2 votes

Problème de corruption du cache ARP Cisco WS-C6509-E ?

Nous avons un problème avec notre commutateur Catalyst 6500 où nous soupçonnons que le cache ARP est corrompu. Cela se manifeste avec les symptômes suivants :

  1. Lorsque vous essayez de pinguer un système qui n'a pas été résolu auparavant, la première réponse du ping est en échec, et chaque réponse suivante réussit : Ping en cours vers foo.network.com [xxx.xx.xx.xx] avec 32 octets de données : Délai d'attente de la demande dépassé. Réponse de xxx.xx.xx.xx : octets=32 temps=5ms TTL=55 Réponse de xxx.xx.xx.xx : octets=32 temps=3ms TTL=55 Réponse de xxx.xx.xx.xx : octets=32 temps=3ms TTL=55

  2. Lorsque les problèmes de corruption surviennent, chaque autre ping échoue : Ping en cours vers foo.network.com [xxx.xx.xx.xx] avec 32 octets de données : Réponse de xxx.xx.xx.xx : octets=32 temps=5ms TTL=55 Délai d'attente de la demande dépassé. Réponse de xxx.xx.xx.xx : octets=32 temps=5ms TTL=55 Délai d'attente de la demande dépassé.

  3. Effacer le cache ARP résout temporairement le problème. Pour effacer le cache ARP, nous utilisons les commandes : clear arp cache clear ip cache Cela résout le problème, mais il est sûr de se reproduire.

Détails sur le commutateur :

IOS (tm) s72033_rp Software (s72033_rp-PK9SV-M), Version 12.2(17d)SXB8, RELEASE SOFTWARE (fc2)

Processeur cisco WS-C6509-E (R7000) (révision 1.1)

Toute aide est appréciée, Merci

CLARIFICATION : Nous avons le réseau que nous gérons, puis nous sommes connectés au réseau d'entreprise. Toutes les requêtes vers les machines à l'intérieur du réseau que nous gérons fonctionnent bien. Nous avons seulement des problèmes avec les machines sur l'autre réseau.

0 votes

Que montre la table d'adresses MAC pour l'adresse MAC de l'appareil ayant des problèmes?

0 votes

Veuillez nous tenir informés, s'il vous plaît. Je continue à plaider en faveur de mon hypothèse selon laquelle un appareil "spoofe" son adresse source (soit en raison d'un bug dans l'appareil, soit de manière malveillante) et que vous trouverez l'appareil fautif grâce à "show mac-" ou "show arp".

0 votes

Je vais vous tenir informé. Bien que j'aie accès au commutateur, j'ai vraiment besoin que le CCNA fasse ce travail, ce qui nécessite une demande de service utilisant le formulaire 44-A et une approbation de la direction si cela doit être priorisé par rapport à tout autre travail. Je suis en train de parcourir ce qui précède et de voir ce que je peux trouver. En ce qui concerne le 'show mac-address-table', je ne suis pas sûr de pouvoir le poster ici, il y a littéralement des pages et des pages.

1voto

radius Points 9485

Je vous suggérerais d'ouvrir un dossier auprès de Cisco.
Ils seront en mesure de vérifier les bugs connus sur votre version IOS et vous demanderont des détails de configuration que vous ne souhaitez peut-être pas publier ici. (mais si vous le souhaitez, vous pouvez mettre le résultat d'un sh tech quelque part cela pourrait nous aider)
Est-ce que cela se produit après un redémarrage ou a-t-il commencé à se corrompre après une longue durée de fonctionnement ?

0 votes

Aww... vous abandonnez trop facilement!

0 votes

Il y a trop de possibilités. Dépanner cela nécessiterait d'avoir accès au commutateur. J'ai déjà rencontré ce genre de problème sur le 2960, le problème persistait même après un redémarrage et un remplacement de matériel a été effectué. J'ai également vu quelque chose de similaire sur le 3570 après avoir déempilé/re-empilé et un redémarrage complet de la pile a résolu le problème. Bien sûr, le problème pourrait aussi venir d'un appareil réseau... mais tu lui as posé une bonne question ;)

0 votes

Nous avons déjà reçu de l'aide de Cisco, et nous en sommes arrivés au point où ils ne peuvent plus donner d'aide "gratuite" et ce n'est pas suffisant pour justifier un contrat de support. Nous avons un CCNA sur site qui peut gérer 99% des problèmes, juste pas celui-ci. En ce qui concerne le redémarrage, cela se produit généralement assez rapidement après un redémarrage, bien que nous n'ayons pas fait de test spécifiquement pour cela.

1voto

Evan Anderson Points 140581
  • Vous rencontrez ce problème avec des PINGs depuis l'interface CLI du commutateur, ou depuis un PC connecté au commutateur?

  • Est-ce que ce commutateur fournit des fonctions de couche 3 (routage)?

  • Est-ce que les PINGs que vous montrez ont des problèmes entre deux appareils sur le même sous-réseau, ou à travers des sous-réseaux?

  • Est-ce que le journal sur le commutateur ("show log hist", je crois) montre quelque chose d'anormal?

  • Est-ce que le problème affecte la remise de paquets à seulement quelques appareils, ou est-ce que vous le voyez affecter plusieurs appareils?

J'ai eu un problème similaire à celui-ci sur un site client il y a quelques années. J'ai capturé la sortie d'un "show mac-" avant que le problème ne survienne, puis pendant que le problème se produisait, et j'ai comparé en cherchant des appareils qui semblaient être sur des ports différents avant que la panne ne commence et après.

J'ai découvert qu'il y avait un appareil intégré sur le LAN (une horloge, dans ce cas) qui envoyait périodiquement un lot de trames avec une adresse source "falsifiée", confondant la table de commutation du commutateur et le forçant à envoyer des trames par le mauvais port pendant un certain temps. J'ai pu le voir dans la sortie du "show mac-" en remarquant que des appareils qui ne devraient pas changer de ports semblaient le faire.

Cela semble amusant à dépanner! J'aurais aimé être là... >sourire<

Modifier:

Merci pour les commentaires.

Le "show log hist" montre un journal persistant. Tant que vous ne videz pas le journal, tous les messages qui y sont signalés seront toujours là après avoir effacé le cache arp sur le commutateur.

Y a-t-il un autre routeur entre votre 6509 et le centre de données de l'entreprise où se trouvent les appareils problématiques?

Utilisez-vous des protocoles de routage dynamique?

Voici ce que mon instinct me dit:

Je vais fortement vous recommander de sauvegarder une copie de "show mac-" et "show arp" avant qu'une panne ne se produise et de nouveau lorsqu'une panne se produit (cela devrait prendre seulement un moment pour les capturer avec quelque chose comme PuTTY, afin que vous puissiez continuer à effacer rapidement le cache arp).

Je comprends que vous ne pouvez pas facilement poster ces captures ici, mais je vous recommande de les mettre dans un tableur ou une base de données et de faire correspondre les adresses MAC avec les ports dans un rapport, et les adresses MAC avec les adresses IP dans un autre. Si vous comparez le "avant" et le "pendant", je prédis que vous allez voir des différences.

En supposant qu'il y ait un routeur entre votre 6509 et le centre de données de l'entreprise, je prédis que vous allez trouver que l'adresse MAC de ce routeur "change" entre les ports, ou son adresse IP change entre les adresses MAC.

S'il n'y a pas de routeur et que les machines du centre de données de l'entreprise communiquent avec ce 6509 au niveau 2, je prédis que les appareils eux-mêmes pourraient montrer des "mouvements" entre les ports, ou des adresses IP se déplaçant entre les adresses MAC.

0 votes

Vous rencontrez ce problème avec des PINGs de l'interface CLI du commutateur, ou à partir d'un PC connecté au commutateur? ...... les deux

0 votes

• Ce commutateur fournit-il des fonctions de couche 3 (routage) ? ....... Oui, c'est le commutateur central que nous avons dans notre réseau, et il effectue tout le routage

0 votes

• Les PING que vous affichez rencontrent-ils des problèmes entre deux appareils sur le même sous-réseau, ou entre des sous-réseaux ? ...... Cela se produit uniquement lorsque vous essayez de contacter des éléments en dehors de notre réseau, donc sur un sous-réseau différent. Plus précisément, nous pensons rencontrer ces problèmes uniquement avec des machines hébergées dans un centre de données distant.

0voto

Chris Upchurch Points 10484

Si vous exécutez un sniffer sur le client qui est pingé, voyez-vous tous les pings ou seulement la moitié d'entre eux ?

Que se passe-t-il si vous émettez les pings à partir de différentes interfaces sur le 6500 ? Cela se produit-il pour les hôtes pour lesquels le 6500 est la passerelle par défaut ?

À quoi ressemble la table d'adresses MAC ? Et un traceroute ? Et un 'ping -r9 ' ?

Ne pas exclure un bogue IOS, mais cela pourrait aussi être beaucoup d'autres choses...

0voto

Saurabh Barjatiya Points 4643

Il peut s'agir d'un cas d'usurpation ARP. Si quelqu'un essaye d'usurper l'adresse de tous les appareils sur le réseau, y compris la passerelle, la machine usurpatrice recevra trop de trafic et pourrait donc ne pas être en mesure de transférer toutes les données aux bonnes adresses après les avoir lues. Ou la machine usurpatrice pourrait intentionnellement abandonner des paquets supplémentaires.

Exécutez Wireshark. Ensuite, utilisez "arp -d" pour supprimer les entrées arp de toutes les adresses IP sur votre sous-réseau. Ensuite, essayez de pinguer quelques IP sur votre sous-réseau. Ensuite, arrêtez de capturer des paquets avec Wireshark et analysez simplement le trafic ARP. Si vous voyez plusieurs réponses ARP pour chaque IP que vous avez pingée comme l'IP 172.16.1.1 est à xx : xx : xx : xx : xx : xx0 suivi de l'adresse IP 172.16.1,1 est à yy : yy : yy : yy : yy : yy. Alors il s'agit certainement d'un cas d'usurpation ARP et il n'y a rien de mal avec le commutateur.

Si cela ne fonctionne pas, essayez de mettre à jour le système d'exploitation du commutateur vers la dernière version.

0voto

Je dois être d'accord avec Peter et Evan. Cela ressemble plus à un itinéraire/port de rebondissement qu'à une attaque de cache. Surtout sur un 65xx. Pour amplifier le commentaire d'Evan, assurez-vous d'obtenir la table ARP (fonctionnelle), mais la seule entrée dont vous aurez vraiment besoin est le routeur suivant. Avez-vous exclu les problèmes de chemins multiples? J'ai vu quelqu'un demander si vous utilisiez un protocole de routage dynamique (ou des passerelles multiples avec des routes statiques flottantes) mais je n'ai pas vu votre réponse. Bonne chance!

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X