我已经使用带有几个 VLAN 的 PfSense 防火墙 4 年多了,在过去的几天里,我注意到其中两个 VLAN 存在网络连接问题。
使用 Web 界面,我看到这两个流量曲线相同:
在 PfSense 的“流量图表”页面上,我看到此流量是通过广播 IP 传来的?
使用 Wireshark,我看到了数千个 ARP 请求,其中大多数来自同一 IP
在这些流量高峰期间,互联网反应迟钝甚至对同一网络(但不同 VLAN)中的设备进行 ping 也会导致40% 包裹丢失
我正在使用一行代码来查看哪些 IP 正在进行这些争斗,看起来基本上是 3 个 IP,其中包最多的 IP 是 pfSense防火墙本身(10.11.11.18)。仅用了大约4秒钟的时间就记录了100,000个包裹。
# tcpdump -c 100000 -l -i em1.107 -n arp | egrep 'who-has' | cut -d ' ' -f 7 | sort | uniq -c | sort -n
100000 packets captured
113803 packets received by filter
0 packets dropped by kernel
8774 10.11.11.110,
8774 10.11.11.117,
69291 10.11.11.18,
还有几点提示:
- 流量高峰每分钟发生约 2 次,但没有明显的间隔
- 有时它可以连续工作几个小时而不会出现问题
- 有时流量高峰会持续 2-5 分钟,大多数时候仅持续几秒钟
- 流量峰值通常约为 8MB/s,但我见过高达 50MB/s
- 两个 VLAN 均有允许来自和流向所有其他 VLAN 的流量的规则
你们有人见过这样的事吗?
答案1
是的,这是一个环路。(非托管)交换机有一根电缆连接在两个插槽上。
感谢 Ron 的指点。没想到循环也会导致仅 arp 流量