo di revisione, questa è la tua topologia ...

      Ten0/28  Ten0/28
Bldg_L----------------Bldg_S
F10 S25               F10 S25
  |                     |
  Vlan200               Vlan400
  10.2.0.101            10.4.0.101/16

Il problema è che la costruzione di switch-ARP dello switch L per risolvere 10.4.0.0/16e la creazione di switch-ARP dello switch S per 10.2.0.0/16... l'interfaccia TenGig0 / 28 (il tuo collegamento di transito tra gli edifici) sta rispondendo alle richieste proxy-ARP. Rimuovi quelle statistiche da 10 net e usa ...

Edificio L: ip route 10.4.0.0 255.255.0.0 192.168.1.2
Edificio S: ip route 10.2.0.0 255.255.0.0 192.168.1.1

Il motivo per cui una route come ip route 10.4.0.0 255.255.0.0 TenGigabit0/28proxy-ARP è perché stai essenzialmente dicendo allo switch che l'intera sottorete / 16 è direttamente connessa a TenGigabit0 / 28 quando instradi staticamente un'interfaccia come questa. L'uso di un hop successivo IP richiede solo una voce ARP per quel hop successivo specifico.

Probabilmente dovrai spostare il gateway predefinito su una nuova interfaccia sullo switch Building L, quindi l'intera sottorete può essere impostata automaticamente su 10.2.0.101 e raggiungere 10.4.0.0/16 o Internet.

Mi dispiace dirlo, ma ti stai lasciando completamente aperto ai problemi di esaurimento delle risorse ARP quando assegni un / 16 come sottorete connessa ... ARP è un protocollo non autenticato e chiunque sulla LAN può inondare lo switch con ARP e ha non c'è altra scelta che memorizzare nella cache / rispondere ... anche per gli indirizzi fantasma.

In modo proattivo, potresti considerare lo snooping DHCP e l'ispezione ARP dinamica, se la tua versione di FTOS lo supporta. Queste funzionalità normalmente richiedono alcune considerazioni e test prima della distribuzione; comunque vale la pena usarli se hai centinaia di bambini con niente di più eccitante che mostrare le loro abilità di "hacking". Ho fatto una rapida ricerca per vedere se Force10 supporta ciò che Cisco chiama sicurezza delle porte, ma non sono riuscito a trovarlo; la sicurezza della porta può essere utilizzata per limitare il numero di mac appresi su una porta dello switch.

— Mike Pennington
fonte

Intendevo dire che era vicino al nostro scopo. So che non è nella sottorete, è colpa mia. Il nostro ambito DHCP in questo edificio è 10.4.50.1-10.4.51.254, quindi il 10.4.85. * Non è un indirizzo dhcp che emetteremmo. Ho modificato i percorsi in modo che utilizzino gli indirizzi IP anziché il gateway. Non riesco a disconnettere tutto fino a stasera, ma attualmente la tabella degli indirizzi MAC è a 246 indirizzi dinamici e 0 indirizzi statici o appiccicosi.

— MooseBalm,

Dopo aver modificato i percorsi, sembra averlo corretto. Se qualcosa cambia, aggiornerò il post, ma per ora il mio tavolo ARP è seduto a 230 record e non è passato da lì in 10 minuti. Grazie molto. Il tuo aiuto è stato molto apprezzato.

— MooseBalm,