Estamos tendo um problema com nosso switch Catalyst 6500 em que suspeitamos que o cache ARP está corrompido. Isso se apresenta com os seguintes sintomas:
Quando você tenta executar ping em um sistema que não foi resolvido antes, a primeira resposta de ping atinge o tempo limite e cada uma delas é bem-sucedida: Executando ping em foo.network.com [xxx.xx.xx.xx] com 32 bytes de dados: Solicitação cronometrada fora. Resposta de xxx.xx.xx.xx: bytes=32 tempo=5ms TTL=55 Resposta de xxx.xx.xx.xx: bytes=32 tempo=3ms TTL=55 Resposta de xxx.xx.xx.xx: bytes= 32 tempo=3ms TTL=55
Quando ocorrem problemas de corrupção, todos os outros pings expiram: Ping foo.network.com [xxx.xx.xx.xx] com 32 bytes de dados: Resposta de xxx.xx.xx.xx: bytes=32 tempo=5ms TTL =55 A solicitação expirou. Resposta de xxx.xx.xx.xx: bytes=32 time=5ms TTL=55 A solicitação expirou.
Limpar o cache ARP resolve temporariamente o problema. Para limpar o cache ARP usamos os comandos: clear arp cache clear ip cache Isso corrige o problema, mas com certeza acontecerá novamente.
Detalhes sobre o interruptor:
Software IOS (tm) s72033_rp (s72033_rp-PK9SV-M), versão 12.2(17d)SXB8, SOFTWARE DE LANÇAMENTO (fc2)
Processador Cisco WS-C6509-E (R7000) (revisão 1.1)
Qualquer ajuda será apreciada, obrigado
ESCLARECIMENTO: Temos a rede que gerenciamos e então estamos conectados à rede corporativa. Todas as solicitações para máquinas dentro da rede que gerenciamos funcionam bem. Só estamos tendo problemas com máquinas da outra rede.
Responder1
Eu sugiro que você abra um caso para a Cisco.
Eles poderão verificar se há bugs conhecidos na sua versão do IOS e solicitarão detalhes de configuração que você pode não querer publicar aqui. (mas se quiser, você pode colocar o resultado de uma tecnologia sh em algum lugar que possa nos ajudar)
Ele também é anexado após uma reinicialização ou começou a ficar corrompido após um longo tempo de atividade?
Responder2
Você está vendo esse problema com PINGs da CLI do switch ou de um PC conectado ao switch?
Este switch fornece funções da camada 3 (roteamento)?
Esses PINGs estão mostrando problemas entre dois dispositivos na mesma sub-rede ou entre sub-redes?
O log no switch ("show log hist", acredito) mostra algo errado?
O problema está afetando a entrega de pacotes apenas para alguns dispositivos ou você está afetando vários dispositivos?
Tive um problema semelhante a este no site de um cliente há alguns anos. Capturei a saída de um "show mac-" antes da ocorrência do problema e, em seguida, durante a ocorrência do problema, e comparei a procura de dispositivos que pareciam estar em portas diferentes antes e depois do início da interrupção.
Descobri que havia um dispositivo incorporado na LAN (um relógio, neste caso) que transmitia periodicamente um lote de quadros com um endereço de origem "falsificado", confundindo a tabela de ponte do switch e fazendo com que o switch enviasse quadros de maneira errada. porto por um tempo. Consegui ver isso na saída "show mac-", percebendo que dispositivos que não deveriam estar mudando de porta pareciam estar fazendo isso.
Parece divertido solucionar problemas! Queria estar lá... >sorri<
Editar:
Obrigado pelos comentários.
"show log hist" mostra um log persistente. Contanto que você não limpe o log, todas as mensagens relatadas ainda estarão lá depois que você limpar o cache arp no switch.
Existe algum outro roteador entre o seu 6509 e o datacenter corporativo onde residem os dispositivos com problema?
Você está usando algum protocolo de roteamento dinâmico?
Aqui está o que meu instinto diz:
Vou recomendar fortemente que você salve uma cópia de "show mac-" e "show arp" antes que ocorra uma falha e novamente quando uma falha estiver ocorrendo (deve levar apenas um momento para capturá-los com algo como PuTTY, então você pode limpar o cache arp rapidamente).
Sei que você não pode postar facilmente essas capturas aqui, mas recomendo que você as jogue em uma planilha ou banco de dados e compare o endereço MAC com as portas em um relatório e os endereços MAC com o endereço IP em outro. Se você comparar “antes” e “durante”, prevejo que verá algumas diferenças.
Supondo que haja um roteador entre o 6509 e o data center corporativo, prevejo que você descobrirá que o endereço MAC desse roteador está "se movendo" entre portas ou que seu endereço IP está se movendo entre endereços MAC.
Se não houver roteador e as máquinas do data center corporativo estiverem se comunicando com esse 6509 na camada 2, prevejo que os próprios dispositivos poderão mostrar alguma "mudança" entre portas ou movimentação de endereços IP entre endereços MAC.
Responder3
Se você executar um sniffer no cliente que está sendo ping, verá todos os pings ou apenas metade deles?
O que acontece se você obtiver pings de interfaces diferentes no 6500? Isso acontece com hosts para os quais o 6500 é o gateway padrão?
Qual é a aparência da tabela de endereços MAC? Que tal um traceroute? E um 'ping -r9'?
Não descarte um bug do IOS, mas também pode ser muitas outras coisas...
Responder4
Tenho que concordar com Peter e Evan. Isso parece mais uma rota/porta saltitante do que um ataque de cache. Especialmente em um 65xx. Para ampliar o comentário de Evan, certifique-se de obter a tabela arp (funcional), mas a única entrada que você realmente precisa é o roteador do próximo salto. Você descartou problemas de múltiplos caminhos? Vi alguém perguntar se você estava executando um protocolo de roteamento dinâmico (ou vários gateways com rotas estáticas flutuantes), mas não vi sua resposta. Boa sorte!