J'ai 2 commutateurs force10 s25 qui sont utilisés pour une liaison fibre noire entre deux bâtiments scolaires. Un de mes commutateurs remplit sa table ARP à ras bord puis échoue. Cela peut arriver aussi souvent que toutes les 1,5 heures. J'ai remarqué que l'une des adresses dans le cache est une adresse de notre filtre Web précédent qui n'était pas en ligne depuis 6 mois. Nous ne pouvons penser à rien qui contiendrait un cache ARP, mais quelque chose semble alimenter notre force10 avec des adresses, mais en exécutant le résumé de show arp, parfois jusqu'à 50 nouvelles adresses par seconde sont ajoutées. Que dois-je rechercher pour comprendre d'où cela vient?
Voici ma route show ip connectée
MiddleSchool#show ip route connected
Destination Gateway Dist/Metric Last Change
----------- ------- ----------- -----------
C 10.4.0.0/16 Direct, Vl 400 0/0 03:39:18
C 192.168.1.0/30 Direct, Te 0/28 0/0 03:39:20
La seule route statique est la route par défaut (0.0.0.0 / 0 sur le port tengig 0/28) sur la liaison fibre, car tout le trafic doit quitter ce commutateur et se rendre dans l'autre bâtiment pour accéder à Internet.
Réponses:
J'ai regardé les configs dans votre question de débordement de pile .
En guise de revue, voici votre topologie ...
Le problème est que la construction du proxy proxy-ARP de L pour résoudre
10.4.0.0/16
et la construction du commutateur proxy-ARP de S pour10.2.0.0/16
... l'interface TenGig0 / 28 (votre lien de transit entre les bâtiments) répond aux demandes de proxy-ARP. Supprimez ces statiques 10-net et utilisez ...ip route 10.4.0.0 255.255.0.0 192.168.1.2
ip route 10.2.0.0 255.255.0.0 192.168.1.1
La raison pour laquelle une route comme
ip route 10.4.0.0 255.255.0.0 TenGigabit0/28
proxy-ARPs est parce que vous dites essentiellement au commutateur que le sous-réseau entier / 16 est directement connecté à TenGigabit0 / 28 lorsque vous routez de manière statique une interface comme celle-ci. L'utilisation d'un prochain bond IP nécessite uniquement une entrée ARP pour ce prochain bond spécifique.Vous devez probablement déplacer la passerelle par défaut vers une nouvelle interface sur le commutateur Building L, de sorte que l'ensemble du sous-réseau puisse passer par défaut via 10.2.0.101 et atteindre 10.4.0.0/16 ou Internet.
Désolé de le dire, mais vous vous laissez largement ouvert aux problèmes d'épuisement des ressources ARP lorsque vous attribuez un / 16 comme sous-réseau connecté ... ARP est un protocole non authentifié, et n'importe qui sur le LAN peut inonder le commutateur d'ARP et il a pas d'autre choix que de les mettre en cache / d'y répondre ... même pour les adresses fantômes.
De manière proactive, vous pouvez envisager l'espionnage DHCP et l'inspection ARP dynamique, si votre version de FTOS le prend en charge. Ces fonctionnalités nécessitent normalement une réflexion et des tests avant le déploiement; Cependant, ils valent la peine d'être utilisés si vous avez des centaines d'enfants sans rien de plus excitant que de montrer leurs compétences en "piratage". J'ai fait une recherche rapide pour voir si Force10 prend en charge ce que Cisco appelle la sécurité des ports, mais je ne l'ai pas trouvé; la sécurité des ports peut être utilisée pour limiter le nombre de macs appris sur un port de commutateur.
la source