Jump to content
Калькуляторы

Нулевые маки macaddr:00-00-00-00-00-00

Добрый день.

Подскажите, если отфильтровывать жестко трафик с нулевыми мак адресами: 00-00-00-00-00-00, чем это может грозить?

 

На свитче L3 постоянно сыпятся Failed ARP записи и таблица забивается напрочь. В результате чего маршрутизация падает у всех, кто идет через этот свитч.

Share this post


Link to post
Share on other sites

фильтруйте на доступе, в чем проблема?

Share this post


Link to post
Share on other sites

Лучше снять дамп и разобраться с проблемой. Может статься, что никаких пакетов с нулевыми маками нет а есть неуспешные попытки разрешить ip адрес. Такое бывает если кто-то сканит и если блок адресов большой, эти записи забивают таблицу. Вообще-то они должны пропадать через несколько секунд. Ну или блок адресов всегда должен быть меньше чем физичеки вмещает arp таблица.

Если же это кто-то вам с доступа вливает генератором gratuitous arp, то или фильтровать или ловить и отключать.

Share this post


Link to post
Share on other sites

дело не в нулевых маках. эдж-кор сначала создает у себя в кэше запись с нулевым МАКом. После ответа хоста на арп-запрос эта строка заполняется.

BTW: клиенты получают IP по DHCP или статика?

Share this post


Link to post
Share on other sites

Ну да, собственно, и есть тот самый эджкор. в котором всего таблица 8К адресов, из которых успешных около 2-3К, а все остальные 5-6К - это failed адреса. После очищения кеша сразу начинает расти поле failed сотнями единиц буквально в несколько секунд.

 

Я сначала тоже думал, что это кто-то забивает какой-то генерилкой или вирусником, но это происходит во всех вланах где живут абоненты. Сегменты сами по себе не большие. На каждый сегмент выделяется подсетка на 254 хоста(с маской \24) и в каждый влан входит столько домов, чтобы не перекрыть возможности сетки, ну это все расчитывали заранее, вланы от балды не кидали. ip выдаёт DHCP сервер

Edited by spruce

Share this post


Link to post
Share on other sites

А сколько суммарный блок адресов терминируемый на этом устройстве ?

Есть ли повторяющиеся записи с нулевым маком для одного и того же IP ?

 

Share this post


Link to post
Share on other sites

суммарно получается около 150 вланов... в реале количество адресов можно делить в два или даже в 3раза. да трафик проходит вообще без проблем. На свитче работает OSPF с другими коммутаторами. Также вещается rip в вланы ну и просто различные каналы есть. Трафик на портах - ну начиная от 200 мбит и до 700 мбит доходит, не больше. На аплинке всего 1-1,5 гигабита. Загрузка ЦПУ около 20-30 процентов была. В последнее время вот вырасло до 40%.

 

Если в таблицу каким то образом попадает адрес, то потом все начинает работать нормально. В первом посту немного неверно выразился - маршрутизация не падает у тех, адреса которых попали в таблицу.

 

Повторных записей не замечал.

Edited by spruce

Share this post


Link to post
Share on other sites

вообще это классическая болезнь(софтовая часть - ARP,IGMP, IGP и т.п.) любого дешёвого L3 свича, лечится долго, сложно и с матюгами(с вашей стороны) ;)

 

Share this post


Link to post
Share on other sites

Не понял, сколько же суммарно висит IP адесов.

Если больше, чем заявлено в характеристиках коммутатора на таблицу arp, и время жизни записи достаточно долгое (может определяться как продолжительность посылки arp пакетов, а может и софтварно сидеть в таблице скажем минуту, пока какой нибудь периодический внутренний процесс не почистит) то смело надо разделять или умощать железо. proxy-arp тоже стоит проверить, если включен и не нужен, выключить.

Не понял также фразу про делить на два. Если вы к тому, что все сразу не работают, то это не выход, раз блок висит, любой скан все равно пройдет весь блок.

 

Edited by rus-p

Share this post


Link to post
Share on other sites

Да, согласен про сканирование, делить особо нельзя. Тогда суммарно весит порядка 150 сетей (маска /24). Не понятно почему валят нулевые маки в таком количестве. Если просто сниффить сеть на arp запросы - то никаких нулевых маков не наблюдается. По поводу сканирования - ведь при сканировании какого то сегмента, как правило адреса обходятся последовательно в пределах одной подсети, тогда бы я получал на свитче последовательные IP адреса в логи; но тут разброс, причем координальный, надо либо иметь генерилку случайных адресов, либо еще что-то. Да и начинают появлятся они сразу после очистки кеша.

 

Share this post


Link to post
Share on other sites

а какое рекомендуемое значение mac Aging Time, по умолчанию стоит 300сек ?

Share this post


Link to post
Share on other sites

mac Aging Time имеет отношение только в MAC-таблице и не влияет на арп. В данной ситуации косяк именно с арп.

Share this post


Link to post
Share on other sites

Так у вас 150*256 ~ 40k арп записей потенциально может появиться?

А таблица на 8k.

Однозначно менять железо.

 

Скан идет (если реальные) из интернета всегда. Как он идет, рандомизированно или последовательно уже не суть.

Если серые, то скан из вашей сетки сделает тоже самое.

 

Про нулевые маки, уже говорили, это не пакеты ходят с нулевыми маками, это ваш коммутатор пытается разрешить IP адрес, посылая реквесты, а на время разрешения вносит в таблицу запись с нулями, когда приходит реплай, он вместо нулей подставляет мак.

 

Share this post


Link to post
Share on other sites
mac Aging Time имеет отношение только в MAC-таблице и не влияет на арп. В данной ситуации косяк именно с арп.
так а на что влияет ? как работает?

внятного в инете что-то я не нашел

Share this post


Link to post
Share on other sites

влияет на время жизни МАК адресов:) работает так: ставите время - оно меняется

Share this post


Link to post
Share on other sites

то, что это время сохранения мас в таблице- это понятно, какое значение рекомендуется ?

при высоком значении - мас будут занимать место в таблице, при низком таблица будет меньше, но если трафик будет высокий (вирусня или спуфинг) получим постоянное переполнение таблицы мас

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this