Sperando che qualcuno qui possa avere un'idea del problema che stiamo affrontando. Attualmente abbiamo Cisco TAC che sta esaminando il caso, ma stanno lottando per trovare la causa principale.
Sebbene il titolo menzioni la trasmissione ARP e l'utilizzo elevato della CPU, non siamo sicuri se siano correlati o non correlati in questa fase.
Il numero originale è stato pubblicato nella community online di INE
Abbiamo ridotto la rete a un unico collegamento senza installazione di ridondanza, considerandola una topologia a stella.
I fatti:
- Utilizziamo switch 3750x, 4 in uno stack. Versione 15.0 (1) SE3. Cisco TAC non conferma alcun problema noto per bug cpu o ARP elevati per questa particolare versione.
- Nessun hub / switch non gestito collegato
- Stack Core ricaricato
- Non abbiamo una route predefinita "Ip route 0.0.0.0 0.0.0.0 f1 / 0". Utilizzo di OSPF per il routing.
- Vediamo grandi pacchetti di trasmissione da VLAN 1, VLAN 1 utilizzata per dispositivi desktop. Usiamo 192.168.0.0/20
- Cisco TAC ha affermato di non vedere nulla di sbagliato nell'utilizzo di / 20, a parte il fatto che avremmo un dominio di trasmissione di grandi dimensioni, ma dovrebbe comunque funzionare.
- Wifi, gestione, stampanti ecc. Sono tutti su VLAN diverse
- Lo spanning tree è stato verificato da persone qualificate Cisco TAC e CCNP / CCIE. Chiudiamo tutti i collegamenti ridondanti.
- La configurazione sul core è stata verificata Cisco TAC.
- Abbiamo il timeout ARP predefinito sulla maggior parte degli switch.
- Non implementiamo domande e risposte.
- Non sono stati aggiunti nuovi switch (almeno nessuno di cui siamo a conoscenza)
- Impossibile utilizzare l'ispezione arp dinamica sugli interruttori di bordo perché sono 2950
- Abbiamo usato le interfacce show | inc line | broadcast per capire da dove proviene il gran numero di broadcast, tuttavia sia Cisco TAC che altri 2 ingegneri (CCNP e CCIE) hanno confermato che si tratta di un comportamento normale dovuto a ciò che sta accadendo sulla rete (come in un gran numero di Mac Flap causando la trasmissione più grande). Abbiamo verificato che l'STP funzionava correttamente sugli interruttori di bordo.
Sintomi sulla rete e switch:
- Gran numero di alette MAC
- Elevato utilizzo della CPU per il processo di input ARP
- Enorme numero di pacchetti ARP, in rapido aumento e visibile
- Wiresharks mostra che centinaia di computer stanno inondando la rete con ARP Broadcast
- A scopo di test, abbiamo messo circa 80 macchine desktop diverse vlan, tuttavia abbiamo testato questo e non abbiamo fatto alcuna differenza visibile in cpu alto o input arp
- Hanno eseguito diversi AV / malware / spyware, ma nessun virus visibile sulla rete.
- sh mac count della tabella degli indirizzi, ci mostra circa 750 diversi indirizzi mac come previsto su vlan 1.
#sh processes cpu sorted | exc 0.00%
CPU utilization for five seconds: 99%/12%; one minute: 99%; five minutes: 99%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
12 111438973 18587995 5995 44.47% 43.88% 43.96% 0 ARP Input
174 59541847 5198737 11453 22.39% 23.47% 23.62% 0 Hulc LED Process
221 7253246 6147816 1179 4.95% 4.25% 4.10% 0 IP Input
86 5459437 1100349 4961 1.59% 1.47% 1.54% 0 RedEarth Tx Mana
85 3448684 1453278 2373 1.27% 1.04% 1.07% 0 RedEarth I2C dri
- Abbiamo potuto mostrare la tabella degli indirizzi mac su diversi switch e il core stesso (sul core, ad esempio, collegato direttamente dal desktop, il mio desktop) e possiamo vedere i diversi indirizzi hardware MAC registrati sull'interfaccia, anche se l'interfaccia ha un solo computer collegato a questo:
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 001c.c06c.d620 DYNAMIC Gi1/1/3
1 001c.c06c.d694 DYNAMIC Gi1/1/3
1 001c.c06c.d6ac DYNAMIC Gi1/1/3
1 001c.c06c.d6e3 DYNAMIC Gi1/1/3
1 001c.c06c.d78c DYNAMIC Gi1/1/3
1 001c.c06c.d7fc DYNAMIC Gi1/1/3
- mostra l'utilizzo della piattaforma tcam
CAM Utilization for ASIC# 0 Max Used
Masks/Values Masks/values
Unicast mac addresses: 6364/6364 1165/1165
IPv4 IGMP groups + multicast routes: 1120/1120 1/1
IPv4 unicast directly-connected routes: 6144/6144 524/524
IPv4 unicast indirectly-connected routes: 2048/2048 77/77
IPv4 policy based routing aces: 452/452 12/12
IPv4 qos aces: 512/512 21/21
IPv4 security aces: 964/964 45/45
Siamo ora in una fase in cui richiederemo enormi quantità di tempo di inattività per isolare ogni area alla volta, a meno che qualcun altro abbia qualche idea per identificare la causa o la causa principale di questo strano e bizzarro problema.
Aggiornare
Grazie @MikePennington e @RickyBeam per la risposta dettagliata. Proverò a rispondere a ciò che posso.
- Come accennato, 192.168.0.0/20 è un casino ereditato. Tuttavia, intendiamo dividerlo in futuro, ma sfortunatamente questo problema si è verificato prima che potessimo farlo. Personalmente concordo anche con la maggioranza, per cui il dominio di trasmissione è troppo grande.
- L'uso di Arpwatch è sicuramente qualcosa che possiamo provare, ma sospetto che diverse porte di accesso stiano registrando l'indirizzo mac anche se non appartiene a questa porta, la conclusione di arpwatch potrebbe non essere utile.
- Sono completamente d'accordo sul fatto di non essere sicuro al 100% di trovare tutti i collegamenti ridondanti e gli switch sconosciuti sulla rete, ma come meglio della nostra scoperta, questo è il caso fino a quando non troviamo ulteriori prove.
- È stata esaminata la sicurezza dei porti, purtroppo la direzione ha deciso di non utilizzarlo per vari motivi. La ragione comune è che spostiamo costantemente i computer (ambiente universitario).
- Abbiamo utilizzato spf-tree portfast insieme a spanning-tree bpduguard per impostazione predefinita su tutte le porte di accesso (macchine desktop).
- Al momento non utilizziamo switchport non negoziato sulla porta di accesso, ma non stiamo ottenendo alcun attacco di salto di Vlan che rimbalza su Vlan multitple.
- Darà una notifica alla tabella degli indirizzi mac e vedrà se riusciamo a trovare degli schemi.
"Dato che stai ottenendo un gran numero di flap MAC tra gli switchport, è difficile trovare dove si trovano i trasgressori (supponi di trovare due o tre indirizzi mac che inviano molti arp, ma gli indirizzi mac di origine continuano a sbattere tra le porte)."
- Abbiamo iniziato su questo, abbiamo scelto uno qualsiasi dei flap MAC e abbiamo proseguito attraverso lo switch principale fino alla distribuzione allo switch di accesso, ma quello che abbiamo scoperto è stato ancora una volta, l'interfaccia della porta di accesso registrava più indirizzi mac, quindi mac flaps; quindi torniamo al punto di partenza.
- Il controllo della tempesta è qualcosa che abbiamo preso in considerazione, ma temiamo che alcuni pacchetti legittimi vengano eliminati causando ulteriori problemi.
- Controllerà tre volte la configurazione di VMHost.
- @ytti gli indirizzi MAC inspiegabili sono dietro molte porte di accesso piuttosto che un individuo. Non sono stati trovati loop su queste interfacce. Gli indirizzi MAC esistono anche su altre interfacce, il che spiegherebbe un gran numero di flap MAC
- @RickyBeam sono d'accordo sul perché gli host inviano così tante richieste ARP; questo è uno dei problemi enigmatici. Il bridge wireless Rouge è interessante a cui non ho pensato, per quanto ne sappiamo, il wireless è su VLAN diverse; ma canaglia significherà ovviamente che potrebbe essere su VLAN1.
- @RickyBeam, non desidero davvero scollegare tutto perché questo causerà enormi quantità di downtime. Tuttavia, è qui che potrebbe essere diretto. Abbiamo server Linux ma non più di 3.
- @RickyBeam, puoi spiegare il sondaggio "in uso" del server DHCP?
In tutto il mondo (Cisco TAC, CCIE, CCNP) siamo d'accordo sul fatto che questa non è una configurazione dello switch, ma un host / dispositivo sta causando il problema.
switchport port-security aging time 5
e switchport port-security aging type inactivity
significa che è possibile spostare le stazioni tra le porte dopo 5 minuti di inattività o se si cancella manualmente la voce di sicurezza delle porte. Tuttavia, questa configurazione impedisce i flap mac tra le porte di accesso dello switch poiché le porte non possono arbitrariamente generare lo stesso indirizzo mac da una porta diversa.