Cisco WS-C6509-E Arp 缓存损坏问题?

Cisco WS-C6509-E Arp 缓存损坏问题?

我们的 Catalyst 6500 交换机出现问题,我们怀疑 ARP 缓存已损坏。这表现出以下症状:

  1. 当您尝试 ping 一个之前没有解析过的系统时,第一个 ping 响应会超时,而接下来的每个 ping 响应都会成功:Pinging foo.network.com [xxx.xx.xx.xx],数据为 32 字节:请求超时。来自 xxx.xx.xx.xx 的回复:字节=32 时间=5ms TTL=55 来自 xxx.xx.xx.xx 的回复:字节=32 时间=3ms TTL=55 来自 xxx.xx.xx.xx 的回复:字节=32 时间=3ms TTL=55

  2. 当损坏问题发生时,每隔一次 ping 就会超时:使用 32 字节数据 ping foo.network.com [xxx.xx.xx.xx]:来自 xxx.xx.xx.xx 的回复:字节=32 时间=5ms TTL=55 请求超时。来自 xxx.xx.xx.xx 的回复:字节=32 时间=5ms TTL=55 请求超时。

  3. 清除 ARP 缓存可暂时解决该问题。要清除 ARP 缓存,我们使用以下命令: clear arp cache clear ip cache 这样可以解决问题,但肯定会再次发生。

交换机的详细信息:

IOS (tm) s72033_rp 软件 (s72033_rp-PK9SV-M),版本 12.2(17d)SXB8,发布软件 (fc2)

cisco WS-C6509-E(R7000)处理器(修订版 1.1)

任何帮助表示感谢,谢谢

澄清:我们有自己管理的网络,然后我们接入公司网络。对我们管理的网络内机器的所有请求都运行正常。我们只在其他网络上的机器上遇到了问题。

答案1

我建议你向思科开一个案例。
他们将能够检查你的 IOS 版本中是否存在已知错误,并会询问你可能不想在这里发布的配置详细信息。(但如果你愿意,你可以把 sh tech 的结果放在某个地方,这可能会对我们有帮助)
此外,它是在重启后附加的,还是在长时间运行后开始损坏的?

答案2

  • 您在从交换机的 CLI 或连接到交换机的 PC 执行 PING 时是否看到了此问题?

  • 该交换机是否提供第 3 层(路由)功能?

  • 这些 PING 是否表明同一子网或跨子网的两个设备之间存在问题?

  • 交换机上的日志(我相信是“显示日志历史记录”)是否显示任何异常?

  • 该问题是否仅影响向几个设备的数据包传输,还是影响到多个设备?

几年前,我在客户站点遇到过类似的问题。我在问题发生之前和问题发生期间捕获了“show mac-”的输出,并比较了在中断开始之前和之后似乎位于不同端口上的设备。

我发现 LAN 上有一个嵌入式设备(在本例中是时钟),它会定期传输一批带有“欺骗性”源地址的帧,从而扰乱交换机的桥接表,并导致交换机在一段时间内将帧从错误的端口发送出去。我能够在“show mac-”输出中看到它,因为我注意到那些不应该更改端口的设备似乎正在这样做。

听起来解决问题很有趣!希望我在场……>微笑<

编辑:

感谢您的评论。

“show log hist” 显示持久日志。只要您不清除日志,清除交换机上的 arp 缓存后,报告的任何消息仍会存在。

您的 6509 和问题设备所在的公司数据中心之间是否还有其他路由器?

您是否使用任何动态路由协议?

我的直觉是这样的:

我强烈建议您在发生故障之前保存“show mac-”和“show arp”的副本,并在发生故障时再次保存(使用 PuTTY 之类的工具捕获它们只需片刻,因此您可以快速清除 arp 缓存)。

我知道您无法轻松地在此处发布这些捕获,但我建议您将它们放入电子表格或数据库中,并在一份报告中将 MAC 地址与端口进行匹配,在另一份报告中将 MAC 地址与 IP 地址进行匹配。如果您比较“之前”和“期间”,我预计您会看到一些差异。

假设您的 6509 和公司数据中心之间有一个路由器,我预测您会发现该路由器的 MAC 地址在端口之间“移动”,或者其 IP 地址在 MAC 地址之间移动。

如果没有路由器,并且企业数据中心机器在第 2 层与这台 6509 通信,我预测设备本身可能会显示端口之间的一些“移动”,或者 MAC 地址之间的移动 IP 地址。

答案3

如果您在被 ping 的客户端上运行嗅探器,您能看到所有的 ping 还是只能看到一半?

如果您从 6500 上的不同接口发出 ping 命令,会发生什么情况?对于 6500 作为默认网关的主机,是否会发生这种情况?

MAC 地址表是什么样子的?跟踪路由怎么样?还有“ping -r9”?

不要排除 IOS 错误,但也可能是很多其他原因……

答案4

我不得不同意 Peter 和 Evan 的观点。这听起来更像是反弹路由/端口,而不是缓存攻击。尤其是在 65xx 上。为了扩大 Evan 的评论,请务必获取(正在运行的)arp 表,但您真正需要的唯一条目是下一跳路由器。您排除了多路径问题吗?我看到有人问您是否正在运行动态路由协议(或带有浮动静态路由的多个网关),但我没有看到您的答案。祝你好运!

相关内容