何かがforce10 ARPテーブルをいっぱいにしています

8

2つの校舎間のダークファイバーリンクに使用される2つのforce10 s25スイッチがあります。私のスイッチの1つは、ARPテーブルを一杯にしてから失敗します。これは1.5時間ごとに発生する可能性があります。キャッシュ内のアドレスの1つが、以前のWebフィルターからのアドレスで、6か月間オンラインになっていないことに気付きました。ARPキャッシュを保持するものは考えられませんが、何かがforce10にアドレスを供給しているようですが、show arp summaryを実行すると、1秒あたり最大50個の新しいアドレスが追加されることがあります。これがどこから来ているのかを知るために私は何を探すべきですか?

接続されている私のshow ip routeはここにあります

MiddleSchool#show ip route connected
   Destination        Gateway                      Dist/Metric Last Change
   -----------        -------                      ----------- -----------
  C    10.4.0.0/16        Direct, Vl 400                       0/0    03:39:18
  C    192.168.1.0/30     Direct, Te 0/28                      0/0    03:39:20

すべてのトラフィックがこのスイッチを出て、他の建物に行き、インターネットに到達する必要があるため、唯一の静的ルートは、ファイバーリンク上のデフォルトルート(tengig 0/28ポート上の0.0.0.0 / 0)です。

switch  routing  router  ethernet  arp 
ムースバーム
ソース
4
私たちが現在持っている非常に限られた情報に基づいて、私の最良の推測は、あなたがMACアドレステーブルをオーバーフローさせるためにarpをスプーフィングするマシンを持っていることです。別の可能性は、ネクストホップ解決にプロキシarpを使用するように構成されたインターフェースを通過するウイルス/ワーム/ネットワークマッパーを備えたマシンです。「show ip route connected」(またはForce10でそのCisco IOSコマンドと同等のものとして使用するもの)だけでなく、ネクストホップIPアドレスではなく接続されたインターフェイスを指す静的ルートを編集してください。1台のPCであるはずの多くのMACアドレスのソースについては、MACアドレステーブルを確認してください。
マイクペニントン
ARPテーブルにパターンや繰り返しはありますか、またはMACアドレスエントリの大部分はランダムですか?デフォルト(通常は4時間)を超える手動で構成されたARPキャッシュタイムアウトエントリはありますか?ループする可能性のあるダウンストリームスイッチはありますか?ダウンストリームスイッチがある場合は、エッジまでトレースする価値があります。
one.time
スイッチはブロードキャストストームを受信して​​いるようですが、特定できません。すべての接続を外して、何かが激しい活動を停止または減速させる原因となるかどうかを確認しましたが、失敗しました。ARPテーブルを見ると、異常なのは、IPアドレスのインターネットアドレスが格納されており、すべてスイッチのMACアドレスにリンクされていることです。この建物のネットワークは10.4.0.0 / 16であり、サブネットに非常に近い10.4.85。*のようなアドレスも表示されます。リンクルートの外側に192.168アドレスも表示されています。
MooseBalm 2013

回答:

6

私はあなたのスタックオーバーフローの質問で設定を見ました。

復習すると、これはトポロジーです...

      Ten0/28  Ten0/28
Bldg_L----------------Bldg_S
F10 S25               F10 S25
  |                     |
  Vlan200               Vlan400
  10.2.0.101            10.4.0.101/16

問題は、LのスイッチプロキシARPを10.4.0.0/16構築してSのスイッチプロキシARPを解決して構築すること10.2.0.0/16です。インターフェースTenGig0 / 28(建物間のトランジットリンク)がプロキシARP要求に応答しています。それらの10ネットスタティックを削除して使用してください...

  • L棟: ip route 10.4.0.0 255.255.0.0 192.168.1.2
  • S棟: ip route 10.2.0.0 255.255.0.0 192.168.1.1

ip route 10.4.0.0 255.255.0.0 TenGigabit0/28プロキシARPのようなルートを使用するのは、このようなインターフェイスから静的ルートを使用する場合、/ 16サブネット全体がTenGigabit0 / 28に直接接続されていることをスイッチに本質的に伝えるためです。IPネクストホップを使用するには、その特定のネクストホップのARPエントリのみが必要です。

おそらく、デフォルトゲートウェイをビルディングLスイッチの新しいインターフェイスに移動する必要があるため、サブネット全体がデフォルトで10.2.0.101を通過し、10.4.0.0 / 16またはインターネットに到達できます。

申し訳ありませんが、接続されたサブネットとして/ 16を割り当てると、ARPリソース枯渇の問題が発生する可能性があります... ARPは認証されていないプロトコルであり、LAN上の誰でもスイッチにARPをフラッディングできます。それらをキャッシュ/応答する以外に選択肢はありません...ファントムアドレスについてもです。

ご使用のバージョンのFTOSがDHCPスヌーピングとダイナミックARPインスペクションをサポートしている場合は、プロアクティブに検討することができます。これらの機能は通常、展開前にいくつかの検討とテストを必要とします。ただし、何百人もの子供が "ハッキング"スキルを披露するよりも刺激的でない場合は、これらを使用する価値があります。Force10がシスコがポートセキュリティと呼んでいるものをサポートしているかどうかを確認するために簡単な検索を行いましたが、見つかりませんでした。ポートセキュリティを使用して、スイッチポートで学習するMacの数を制限できます。

マイク・ペニントン
ソース
それは私たちの範囲に近いと言っていました。私はそれがサブネットにないことを知っています、それは私のせいです。この建物のDHCPスコープは10.4.50.1-10.4.51.254であるため、10.4.85。*は発行するdhcpアドレスではありません。ゲートウェイの代わりにIPアドレスを使用するようにルートを変更しました。今夜まですべてを切断することはできませんが、現在、MACアドレステーブルは246の動的アドレスと0の静的またはスティッキアドレスにあります。
MooseBalm 2013
ルートを変更した後、それはそれを修正したようです。何か変更があった場合は投稿を更新しますが、今のところ、ARPテーブルは230レコードあり、10分経ってもそこからジャンプしていません。どうもありがとう。あなたの助けは大いに感謝されました。
MooseBalm 2013
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.