Hy vọng ai đó ở đây có thể có một số hiểu biết về vấn đề chúng ta đang phải đối mặt. Hiện tại chúng tôi có Cisco TAC đang xem xét vụ việc nhưng họ đang vật lộn để tìm ra nguyên nhân gốc rễ.
Mặc dù tiêu đề đề cập đến phát sóng ARP và sử dụng CPU cao, chúng tôi không chắc chắn liệu chúng có liên quan hay không liên quan ở giai đoạn này hay không.
Vấn đề ban đầu đã được đăng trên Cộng đồng trực tuyến INE
Chúng tôi đã loại bỏ mạng xuống một liên kết duy nhất không có thiết lập dự phòng, hãy nghĩ về nó như một cấu trúc liên kết sao.
Sự thật:
- Chúng tôi sử dụng các công tắc 3750x, 4 trong một ngăn xếp. Phiên bản 15.0 (1) SE3. Cisco TAC xác nhận không có sự cố đã biết đối với các lỗi cpu hoặc ARP cao cho phiên bản cụ thể này.
- Không có trung tâm / công tắc không được quản lý kết nối
- Tải lại lõi ngăn xếp
- Chúng tôi không có tuyến đường mặc định "Tuyến đường Ip 0.0.0.0 0.0.0.0 f1 / 0". Sử dụng OSPF để định tuyến.
- Chúng tôi thấy các gói phát sóng lớn từ Vlan 1, Vlan 1 được sử dụng cho các thiết bị máy tính để bàn. Chúng tôi sử dụng 192.168.0.0/20
- Cisco TAC cho biết họ không thấy có gì sai khi sử dụng / 20, ngoài ra chúng tôi sẽ có một miền quảng bá lớn nhưng vẫn hoạt động.
- Wifi, quản lý, máy in, v.v ... đều có trên các Vlan khác nhau
- Cây kéo dài đã được xác nhận bởi các cá nhân đủ điều kiện của Cisco TAC & CCNP / CCIE. Chúng tôi tắt tất cả các liên kết dư thừa.
- Cấu hình trên lõi đã được xác minh Cisco TAC.
- Chúng tôi có thời gian chờ ARP mặc định trên phần lớn các thiết bị chuyển mạch.
- Chúng tôi không thực hiện Q & Q.
- Không có công tắc mới nào được thêm vào (ít nhất là không có công tắc nào chúng tôi biết)
- Không thể sử dụng kiểm tra arp động trên các công tắc cạnh vì đây là 2950
- Chúng tôi sử dụng giao diện hiển thị | inc line | phát sóng để tìm ra số lượng phát sóng lớn đến từ đâu, tuy nhiên cả Cisco TAC và 2 kỹ sư khác (CCNP & CCIE) đều xác nhận đây là hành vi bình thường do những gì đang xảy ra trên mạng (như trong số lượng lớn các vạt mac gây ra sự phát sóng lớn hơn). Chúng tôi đã xác minh STP đã hoạt động chính xác trên các công tắc cạnh.
Các triệu chứng trên mạng và thiết bị chuyển mạch:
- Số lượng lớn nắp MAC
- Sử dụng CPU cao cho quá trình nhập ARP
- Số lượng lớn các gói ARP, tăng nhanh và có thể nhìn thấy
- Wiresharks cho thấy 100 máy tính đang tràn ngập mạng với ARP Broadcast
- Đối với mục đích thử nghiệm, chúng tôi đã đặt khoảng 80 máy tính để bàn khác nhau, tuy nhiên chúng tôi đã thử nghiệm điều này và không có sự khác biệt rõ ràng nào với đầu vào cpu hoặc arp cao
- Đã chạy AV / phần mềm độc hại / phần mềm gián điệp khác nhau, nhưng không có vi-rút hiển thị trên mạng.
- Số lượng bảng địa chỉ sh mac, hiển thị cho chúng tôi khoảng 750 địa chỉ mac khác nhau như mong đợi trên vlan 1.
#sh processes cpu sorted | exc 0.00%
CPU utilization for five seconds: 99%/12%; one minute: 99%; five minutes: 99%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
12 111438973 18587995 5995 44.47% 43.88% 43.96% 0 ARP Input
174 59541847 5198737 11453 22.39% 23.47% 23.62% 0 Hulc LED Process
221 7253246 6147816 1179 4.95% 4.25% 4.10% 0 IP Input
86 5459437 1100349 4961 1.59% 1.47% 1.54% 0 RedEarth Tx Mana
85 3448684 1453278 2373 1.27% 1.04% 1.07% 0 RedEarth I2C dri
- Ran hiển thị bảng địa chỉ mac trên các công tắc và lõi khác nhau (ví dụ, trên lõi, được cắm trực tiếp bởi máy tính để bàn, máy tính để bàn của tôi) và chúng ta có thể thấy một số địa chỉ phần cứng MAC khác nhau được đăng ký vào giao diện, mặc dù giao diện đó có chỉ có một máy tính gắn liền với điều này:
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 001c.c06c.d620 DYNAMIC Gi1/1/3
1 001c.c06c.d694 DYNAMIC Gi1/1/3
1 001c.c06c.d6ac DYNAMIC Gi1/1/3
1 001c.c06c.d6e3 DYNAMIC Gi1/1/3
1 001c.c06c.d78c DYNAMIC Gi1/1/3
1 001c.c06c.d7fc DYNAMIC Gi1/1/3
- hiển thị nền tảng sử dụng tcam
CAM Utilization for ASIC# 0 Max Used
Masks/Values Masks/values
Unicast mac addresses: 6364/6364 1165/1165
IPv4 IGMP groups + multicast routes: 1120/1120 1/1
IPv4 unicast directly-connected routes: 6144/6144 524/524
IPv4 unicast indirectly-connected routes: 2048/2048 77/77
IPv4 policy based routing aces: 452/452 12/12
IPv4 qos aces: 512/512 21/21
IPv4 security aces: 964/964 45/45
Bây giờ chúng ta đang ở giai đoạn mà chúng ta sẽ cần một lượng lớn thời gian chết để cô lập từng khu vực trừ khi bất kỳ ai khác có một số ý tưởng để xác định nguồn gốc hoặc nguyên nhân gốc rễ của vấn đề kỳ lạ và kỳ quái này.
Cập nhật
Cảm ơn bạn @MikePennington và @RickyBeam đã trả lời chi tiết. Tôi sẽ cố gắng và trả lời những gì tôi có thể.
- Như đã đề cập, 192.168.0.0/20 là một mớ hỗn độn được kế thừa. Tuy nhiên, chúng tôi có ý định chia tách điều này trong tương lai nhưng không may vấn đề này xảy ra trước khi chúng tôi có thể làm điều này. Cá nhân tôi cũng đồng ý với đa số, theo đó, miền phát sóng quá lớn.
- Sử dụng Arpwatch chắc chắn là điều chúng tôi có thể thử nhưng tôi nghi ngờ vì một số cổng truy cập đang đăng ký địa chỉ mac mặc dù nó không thuộc về cổng này, kết luận của arpwatch có thể không hữu ích.
- Tôi hoàn toàn đồng ý với việc không chắc chắn 100% khi tìm thấy tất cả các liên kết dự phòng và các công tắc không xác định trên mạng, nhưng theo kết quả tốt nhất của chúng tôi, đây là trường hợp cho đến khi chúng tôi tìm thấy bằng chứng.
- An ninh cảng đã được xem xét, không may quản lý đã quyết định không sử dụng điều này vì nhiều lý do. Lý do phổ biến là chúng ta liên tục di chuyển máy tính xung quanh (môi trường đại học).
- Chúng tôi đã sử dụng portfast cây spanning kết hợp với bpduguard spanning-tree theo mặc định trên tất cả các cổng truy cập (máy tính để bàn).
- Hiện tại, chúng tôi không sử dụng tổng đài không chuyển mạch trên cổng truy cập, nhưng chúng tôi sẽ không nhận được bất kỳ cuộc tấn công nhảy Vlan nào nảy qua Vlans đa chiều.
- Sẽ đưa ra thông báo bảng địa chỉ mac và xem liệu chúng ta có thể tìm thấy bất kỳ mẫu nào không.
"Vì bạn đang nhận được một số lượng lớn các vạt MAC giữa các tổng đài, thật khó để tìm ra nơi những kẻ phạm tội (giả sử bạn tìm thấy hai hoặc ba địa chỉ mac gửi nhiều arps, nhưng các địa chỉ mac nguồn cứ liên tục vỗ giữa các cổng)."
- Chúng tôi bắt đầu với điều này, chọn bất kỳ một vạt MAC nào và tiếp tục chuyển qua tất cả các chuyển đổi cốt lõi sang phân phối để chuyển đổi truy cập, nhưng những gì chúng tôi tìm thấy là một lần nữa, giao diện cổng truy cập đã ăn cắp nhiều địa chỉ mac do đó nắp mac; Vì vậy, trở lại một hình vuông.
- Kiểm soát bão là một cái gì đó mà chúng tôi đã xem xét, nhưng chúng tôi sợ một số gói hợp pháp sẽ bị loại bỏ gây ra thêm vấn đề.
- Sẽ kiểm tra ba lần cấu hình VMhost.
- @ytti các địa chỉ MAC không thể giải thích được đằng sau nhiều cổng truy cập chứ không phải là một cá nhân. Không tìm thấy bất kỳ vòng lặp trên các giao diện này. Các địa chỉ MAC cũng tồn tại trên các giao diện khác, điều này sẽ giải thích số lượng lớn các vạt MAC
- @RickyBeam Tôi đồng ý với lý do tại sao máy chủ gửi nhiều yêu cầu ARP; đây là một trong những vấn đề khó hiểu Cây cầu không dây Rouge là một cây cầu thú vị mà tôi chưa từng nghĩ tới, theo như chúng tôi biết, không dây nằm trên các Vlan khác nhau; nhưng lừa đảo rõ ràng sẽ có nghĩa là nó cũng có thể có trên Vlan1.
- @RickyBeam, tôi không thực sự muốn rút tất cả mọi thứ vì điều này sẽ gây ra số lượng lớn thời gian chết. Tuy nhiên đây là nơi nó có thể chỉ là tiêu đề. Chúng tôi có máy chủ Linux nhưng không quá 3.
- @RickyBeam, bạn có thể giải thích việc thăm dò "sử dụng" máy chủ DHCP không?
Chúng tôi (Cisco TAC, CCIEs, CCNP) trên toàn cầu đồng ý rằng đây không phải là cấu hình chuyển đổi mà là máy chủ / thiết bị đang gây ra sự cố.
switchport port-security aging time 5
và switchport port-security aging type inactivity
có nghĩa là bạn có thể di chuyển các trạm giữa các cổng sau 5 phút không hoạt động hoặc nếu bạn xóa thủ công mục nhập bảo mật cổng. Tuy nhiên, cấu hình này ngăn các vạt mac giữa các cổng truy cập của công tắc vì các cổng không thể tự ý lấy cùng một địa chỉ mac từ một cổng khác.