[alibek]

Есть такая Cisco WS-C3750G-12S с прошивкой IOS версии 12.2(53)SE (ipbase).

Заведен такой SVI:

interface Vlan10
 ip address 10.1.11.250 255.255.255.0 secondary
 ip address 10.1.12.250 255.255.255.0 secondary
 ip address 10.1.13.250 255.255.255.0 secondary
 ip address 10.0.201.2 255.255.255.0 secondary
 ip address 10.1.14.250 255.255.255.0 secondary
 ip address 10.1.10.250 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
end

Сегодня вдруг стал пропадать доступ к хосту 10.1.10.252.

При недоступности хоста его запись в ARP-таблице есть (age=0).

Если очистить ARP-таблицу (clear arp int vlan 10), то доступ появляется, но через некоторое время опять пропадает.

В ARP-таблице для VLAN 10 около 500 записей.

 

Что это может быть? Дублирующийся IP-адрес?

[semop]

gratuitous arp?

[passer]

А ткам не заканчивается?

[alibek]

Судя по sh platform tcam, использовано менее 20%.

[Butch3r]

А с хоста до 10.250 пинг есть?

[alibek]

Нет. Но как только чищу arp, тут же появляется. Ну и сам по себе периодически появляется и пропадает.

Если arp прописать статикой, это ни на что не влияет.

[Butch3r]

А посмотрите на 10.250 что у него в этот момент в arp у 10.252

[alibek]

arp-запись есть и она правильная (с age=0). При чистке arp что-то другое попутно исправляется, может быть cef, пока не знаю. Но очистка кеша помогает всегда и сразу.

[pingz]

@alibek Нужен микротик. :D 

 

 

Есть вероятность, что есть второе устройство с ip адресом 10.1.10.252. 

Что-то похожее встречал на микротике, когда бекап переносишь с устройства на устройство, клонировались маки и получалось два мака во влане. 

 

Если arp запись создать статическую?

 

В момент пропадания есть возможность с другого устройства сделать ping из сети  10.1.10.0/24

[naves]

Лучше arping, как раз для таких случаев.

[alibek]

1 час назад, pingz сказал:

Есть вероятность, что есть второе устройство с ip адресом 10.1.10.252.

Похоже, но нет.

Отключаю порт, в который подключено устройство 10.1.10.252, чищу arp на шлюзе, выполняю пинг - не проходит.

Было бы второе устройство, ответило бы оно.

[VolanD666]

Сниффер то что говорит?

[pingz]

@alibek  из сети 10.1.10.0/24 пробовал пинг запускать не с циски? 

[alibek]

А ведь не сообразил.

Да, с 10.1.10.0/24 узел 10.1.10.252 пингуется нормально.

Проблемы только со шлюза и с других сетей (маршрутизация через шлюз).

 

Сниффер не ставил, сам хост .252 удаленный, туда быстро не попасть, а если смотреть зеркало, там очень много всего (в сегменте более 600 хостов, плюс постоянная активность, мониторинг, пинги, SNMP).

На Cisco включал debug arp, криминала не увидел, но мог пропустить — сообщений много.

 

И кстати, если в этот момент зайти на .252 и с него выполнить пинг на .250, то пинг успешный (то есть хост получает ответы от шлюза).

Но при этом сам шлюз .250 по прежнему не пингует .252.

[VolanD666]

Я бы поставил сниффер на хост. Зашел бы на него через другой и смотрел что за траффик доходит (или не доходит до хоста)

[alibek]

Хост это коммутатор, на него ничего не поставишь.

Можно зеркало сделать, но коммутатор, в который подключен .252, тоже находится далеко и через пару маршрутизаторов.

[VolanD666]

А в

 

sh adjacency detail

 

запись есть?

[alibek]

Да.

IP       Vlan10                    10.1.10.252(8)
                                   0 packets, 0 bytes
                                   epoch 0
                                   sourced in sev-epoch 0
                                   Encap length 14
                                   00049697CAAF0024C36E3EC10800
                                   L2 destination address byte offset 0
                                   L2 destination address byte length 6
                                   Link-type after encap: ip
                                   ARP

 

[witch]

3 минуты назад, alibek сказал:

00049697CAAF0024C36E3EC10800

мас следущего роутера тут правельный?

[alibek]

CORE-NET-C3750G#sh arp | i 0004.9697.caaf
Internet  10.1.3.1               12   0004.9697.caaf  ARPA   Vlan200
Internet  10.1.10.252             3   0004.9697.caaf  ARPA   Vlan10
CORE-NET-C3750G#sh arp | i 0024.c36e.3ec1
Internet  10.0.201.2              -   0024.c36e.3ec1  ARPA   Vlan10
Internet  10.1.11.250             -   0024.c36e.3ec1  ARPA   Vlan10
Internet  10.1.10.250             -   0024.c36e.3ec1  ARPA   Vlan10
Internet  10.1.13.250             -   0024.c36e.3ec1  ARPA   Vlan10
Internet  10.1.12.250             -   0024.c36e.3ec1  ARPA   Vlan10
Internet  10.1.14.250             -   0024.c36e.3ec1  ARPA   Vlan10

0004.9697.caaf - это сам хост .252

0024.c36e.3ec1 - это Cisco (шлюз .250)

Все правильно, насколько я понимаю.

 

[witch]

попробуйте 

ip route static adjust-time 10

 

[alibek]

Нет, не помогло, хост недоступен.

 

Причем IP-адрес 10.1.3.1 (тот же хост, но на другом SVI) пингуется успешно.

И если зайти на другой хост из подсети 10.1.10.0/24, а с него на .252, то с хоста я успешно пингую как шлюз .250, так и другие подсети (например 10.1.13.113).

Похоже, что проблема только в одном направлении, от шлюза к хосту.

[VolanD666]

А МАКи точно не дублируются?

Изменено 4 декабря, 2019 пользователем VolanD666

[alibek]

Тогда бы чистка ARP-кеша не помогала.

Нет, не дублируются, это брендовое оборудование.

[alibek]

За сутки набрались определенные закономерности.

Примерно каждые 4 часа доступность хоста восстанавливается.

Доступность восстанавливается примерно на 10-15 минут, потому он снова недоступен.

Если вручную очистить arp-кеш, доступность восстанавливается на те же 10-15 минут.

Нет предположений, что это за тайминги такие на 4 часа?

 

Доступность хоста в SVI vlan10 вроде бы на сервисах не сказывается, поэтому пока занимаюсь более срочными делами.

Но неприятно, потому что это mgmt-интерфейс и с него я опрашиваю устройство по SNMP — а из-за этого глюка графики почти пустые.