Một cái gì đó đang lấp đầy bảng lực lượng 10 ARP của tôi


8

Tôi có 2 công tắc Force10 s25 được sử dụng cho một liên kết sợi tối giữa hai tòa nhà trường học. Một trong những thiết bị chuyển mạch của tôi đang lấp đầy bảng ARP của nó đến vành và sau đó không thành công. Điều này có thể xảy ra thường xuyên cứ sau 1,5 giờ. Tôi nhận thấy rằng một trong những địa chỉ trong bộ đệm là một địa chỉ từ bộ lọc web trước đây của chúng tôi đã không trực tuyến trong 6 tháng. Chúng tôi không thể nghĩ ra bất cứ điều gì sẽ giữ bộ đệm ARP nhưng có vẻ như đang cung cấp cho lực lượng 10 của chúng tôi các địa chỉ, nhưng bằng cách chạy tóm tắt arp, đôi khi có tới 50 địa chỉ mới mỗi giây được thêm vào. Tôi nên tìm kiếm gì để tìm ra nơi này đến từ đâu?

Đây là lộ trình ip của tôi được kết nối

MiddleSchool#show ip route connected
   Destination        Gateway                      Dist/Metric Last Change
   -----------        -------                      ----------- -----------
  C    10.4.0.0/16        Direct, Vl 400                       0/0    03:39:18
  C    192.168.1.0/30     Direct, Te 0/28                      0/0    03:39:20

Tuyến tĩnh duy nhất là tuyến mặc định (0.0.0.0 / 0 qua cổng 0-28 tengig) qua liên kết sợi vì tất cả lưu lượng phải rời khỏi công tắc này và đi đến tòa nhà khác để truy cập internet.


4
dựa trên thông tin rất hạn chế mà chúng tôi có bây giờ, tôi đoán tốt nhất là bạn có một máy giả mạo (các) arps để tràn vào bảng địa chỉ mac. Một khả năng khác là một máy có trình ánh xạ virus / worm / mạng có giao diện chuyển tuyến được định cấu hình để sử dụng proxy arp cho độ phân giải bước tiếp theo. Vui lòng chỉnh sửa trong "hiển thị tuyến ip được kết nối" (hoặc bất cứ điều gì bạn sử dụng trên Force10 tương đương với cmd Cisco IOS đó), cũng như bất kỳ tuyến tĩnh nào trỏ đến giao diện được kết nối thay vì địa chỉ ip kế tiếp. Nhìn vào bảng địa chỉ mac của bạn để biết nguồn của nhiều địa chỉ mac nên là một PC.
Mike Pennington

Có bất kỳ mẫu hoặc lặp lại nào trong bảng ARP hoặc phần lớn các mục nhập địa chỉ MAC là ngẫu nhiên không? Có bất kỳ mục thời gian chờ bộ đệm ARP được cấu hình thủ công nào ngoài các mặc định (thường là bốn giờ) không? Có bất kỳ công tắc hạ nguồn nào có khả năng bị lặp không? Nó có thể có giá trị truy tìm xuống cạnh nếu có công tắc hạ lưu.
giờ

Các thiết bị chuyển mạch dường như đang nhận được một cơn bão phát sóng, nhưng chúng ta không thể xác định chính xác nó. Chúng tôi đã rút mọi kết nối để xem liệu có bất cứ điều gì sẽ khiến hoạt động mạnh mẽ dừng lại hoặc chậm lại nhưng chúng tôi đã không thành công. Nếu tôi nhìn vào bảng ARP, phần khác thường là nó đang lưu địa chỉ internet cho các địa chỉ IP và tất cả chúng đều được liên kết với địa chỉ MAC của công tắc. Mạng của chúng tôi là 10,4.0.0 / 16 trong tòa nhà này và thậm chí chúng tôi sẽ thấy các địa chỉ giống như 10,85. *, Rất gần với mạng con của chúng tôi. Ngoài ra còn có 192.168 địa chỉ bên ngoài tuyến đường liên kết của chúng tôi hiển thị.
MooseBalm

Câu trả lời:


6

Tôi đã xem xét các cấu hình trong câu hỏi tràn ngăn xếp của bạn .

Bằng cách xem xét, đây là cấu trúc liên kết của bạn ...

      Ten0/28  Ten0/28
Bldg_L----------------Bldg_S
F10 S25               F10 S25
  |                     |
  Vlan200               Vlan400
  10.2.0.101            10.4.0.101/16

Vấn đề là việc xây dựng các ARP proxy chuyển đổi của L để giải quyết 10.4.0.0/16và xây dựng các ARP proxy chuyển đổi của S cho 10.2.0.0/16... giao diện TenGig0 / 28 (liên kết chuyển tiếp giữa các tòa nhà) đang trả lời các yêu cầu ARP proxy. Xóa các thống kê 10 mạng đó và sử dụng ...

  • Tòa nhà L: ip route 10.4.0.0 255.255.0.0 192.168.1.2
  • Các tòa nhà: ip route 10.2.0.0 255.255.0.0 192.168.1.1

Lý do mà một tuyến đường như ip route 10.4.0.0 255.255.0.0 TenGigabit0/28proxy-ARP là vì về cơ bản bạn đang nói với công tắc rằng toàn bộ mạng con / 16 được kết nối trực tiếp với TenGigabit0 / 28 khi bạn định tuyến giao diện như thế này. Sử dụng IP next-hop chỉ yêu cầu một mục ARP cho next-hop cụ thể đó.

Bạn có thể cần phải chuyển cổng mặc định sang giao diện mới trên công tắc Building L, vì vậy toàn bộ mạng con có thể mặc định thông qua 10.2.0.101 và đạt tới 10.4.0.0/16 hoặc internet.

Rất tiếc phải nói điều đó, nhưng bạn đang để ngỏ cho các vấn đề cạn kiệt tài nguyên ARP khi bạn gán a / 16 làm mạng con được kết nối ... ARP là một giao thức không được xác thực và bất kỳ ai trong mạng LAN đều có thể tràn ngập chuyển đổi với ARP và nó có không có lựa chọn nào ngoài việc lưu trữ / trả lời chúng ... ngay cả đối với các địa chỉ ảo.

Chủ động, bạn có thể xem xét DHCP snooping và kiểm tra ARP động, nếu phiên bản FTOS của bạn hỗ trợ. Các tính năng này thường yêu cầu một số suy nghĩ và thử nghiệm trước khi triển khai; tuy nhiên chúng rất đáng để sử dụng nếu bạn có 100 trẻ em không có gì thú vị hơn là thể hiện kỹ năng "hack" của chúng. Tôi đã thực hiện một tìm kiếm nhanh để xem Force10 có hỗ trợ những gì Cisco gọi là bảo mật cổng hay không, nhưng tôi không thể tìm thấy nó; bảo mật cổng có thể được sử dụng để giới hạn số lượng máy Mac đã học trên một cổng chuyển đổi.


Tôi muốn nói rằng nó gần với phạm vi của chúng tôi. Tôi biết nó không có trong mạng con, đó là lỗi của tôi. Phạm vi DHCP của chúng tôi trong tòa nhà này là 10,4.50.1-10.4.51.254, vì vậy, 10,85. * Không phải là địa chỉ dhcp mà chúng tôi sẽ phát hành. Tôi đã thay đổi các tuyến đường để họ sử dụng địa chỉ IP thay vì cổng. Tôi không thể ngắt kết nối mọi thứ cho đến tối nay, nhưng hiện tại bảng địa chỉ MAC đang ở 246 địa chỉ động và 0 địa chỉ tĩnh hoặc dính.
MooseBalm

Sau khi thay đổi các tuyến đường, điều đó dường như đã sửa nó. Nếu có bất cứ điều gì thay đổi, tôi sẽ cập nhật bài viết, nhưng hiện tại bảng ARP của tôi đang ở mức 230 bản ghi và đã không nhảy từ đó trong 10 phút. Cảm ơn nhiều. Sự giúp đỡ của bạn đã được đánh giá cao
MooseBalm
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.