여기 누군가를 바라는 것은 우리가 직면 한 문제에 대한 통찰력을 가질 수 있습니다. 현재 Cisco TAC가이 사례를보고 있지만 근본 원인을 찾기 위해 고심하고 있습니다.
제목에 ARP 브로드 캐스트 및 높은 CPU 사용량이 언급되어 있지만이 단계에서 ARP 브로드 캐스트가 관련되어 있는지 또는 관련성이 없는지 확실하지 않습니다.
원래 문제는 INE 온라인 커뮤니티에 게시 되었습니다
중복 설정이없는 단일 링크로 네트워크를 분리했습니다. 스타 토폴로지로 생각하십시오.
사리:
- 하나의 스택에 3750x 스위치, 4를 사용합니다. 버전 15.0 (1) SE3. Cisco TAC는이 특정 버전의 CPU 또는 ARP 버그에 대해 알려진 문제가 없음을 확인합니다.
- 연결된 허브 / 비 관리 스위치
- 재로드 된 코어 스택
- 기본 경로 "Ip route 0.0.0.0 0.0.0.0 f1 / 0"이 없습니다. 라우팅에 OSPF 사용
- 데스크톱 장치에 사용되는 VLAN 1, VLAN 1의 대용량 브로드 캐스트 패킷이 있습니다. 192.168.0.0/20을 사용
- Cisco TAC는 / 20을 사용하는 데 아무런 문제가 없다고 말했지만 다른 방송 도메인은 있지만 여전히 작동해야합니다.
- Wi-Fi, 관리, 프린터 등은 모두 서로 다른 VLAN에 있습니다.
- 스패닝 트리는 Cisco TAC 및 CCNP / CCIE 인증 전문가에 의해 검증되었습니다. 모든 중복 링크를 종료했습니다.
- 코어 구성이 Cisco TAC에서 확인되었습니다.
- 대부분의 스위치에 기본 ARP 시간 초과가 있습니다.
- 우리는 Q & Q를 구현하지 않습니다.
- 새로운 스위치가 추가되지 않았습니다 (적어도 우리는 아는 바 없음).
- 에지 스위치는 2950이므로 동적 arp 검사를 사용할 수 없습니다
- 우리는 show interfaces | inc line | broadcast는 많은 수의 브로드 캐스트가 어디에서 오는지 알아 내지 만, Cisco TAC와 2 명의 다른 엔지니어 (CCNP & CCIE)는 네트워크에서 발생하는 문제 (많은 mac flap에서와 같이) 때문에 이것이 정상적인 동작임을 확인했습니다. 더 큰 방송의 원인). 에지 스위치에서 STP가 올바르게 작동하는지 확인했습니다.
네트워크 및 스위치의 증상 :
- 다수의 MAC 플랩
- ARP 입력 프로세스를위한 높은 CPU 사용량
- 엄청나게 많은 ARP 패킷, 빠르게 증가하고 표시
- Wiresharks는 수백 대의 컴퓨터가 ARP Broadcast로 네트워크를 침수하고 있음을 보여줍니다
- 테스트 목적으로, 우리는 약 80 대의 데스크탑 머신을 각각 다른 VLAN으로 설정했지만이를 테스트하여 높은 CPU 또는 ARP 입력과 눈에 띄는 차이를 만들지 않았습니다.
- 다른 AV / 맬웨어 / 스파이웨어를 실행했지만 네트워크에 바이러스가 보이지 않습니다.
- sh mac address-table count, vlan 1에서 예상되는 약 750 개의 서로 다른 mac 주소를 보여줍니다.
#sh processes cpu sorted | exc 0.00%
CPU utilization for five seconds: 99%/12%; one minute: 99%; five minutes: 99%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
12 111438973 18587995 5995 44.47% 43.88% 43.96% 0 ARP Input
174 59541847 5198737 11453 22.39% 23.47% 23.62% 0 Hulc LED Process
221 7253246 6147816 1179 4.95% 4.25% 4.10% 0 IP Input
86 5459437 1100349 4961 1.59% 1.47% 1.54% 0 RedEarth Tx Mana
85 3448684 1453278 2373 1.27% 1.04% 1.07% 0 RedEarth I2C dri
- Ran은 다른 스위치와 코어 자체에서 mac 주소 테이블을 보여 주며 (예 : 코어가 데스크탑에 직접 연결되어있는 것처럼), 인터페이스에 여러 가지 MAC 하드웨어 주소가 인터페이스에 등록되어 있음을 알 수 있습니다. 하나의 컴퓨터에만 연결 :
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 001c.c06c.d620 DYNAMIC Gi1/1/3
1 001c.c06c.d694 DYNAMIC Gi1/1/3
1 001c.c06c.d6ac DYNAMIC Gi1/1/3
1 001c.c06c.d6e3 DYNAMIC Gi1/1/3
1 001c.c06c.d78c DYNAMIC Gi1/1/3
1 001c.c06c.d7fc DYNAMIC Gi1/1/3
- 플랫폼 tcam 활용률 표시
CAM Utilization for ASIC# 0 Max Used
Masks/Values Masks/values
Unicast mac addresses: 6364/6364 1165/1165
IPv4 IGMP groups + multicast routes: 1120/1120 1/1
IPv4 unicast directly-connected routes: 6144/6144 524/524
IPv4 unicast indirectly-connected routes: 2048/2048 77/77
IPv4 policy based routing aces: 452/452 12/12
IPv4 qos aces: 512/512 21/21
IPv4 security aces: 964/964 45/45
우리는 이제 다른 사람이이 이상하고 기괴한 문제의 원인이나 근본 원인을 식별 할 수있는 아이디어가없는 한, 한 번에 각 영역을 격리하기 위해 엄청난 양의 가동 중지 시간이 필요한 단계에 있습니다.
최신 정보
자세한 답변은 @MikePennington과 @RickyBeam에게 감사드립니다. 나는 내가 할 수있는 것을 시도하고 대답 할 것이다.
- 언급했듯이 192.168.0.0/20은 상속 된 혼란입니다. 그러나 향후이 문제를 분리 할 계획이지만이 문제가 발생하기 전에이 문제가 발생했습니다. 나는 또한 개인적으로 다수에 동의하는데, 그로 인해 방송 영역이 너무 큽니다.
- Arpwatch를 사용하는 것은 확실히 시도 할 수 있지만이 포트에 속하지 않더라도 여러 액세스 포트가 mac 주소를 등록하기 때문에 arpwatch의 결론이 유용하지 않을 수 있습니다.
- 나는 네트워크에서 모든 중복 링크와 알 수없는 스위치를 100 % 확신하지 못한다는 것에 완전히 동의하지만, 우리가 찾은 최선의 결과로서, 이것은 우리가 추가 증거를 찾을 때까지 해당됩니다.
- 포트 보안에 대해 살펴 보았지만 불행히도 경영진은 여러 가지 이유로 이것을 사용하지 않기로 결정했습니다. 일반적인 이유는 우리가 지속적으로 컴퓨터를 옮기는 것입니다 (대학 환경).
- 모든 액세스 포트 (데스크톱 시스템)에서 기본적으로 스패닝 트리 bpduguard와 함께 스패닝 트리 portfast를 사용했습니다.
- 우리는 현재 액세스 포트에서 협상 포트 비 협상을 사용하지 않지만 여러 개의 Vlan에서 Vlan 도약 공격이 수신되지 않습니다.
- mac-address-table 알림을 보내고 패턴을 찾을 수 있는지 확인합니다.
"스위치 포트 사이에 많은 수의 MAC 플랩이 있으므로, 위반자가 어디에 있는지 찾기가 어렵습니다 (많은 arp를 전송하는 2 ~ 3 개의 mac 주소를 찾더라도 소스 mac 주소는 포트간에 계속 펄럭입니다)."
- 우리는 이것을 시작하고 하나의 MAC 플랩을 골라 모든 핵심 스위치를 거쳐 액세스 스위치로 분배하는 길을 계속했지만, 우리가 발견 한 것은 다시 한 번 액세스 포트 인터페이스가 여러 개의 MAC 주소를 차지하고 있었기 때문에 맥 플랩입니다. 다시 정사각형으로 돌아갑니다.
- 스톰 제어는 우리가 고려한 내용이지만 합법적 인 패킷 중 일부가 삭제되어 추가 문제가 발생할 것을 우려합니다.
- VMHost 구성을 세 번 점검합니다.
- @ytti 설명 할 수없는 MAC 주소는 개인보다는 많은 액세스 포트 뒤에 있습니다. 이 인터페이스에서 루프를 찾지 못했습니다. MAC 주소는 다른 인터페이스에도 존재하므로 많은 MAC 플랩을 설명합니다.
- @RickyBeam 저는 왜 호스트가 많은 ARP 요청을 보내고 있는지에 동의합니다. 이것은 수수께끼 문제 중 하나입니다. 루즈 무선 브리지는 우리가 알고있는 한 무선이 다른 VLAN에 있다고 생각하지 않은 흥미로운 것입니다. 그러나 불량은 분명히 VLAN1에있을 수 있음을 의미합니다.
- @RickyBeam, 막대한 양의 가동 중지 시간이 발생할 수 있으므로 모든 것을 뽑기를 원하지 않습니다. 그러나 이것은 단지 향하고있는 곳입니다. 우리는 리눅스 서버를 가지고 있지만 그 이상은 3이 아닙니다.
- @RickyBeam, DHCP 서버 "사용 중"프로빙을 설명 할 수 있습니까?
당사 (Cisco TAC, CCIE, CCNP)는 이것이 스위치 구성이 아니라 호스트 / 장치가 문제를 일으키는 것으로 전 세계적으로 동의합니다.
switchport port-security aging time 5
그리고 switchport port-security aging type inactivity
수동으로 포트 보안 항목을 삭제하면 수단은 비활성 5 분 후에 포트 사이에 방송국을 이동하거나 수있다. 그러나이 구성은 포트가 다른 포트에서 동일한 mac-address를 임의로 소싱 할 수 없기 때문에 스위치의 액세스 포트 간 mac flap을 방지합니다.