Mikrotik CCR arp flood

[stealallsock]

Доброго времени суток,господа!

 

Имеем ccr 1036

 

ehter1 vlan1 192.168.1.1

на нем созданы vlan'ы

в каждом vlan'е своя подсеть вида 10.1.3.1/24 10.1.4.1/24

 

Уходит всё это через коммутатор в сеть.

Тик без остановки долбит и пытается найти несуществующие IP адреса. Точнее - они были эти адреса еще при царе горохе ( возможно были ).

На тике используется только DHCP-relay в vlan'ы и интернет приходит от шлюза по ospf через SPF+

 

Что сделано

петель нет

каждый отдельный vlan - это отдельный коммутатор.

правил на тике нет.

 

2-ю неделю ломаю голову,что может стать причиной.

Edited July 19, 2015 by stealallsock

[Ivan_83]

Маршруты поди до тех сетей остались и адреса на интерфейсах, а так он их должен в дефолтный шлюз отправлять.

[stealallsock]

Маршруты поди до тех сетей остались и адреса на интерфейсах, а так он их должен в дефолтный шлюз отправлять.

 

Этого CCR не было до существования этих адресов. Сеть переделывалась 300 раз. Всё было нормально. Ни с того ни с сего началось. в АРП таблице он видит 900+ адресов ( примерное количество реальных хостов ),но потом начинает писать,что достигнут максимальный порог ARP и уходит в ребут. + к этому еще и сеть тормозит.

[Ivan_83]

Значит не тянет микротик столько хостов в л2.

На нормальном дистре линуха/фри арп тюнится.

А тик - переделать сеть чтобы он столько в л2 не видел.

[stealallsock]

Значит не тянет микротик столько хостов в л2.

На нормальном дистре линуха/фри арп тюнится.

А тик - переделать сеть чтобы он столько в л2 не видел.

У тика в арп указано 8129 по-моему. Видит он живых 900. Суть в том,что он тупо долбит в первом влане и ищет адреса,которых нет. Вот думаю не порт ли где-нибудь навернут на каком-нибудь из коммутаторов. Тик способен тянуть и арп таблица тюнится. Косяк либо в неверно настроенных вланах,либо на физическом уровне. С вланами вот пытаюсь у форумчан спросить как чего и куда.

У меня вообще почему-то при скане адресов с интерфейса на тике - сканятся адреса в вланах ( вланы созданы на этом интерфейсе )

[sexst]

Кто-то посылает пакет на "несуществующий" адрес. Пакет приходит на тик. Он честно пытается отрезолвить неизвестный ip в мак. Штатная ситуация в общем-то.

 

Или он ищет за неверным интерфейсом?

Edited July 19, 2015 by sexst

[SyJet]

Кто-то посылает пакет на "несуществующий" адрес. Пакет приходит на тик. Он честно пытается отрезолвить неизвестный ip в мак. Штатная ситуация в общем-то.

 

Или он ищет за неверным интерфейсом?

Писал бы это Сааб, я бы промолчал, но как ваша теория корелируется с переполнением арп таблицы?

На месте тс я бы поставил arpwatch и посмотрел.

А то, что тик ложится - так это да, это штатное поведение, если что-то выходит за рамки мануала.

Edited July 19, 2015 by SyJet

[sexst]

Где написано про переполнение арп таблиц? "Что-то о переполнении арп" в логах это еще хз что именно, может он неотрезолвившиеся записи сутками в башке хранит - это микротик, там вообще странных моментов много. А я просто написал что поиски несуществующих адресов для роутера это нормально.

[stealallsock]

arp proxy нигде не включено.

 

Вынимаю интерфейс с вланами из общей сети - тик перестает долбить.

Такое ощущение,что из вланов идут запросы,но каким-то чудом они идут через 192.168 ( хотя физически это 2 разных интерфейса )

[sexst]

Какие, например, несуществующие адреса ищутся и какие подсети висят на vif в который улетают запросы?

[stealallsock]

Вопрос снят. Гребаный OSPF

 

Не знаю каким макаром,но из-за него происходило это всё.

 

Плюнул на него и собрал всё на одном тике.

 

Всем спасибо за участие