এআরপি বন্যার নেটওয়ার্ক এবং উচ্চ সিপিইউ ব্যবহার সম্প্রচার করে


20

এখানে কারও আশা করা আমাদের যে সমস্যার মুখোমুখি হচ্ছে সে সম্পর্কে কিছুটা অন্তর্দৃষ্টি থাকতে পারে। বর্তমানে আমাদের কাছে সিসকো টিএসি মামলাটি দেখছে তবে তারা মূল কারণটি খুঁজে পেতে লড়াই করছে।

যদিও শিরোনামে এআরপি সম্প্রচার এবং উচ্চ সিপিইউ ব্যবহারের উল্লেখ রয়েছে, তবে তারা এই পর্যায়ে সম্পর্কিত বা সম্পর্কিত না থাকলে আমরা অনিশ্চিত।

আসল সমস্যাটি আইএনই অনলাইন সম্প্রদায়ে পোস্ট করা হয়েছে

আমরা নেটওয়ার্কটিকে একটি একক লিঙ্কে নামিয়ে এনেছি, কোনও রিন্ডান্সি সেটআপ নেই, এটিকে স্টার টপোলজি হিসাবে ভাবেন।

তথ্য:

  • আমরা স্ট্যাকের মধ্যে 450 টি স্যুইচ ব্যবহার করি। সংস্করণ 15.0 (1) SE3। সিসকো টিএসি এই বিশেষ সংস্করণটির জন্য উচ্চ সিপিইউ বা এআরপি বাগগুলির জন্য কোনও জ্ঞাত সমস্যা নিশ্চিত করে না।
  • কোনও হাব / পরিচালনা না করা সুইচ সংযুক্ত নেই
  • রিলয়েড কোর স্ট্যাক
  • আমাদের কোনও ডিফল্ট রুট নেই "আইপ রুট 0.0.0.0 0.0.0.0 f1 / 0"। রাউটিংয়ের জন্য ওএসপিএফ ব্যবহার করা।
  • আমরা ডেস্কটপ ডিভাইসের জন্য ব্যবহৃত ভিএলএএন 1, ভিএলএএন 1 থেকে বড় সম্প্রচারের প্যাকেটগুলি দেখতে পাই। আমরা 192.168.0.0/20 ব্যবহার করি
  • সিসকো টিএসি বলেছিল যে তারা / 20 ব্যবহার করে কোনও ভুল দেখতে পাবে না, অন্যথায় আমাদের কাছে একটি বৃহত সম্প্রচার ডোমেন থাকলেও এখনও কাজ করা উচিত।
  • ওয়াইফাই, পরিচালনা, প্রিন্টার ইত্যাদি সমস্ত বিভিন্ন ভিএলএএন-এ রয়েছে
  • স্প্যানিং ট্রি সিস্কো টিএসি এবং সিসিএনপি / সিসিআইই যোগ্য ব্যক্তিদের দ্বারা যাচাই করা হয়েছে। আমরা সমস্ত অপ্রয়োজনীয় লিঙ্কগুলি বন্ধ করে দিই।
  • মূলটিতে কনফিগারেশনটি সিস্কো টিএসি যাচাই করা হয়েছে।
  • আমাদের বেশিরভাগ স্যুইচগুলিতে ডিফল্ট এআরপি টাইমআউট।
  • আমরা প্রশ্নোত্তর বাস্তবায়ন করি না
  • কোনও নতুন স্যুইচ যুক্ত করা হয়নি (কমপক্ষে আমরা যার সম্পর্কে জানি না)
  • প্রান্তের স্যুইচগুলিতে গতিশীল আরপ পরিদর্শন ব্যবহার করতে পারবেন না কারণ এটি 2950
  • আমরা শো ইন্টারফেস ব্যবহার ইনক লাইন | সম্প্রচারের বৃহত সংখ্যক কোথা থেকে আসে তা নির্ধারণের জন্য সম্প্রচার, তবে সিসকো টিএসি এবং অন্য 2 প্রকৌশলী (সিসিএনপি এবং সিসিআইই) উভয়ই নেটওয়ার্কে যা ঘটছে তার কারণে এটি স্বাভাবিক আচরণ বলে নিশ্চিত করেছে (ম্যাক ফ্ল্যাপের বিশাল সংখ্যক হিসাবে) বৃহত্তর সম্প্রচারের কারণ)। আমরা যাচাই করেছি যে এসটিপি প্রান্তের সুইচে সঠিকভাবে কাজ করছে functioning

নেটওয়ার্ক এবং স্যুইচগুলিতে লক্ষণগুলি:

  • বিপুল সংখ্যক ম্যাক ফ্ল্যাপ
  • এআরপি ইনপুট প্রক্রিয়ার জন্য উচ্চ সিপিইউ ব্যবহার
  • বিপুল সংখ্যক এআরপি প্যাকেট, দ্রুত বর্ধমান এবং দৃশ্যমান
  • ওয়্যারশার্কস দেখায় যে শত শত কম্পিউটার এআরপি ব্রডকাস্টের সাহায্যে নেটওয়ার্ক প্লাবিত করছে
  • পরীক্ষার উদ্দেশ্যে, আমরা প্রায় ৮০ টি ডেস্কটপ মেশিনকে বিভিন্ন ভ্যালান রাখি, তবে আমরা এটি পরীক্ষা করেছি এবং উচ্চ সিপিইউ বা আরপ ইনপুটটিতে কোনও দৃশ্যমান পার্থক্য তৈরি করে নি
  • বিভিন্ন এভি / ম্যালওয়্যার / স্পাইওয়্যার চালিয়েছে তবে নেটওয়ার্কে কোনও ভাইরাস দৃশ্যমান নয়।
  • sh ম্যাক ঠিকানা-সারণী গণনা, আমাদের ভ্যালান 1 তে প্রত্যাশা অনুযায়ী প্রায় 750 বিভিন্ন ম্যাক ঠিকানা দেখায়।
#sh processes cpu sorted | exc 0.00%
CPU utilization for five seconds: 99%/12%; one minute: 99%; five minutes: 99%

 PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
  12   111438973    18587995       5995 44.47% 43.88% 43.96%   0 ARP Input
 174    59541847     5198737      11453 22.39% 23.47% 23.62%   0 Hulc LED Process
 221     7253246     6147816       1179  4.95%  4.25%  4.10%   0 IP Input
  86     5459437     1100349       4961  1.59%  1.47%  1.54%   0 RedEarth Tx Mana
  85     3448684     1453278       2373  1.27%  1.04%  1.07%   0 RedEarth I2C dri
  • বিভিন্ন স্যুইচ এবং নিজেই কোরটিতে ম্যাক অ্যাড্রেস-টেবিলটি রান করুন (মূলত, ডেস্কটপ দ্বারা সরাসরি প্লাগ করা হয়, আমার ডেস্কটপ), এবং আমরা ইন্টারফেসে বিভিন্ন ম্যাক হার্ডওয়্যার ঠিকানাটি নিবন্ধিত দেখতে পাচ্ছি, যদিও সেই ইন্টারফেসটি রয়েছে এটির সাথে কেবল একটি কম্পিউটার যুক্ত:
 Vlan    Mac Address       Type        Ports
 ----    -----------       --------    -----
    1    001c.c06c.d620    DYNAMIC     Gi1/1/3
    1    001c.c06c.d694    DYNAMIC     Gi1/1/3
    1    001c.c06c.d6ac    DYNAMIC     Gi1/1/3
    1    001c.c06c.d6e3    DYNAMIC     Gi1/1/3
    1    001c.c06c.d78c    DYNAMIC     Gi1/1/3
    1    001c.c06c.d7fc    DYNAMIC     Gi1/1/3
  • প্ল্যাটফর্ম tcam ব্যবহার দেখুন
 CAM Utilization for ASIC# 0                      Max            Used
                                              Masks/Values    Masks/values

  Unicast mac addresses:                       6364/6364       1165/1165
  IPv4 IGMP groups + multicast routes:         1120/1120          1/1
  IPv4 unicast directly-connected routes:      6144/6144        524/524
  IPv4 unicast indirectly-connected routes:    2048/2048         77/77
  IPv4 policy based routing aces:               452/452          12/12
  IPv4 qos aces:                                512/512          21/21
  IPv4 security aces:                           964/964          45/45

আমরা এখন একটি পর্যায়ে এসেছি, যেখানে এই অদ্ভুত এবং উদ্ভট সমস্যার উত্স বা মূল কারণ চিহ্নিত করার জন্য অন্য কারও কাছে কিছু ধারণা না থাকলে আমাদের প্রতিটি অঞ্চলকে একসাথে বিচ্ছিন্ন করার জন্য বিপুল পরিমাণ ডাউনটাইম প্রয়োজন হবে।


হালনাগাদ

বিস্তারিত প্রতিক্রিয়ার জন্য আপনাকে @ মাইকপেনিংটন এবং @ রিকিবিয়ামকে ধন্যবাদ জানাই। আমি যা চেষ্টা করতে পারি তার উত্তর দিয়ে দেব।

  • উল্লিখিত হিসাবে, 192.168.0.0/20 একটি উত্তরাধিকারসূত্রে প্রাপ্ত জগাখিচুড়ি। যাইহোক, আমরা ভবিষ্যতে এটিকে বিভক্ত করার মনস্থ করি কিন্তু দুর্ভাগ্যক্রমে আমরা এটি করতে পারার আগেই এই সমস্যাটি ঘটেছিল। আমি ব্যক্তিগতভাবে সংখ্যাগরিষ্ঠের সাথেও একমত, যার মাধ্যমে সম্প্রচারের ডোমেনটি অনেক বড়।
  • আরপওয়াচ ব্যবহার করা অবশ্যই আমরা চেষ্টা করতে পারি তবে আমার সন্দেহ হয় যে বেশ কয়েকটি অ্যাক্সেস পোর্ট ম্যাক অ্যাড্রেসটি নিবন্ধভুক্ত করছে যদিও এটি এই বন্দরের অন্তর্গত নয়, আরপওয়াচের উপসংহারটি কার্যকর নাও হতে পারে।
  • আমি নেটওয়ার্কটিতে সমস্ত রিলান্টিং লিঙ্ক এবং অজানা স্যুইচগুলি খুঁজে না পাওয়ার 100% নিশ্চিত না হওয়ার সাথে সম্পূর্ণরূপে একমত, তবে আমাদের সর্বাধিক সন্ধানের হিসাবে, যতক্ষণ না আমরা আরও প্রমাণ না পাই এটিই এটি।
  • বন্দর নিরাপত্তা বিবেচনা করা হয়েছে, দুর্ভাগ্যক্রমে ব্যবস্থাপনা বিভিন্ন কারণে এটিকে ব্যবহার না করার সিদ্ধান্ত নিয়েছে। সাধারণ কারণ হ'ল আমরা ক্রমাগত কম্পিউটারগুলিকে (কলেজের পরিবেশ) ঘুরে দেখি move
  • আমরা সমস্ত অ্যাক্সেস পোর্টে (ডেস্কটপ মেশিন) ডিফল্টরূপে স্প্যানিং-ট্রি বিপিডুগার্ডের সাথে একযোগে স্প্যানিং-ট্রি পোর্টফ্ল্যাফ ব্যবহার করেছি।
  • অ্যাক্সেস পোর্টে আমরা এই মুহুর্তে সুইচপোর্ট ননগোজিটি ব্যবহার করি না, তবে আমরা মাল্টিটল ভ্লান জুড়ে কোনও ভ্লান হপ্পিং আক্রমণ পাচ্ছি না।
  • ম্যাক-ঠিকানা-সারণী বিজ্ঞপ্তিটি একবারে দেবে এবং আমরা কোনও নিদর্শন খুঁজে পেতে পারি কিনা তা দেখুন।

"যেহেতু আপনি স্যুইচপোর্টগুলির মধ্যে প্রচুর পরিমাণে ম্যাক ফ্ল্যাপ পেয়েছেন, তাই অপরাধীরা কোথায় রয়েছে তা খুঁজে পাওয়া শক্ত (মনে করুন আপনি প্রচুর আর্প প্রেরণকারী দুটি বা তিনটি ম্যাক ঠিকানা খুঁজে পেয়েছেন, তবে উত্স ম্যাক ঠিকানাগুলি বন্দরগুলির মধ্যে ফ্ল্যাপিং রাখে)"।

  • আমরা এটি শুরু করেছিলাম, যে কোনও একটি ম্যাক ফ্ল্যাপ বেছে নিয়েছি এবং অ্যাক্সেস স্যুইচ করার জন্য সমস্ত মূল স্যুইচিংয়ের মাধ্যমে বিতরণে যেতে আমাদের পথ অব্যাহত রেখেছি, তবে আমরা যা পেয়েছি তা আবার দেখা গেল, অ্যাক্সেস পোর্ট ইন্টারফেসটি একাধিক ম্যাক ঠিকানা হোগিং করছিল তাই ম্যাক ফ্ল্যাপস; তাই ফিরে বর্গ এক.
  • ঝড়-নিয়ন্ত্রণ এমন একটি বিষয় যা আমরা বিবেচনা করেছি, তবে আমরা আশঙ্কা করি যে বৈধ প্যাকেটগুলি কিছুটা ফেলে দেওয়া হবে যার ফলে আরও সমস্যার সৃষ্টি হবে।
  • ভিএমহস্ট কনফিগারেশন ট্রিপল পরীক্ষা করবে।
  • @tyti অব্যক্ত ম্যাকের ঠিকানাগুলি অ্যাক্সেস পোর্টগুলির পিছনে পিছনে থাকে তবে তার পরে কোনও ব্যক্তি। এই ইন্টারফেসে কোনও লুপ খুঁজে পাওয়া যায় নি। ম্যাকের ঠিকানাগুলি অন্যান্য ইন্টারফেসেও উপস্থিত রয়েছে, যা ম্যাক ফ্ল্যাপগুলির বৃহত সংখ্যার ব্যাখ্যা করবে
  • @ রিকিবিয়াম আমি স্বাগত জানাই কেন হোস্টগুলি এত বেশি এআরপি অনুরোধ পাঠাচ্ছে; এটি একটি চমকপ্রদ ইস্যু। রুজ ওয়্যারলেস ব্রিজটি একটি আকর্ষণীয় একটি যা আমি চিন্তা করে দেখিনি, যতদূর আমরা সচেতন, ওয়্যারলেসটি বিভিন্ন ভিএলএনে রয়েছে; তবে দুর্বৃত্তের স্পষ্টতই বোঝা যাবে এটি ভালভাবে VLAN1 এ থাকতে পারে।
  • @ রিকিবিয়াম, আমি সত্যিই সমস্ত কিছু আনপ্লাগ করতে চাই না কারণ এর ফলে বিপুল পরিমাণ ডাউনটাইম হবে। তবে এটি যেখানে এটি কেবল শিরোনাম হতে পারে। আমাদের কাছে লিনাক্স সার্ভার রয়েছে তবে 3 এর চেয়ে বেশি নয়।
  • @ রিকিবিয়াম, আপনি কি ডিএইচসিপি সার্ভারকে "ইন-ইউজড" প্রোব ব্যাখ্যা করতে পারেন?

আমরা (সিসকো টিএসি, সিসিআইইস, সিসিএনপি) বিশ্বব্যাপী একমত যে এটি একটি স্যুইচ কনফিগারেশন নয় তবে একটি হোস্ট / ডিভাইস সমস্যা সৃষ্টি করছে।


1
আমি নোট করব: নেটওয়ার্কে লুপগুলি না থাকলে ম্যাক ফ্ল্যাপগুলি হওয়া উচিত নয়। কেবলমাত্র অন্যান্য যৌক্তিক কারণ একই ম্যাক ব্যবহার করে ভিএম হবে। (বা কিছু হাড়ের মাথায় একই ম্যাক ব্যবহারের জন্য একাধিক নিকের সেট রয়েছে)

@ কোল্ডটি, আমি আমার উত্তরটি আপডেট করেছি কারণ আমি আমার আসল প্রতিক্রিয়ার কয়েকটি জিনিস ভুলভাবে পড়েছি।
মাইক পেনিংটন

আপনি কি অনেকগুলি বন্দর বা কেবল একটি বন্দরের পিছনে বৃহৎ সংখ্যক অব্যক্ত ম্যাক ঠিকানা অনুভব করেন? বন্দরটি লুপ করা যাবে? ম্যাক ঠিকানাগুলি কি সেই বন্দরের পিছনে থাকে বা অন্য বন্দরগুলির পিছনেও উপস্থিত হয়? আমাদের কি এআরপির জন্য পিসিএপি আছে? বিপুল সংখ্যক ম্যাক ফ্ল্যাপগুলি অবশ্যই মোটেও স্বাভাবিক নয়, এটি বোঝায় যে টপোলজি পরিবর্তন করে রাখে বা আপনার নেটওয়ার্কে নিয়ন্ত্রণহীন লুপ থাকে।

1
@ কুল্ডটি, আমি মনে করি আপনার বন্দর-সুরক্ষা সম্পর্কে পরিচালনার সাথে পুনরায় জড়িত হওয়া উচিত; আমি বিশেষত আপনাকে এমন কনফিগারেশন দিয়েছি যা পিসিগুলিকে সুইচপোর্টের মধ্যে সরে যাওয়ার অনুমতি দেয়। switchport port-security aging time 5এবং এর switchport port-security aging type inactivityঅর্থ হ'ল আপনি নিষ্ক্রিয়তার 5 মিনিটের পরে পোর্টগুলির মধ্যে স্টেশনগুলি সরিয়ে নিতে পারেন, বা যদি আপনি ম্যানুয়ালি পোর্ট-সুরক্ষা প্রবেশটি সাফ করেন। যাইহোক, এই কনফিগারেশনটি স্যুইচের অ্যাক্সেস পোর্টগুলির মধ্যে ম্যাক ফ্ল্যাপগুলি বাধা দেয় কারণ পোর্টগুলি নির্বিচারে অন্য কোনও বন্দর থেকে একই ম্যাক-ঠিকানা উত্স করতে পারে না।
মাইক পেনিংটন

এটিও উল্লেখ করার মতো যে একই আইপি ঠিকানার জন্য আলাদা এআরপি না থাকলে আরপওয়াচ একটি ফ্লিপ ফ্লপ নিবন্ধন করে না। কারণ নির্বিশেষে, কখন কী ঘটে তা আপনার জানতে হবে। মেরে ম্যাক বন্যা আরপওয়াচকে বিভ্রান্ত করার পক্ষে যথেষ্ট নয়
মাইক পেনিংটন

উত্তর:


12

সমাধান।

সমস্যাটি এসসিসিএম 2012 এসপি 1 এর সাথে রয়েছে, নামক একটি পরিষেবা: কনফিগারআমার্গ ওয়েক-আপ প্রক্সি । 'বৈশিষ্ট্য' বিদ্যমান এসসিসিএম 2012 আরটিএম নেই।

নীতিমালার মধ্যে এটিকে বন্ধ করার 4 ঘন্টার মধ্যে, আমরা সিপিইউর ব্যবহারে অবিচ্ছিন্ন ড্রপ দেখেছি। ৪ ঘন্টা শেষ হওয়ার পরে, এআরপি ব্যবহার মাত্র 1-2% ছিল!

সংক্ষেপে, এই পরিষেবাটি ম্যাকের ঠিকানা ছদ্মবেশী করে! এটি কতটা ধ্বংসাত্মক ঘটনা ঘটেছে তা বিশ্বাস করতে পারছি না।

নীচে মাইক্রোসফ্ট টেকনেটের একটি সম্পূর্ণ পাঠ্য রয়েছে কারণ আমার মনে হচ্ছে এটি কীভাবে পোস্ট করা সমস্যার সাথে সম্পর্কিত understand

যে কেউ আগ্রহী তার জন্য, প্রযুক্তিগত বিবরণ নীচে।

যখন আপনি প্রয়োজনীয় সফ্টওয়্যার যেমন সফ্টওয়্যার আপডেট এবং অ্যাপ্লিকেশন ইনস্টল করতে চান: কনফিগারেশন ম্যানেজার স্থানীয় অঞ্চল নেটওয়ার্ক (ল্যান) প্রযুক্তিগুলিকে স্লিপ মোডে জাগ্রত করতে দুটি ওয়েগ সমর্থন করে: traditionalতিহ্যবাহী ওয়েক-আপ প্যাকেট এবং এএমটি পাওয়ার-অন কমান্ড।

কনফিগারেশন ম্যানেজার এসপি 1 দিয়ে শুরু করে, আপনি ওয়েক-আপ প্রক্সি ক্লায়েন্ট সেটিংস ব্যবহার করে traditionalতিহ্যবাহী ওয়েক-আপ প্যাকেট পদ্ধতির পরিপূরক করতে পারেন। ওয়েক-আপ প্রক্সিটি পিয়ার-টু-পিয়ার প্রোটোকল এবং নির্বাচিত কম্পিউটার ব্যবহার করে সাবনেটের অন্যান্য কম্পিউটারগুলি জেগে আছে কি না তা পরীক্ষা করতে এবং প্রয়োজনে তাদের জাগ্রত করতে ব্যবহার করে। যখন ওয়েক অন ল্যানের জন্য সাইটটি কনফিগার করা হয়েছে এবং ক্লায়েন্টদের জাগ্রত প্রক্সিটির জন্য কনফিগার করা হয়েছে, প্রক্রিয়াটি নিম্নলিখিতভাবে কাজ করে:

  1. যে কম্পিউটারগুলিতে কনফিগারেশন ম্যানেজার এসপি 1 ক্লায়েন্ট ইনস্টল করা আছে এবং যেগুলি সাবনেটে ঘুমায় না তারা সাবনেটের অন্যান্য কম্পিউটারগুলি জেগে আছে কিনা তা পরীক্ষা করে দেখুন। তারা প্রতি 5 সেকেন্ডে একে অপরকে একটি টিসিপি / আইপি পিং কমান্ড প্রেরণ করে এটি করে।

  2. অন্যান্য কম্পিউটার থেকে যদি কোনও প্রতিক্রিয়া না পাওয়া যায় তবে তারা ঘুমিয়ে আছে বলে ধরে নেওয়া হয়। জাগ্রত কম্পিউটারগুলি সাবনেটের ম্যানেজার কম্পিউটারে পরিণত হয়।

  3. কারণ এটি সম্ভব যে কোনও কম্পিউটার ঘুমন্ত হওয়া ব্যতীত অন্য কোনও কারণে প্রতিক্রিয়া জানাতে পারে না (উদাহরণস্বরূপ, এটি বন্ধ করা হয়, নেটওয়ার্ক থেকে সরানো হয়, বা প্রক্সি জাগ্রত ক্লায়েন্ট সেটিংস আর প্রয়োগ করা হয় না), কম্পিউটারগুলি স্থানীয় সময় দুপুর ২ টায় প্রতিদিন একটি জাগ্রত প্যাকেট পাঠায়। যে কম্পিউটারগুলি প্রতিক্রিয়া জানায় না তাদের আর ঘুমন্ত বলে ধরে নেওয়া হবে না এবং জাগ্রত প্রক্সি দিয়ে জাগানো হবে না।

জাগ্রত প্রক্সি সমর্থন করতে, প্রতিটি সাবনেটের জন্য কমপক্ষে তিনটি কম্পিউটার জেগে থাকতে হবে। এটি অর্জনের জন্য, তিনটি কম্পিউটার সাব-নেট-র জন্য অভিভাবক কম্পিউটার হতে অ-নিরপেক্ষভাবে বেছে নেওয়া হয়। এর অর্থ হ'ল তারা নিষ্ক্রিয়তার সময়কালের পরে ঘুমাতে বা হাইবারনেটে কোনও কনফিগার করা পাওয়ার নীতি সত্ত্বেও, তারা জাগ্রত থাকেন। অভিভাবক কম্পিউটারগুলি শাটডাউনকে সম্মান জানায় বা কমান্ড পুনরায় আরম্ভ করে, উদাহরণস্বরূপ, রক্ষণাবেক্ষণের কার্যগুলির ফলস্বরূপ। যদি এটি ঘটে থাকে, অবশিষ্ট অভিভাবক কম্পিউটারগুলি সাবনেটে অন্য একটি কম্পিউটার জাগ্রত করে যাতে সাবনেটে তিনটি অভিভাবক কম্পিউটার থাকে।

ম্যানেজার কম্পিউটারগুলি ঘুমন্ত কম্পিউটারগুলির জন্য নেটওয়ার্ক ট্র্যাফিককে নিজের দিকে পুনর্নির্দেশ করতে নেটওয়ার্ক স্যুইচকে বলে।

পুনর্নির্দেশ ম্যানেজার কম্পিউটার দ্বারা একটি ইথারনেট ফ্রেম সম্প্রচার করে যা স্লিপিং কম্পিউটারের ম্যাক ঠিকানাটিকে উত্স ঠিকানা হিসাবে ব্যবহার করে। এটি নেটওয়ার্ক স্যুইচটিকে এমন আচরণ করতে দেয় যেন স্লিপিং কম্পিউটার একই পোর্টে চলে গেছে ম্যানেজার কম্পিউটারটি। ম্যানেজার কম্পিউটার এআরপি ক্যাশে এন্ট্রি টাটকা রাখতে স্লিপিং কম্পিউটারগুলির জন্য এআরপি প্যাকেটগুলি প্রেরণ করে। ম্যানেজার কম্পিউটারটি ঘুমন্ত কম্পিউটারের পক্ষ থেকে এআরপি অনুরোধগুলির প্রতিক্রিয়া জানাবে এবং স্লিপিং কম্পিউটারের ম্যাক ঠিকানা দিয়ে উত্তর দেবে।

এই প্রক্রিয়া চলাকালীন, ঘুমন্ত কম্পিউটারের জন্য আইপি-থেকে-ম্যাক ম্যাপিং একই থাকে remains ওয়েক-আপ প্রক্সিটি নেটওয়ার্ক স্যুইচকে জানিয়ে দিয়ে কাজ করে যে একটি ভিন্ন নেটওয়ার্ক অ্যাডাপ্টার অন্য একটি নেটওয়ার্ক অ্যাডাপ্টারের দ্বারা নিবন্ধিত পোর্টটি ব্যবহার করছে। তবে, এই আচরণটি ম্যাক ফ্ল্যাপ হিসাবে পরিচিত এবং স্ট্যান্ডার্ড নেটওয়ার্ক অপারেশনের জন্য অস্বাভাবিক unusual কিছু নেটওয়ার্ক নিরীক্ষণ সরঞ্জামগুলি এই আচরণটির সন্ধান করে এবং ধরে নিতে পারে যে কিছু ভুল। ফলস্বরূপ, আপনি জাগ্রত প্রক্সি ব্যবহার করার সময় এই পর্যবেক্ষণ সরঞ্জামগুলি সতর্কতা তৈরি করতে বা বন্দরগুলি বন্ধ করতে পারে। আপনার নেটওয়ার্ক মনিটরিং সরঞ্জাম এবং পরিষেবাগুলি ম্যাক ফ্ল্যাপটিকে অনুমতি না দিলে জাগ্রত প্রক্সি ব্যবহার করবেন না।

  1. যখন কোনও ম্যানেজার কম্পিউটার স্লিপিং কম্পিউটারের জন্য একটি নতুন টিসিপি সংযোগের অনুরোধটি দেখে এবং অনুরোধটি একটি বন্দরের কাছে যা ঘুমন্ত কম্পিউটারটি ঘুমানোর আগে শোনা যাচ্ছিল, তখন ম্যানেজার কম্পিউটার ঘুমের কম্পিউটারে একটি জাগ্রত প্যাকেট প্রেরণ করে এবং তারপরে এই কম্পিউটারের জন্য ট্র্যাফিক পুনঃনির্দেশ বন্ধ করে।

  2. ঘুমন্ত কম্পিউটারটি জাগ্রত প্যাকেট গ্রহণ করে এবং জেগে ওঠে। প্রেরণকারী কম্পিউটারটি স্বয়ংক্রিয়ভাবে সংযোগটি পুনরায় চেষ্টা করে এবং এবার কম্পিউটারটি জেগে আছে এবং প্রতিক্রিয়া জানাতে পারে।

তথ্যসূত্র: http://technet.microsoft.com/en-us/library/dd8eb74e-3490-446e-b328-e67f3e85c779#BKMK_PlanToWakeClients

যারা এখানে পোস্ট করেছেন এবং সমস্যা সমাধানের প্রক্রিয়াটিতে সহায়তা করেছেন তাদের প্রত্যেককে ধন্যবাদ, খুব প্রশংসিত।


আপনি উত্তরে প্রয়োজনীয়টি রাখেন নি: আপনি কীভাবে এই বৈশিষ্ট্যটি বন্ধ করবেন?
ওভারমাইন্ড

10

এআরপি / সম্প্রচার ঝড়

  • আমরা ডেস্কটপ ডিভাইসের জন্য ব্যবহৃত ভিএলএএন 1, ভিএলএএন 1 থেকে বড় সম্প্রচারের প্যাকেটগুলি দেখতে পাই। আমরা 192.168.0.0/20 ব্যবহার করি ...
  • ওয়্যারশার্কস দেখায় যে শত শত কম্পিউটার এআরপি ব্রডকাস্টের সাহায্যে নেটওয়ার্ক প্লাবিত করছে ...

আপনার এআরপি ইনপুট প্রক্রিয়াটি বেশি, যার অর্থ সুইচটি এআরপি প্রসেসিংয়ে প্রচুর সময় ব্যয় করছে। এআরপি বন্যার একটি খুব সাধারণ কারণ হ'ল আপনার সুইচগুলির মধ্যে একটি লুপ। আপনার যদি লুপ থাকে তবে আপনি উপরে বর্ণিত ম্যাক ফ্ল্যাপগুলিও পেতে পারেন। এআরপি বন্যার অন্যান্য সম্ভাব্য কারণগুলি হ'ল:

প্রথমে উপরে উল্লিখিত ভুল কনফিগারেশনের সম্ভাবনা বা একটি স্তর 2 আক্রমণ বাদ দিন। এই কাজ করতে সবচেয়ে সহজ উপায় সাথে আছেন arpwatch লিনাক্স মেশিন (আপনি একটি ব্যবহার করতে হবে এমনকি যদি উপর LiveCD একটি ল্যাপটপ তে) খুলুন। যদি আপনার কোনও ভুল কনফিগারেশন বা লেয়ার 2 আক্রমণ থাকে, তবে আরপওয়াচ আপনাকে সিসলগে এই জাতীয় বার্তা দেয়, যা একই আইপি ঠিকানার সাথে লড়াই করা ম্যাক অ্যাড্রেসগুলির তালিকা করে ...
Oct 20 10:31:13 tsunami arpwatch: flip flop 192.0.2.53 00:de:ad:85:85:ca (00:de:ad:3:d8:8e)

আপনি যখন "ফ্লিপ ফ্লপ" দেখেন, আপনাকে ম্যাক ঠিকানাগুলির উত্সটি খুঁজে বের করতে হবে এবং তারা কেন একই আইপি নিয়ে লড়াই করছে তা নির্ধারণ করতে হবে।

  • বিপুল সংখ্যক ম্যাক ফ্ল্যাপ
  • স্প্যানিং ট্রি সিস্কো টিএসি এবং সিসিএনপি / সিসিআইই যোগ্য ব্যক্তিদের দ্বারা যাচাই করা হয়েছে। আমরা সমস্ত অপ্রয়োজনীয় লিঙ্কগুলি বন্ধ করে দিই।

এমন কারও সাথে কথা বলা যাকে আমি স্মরণ করতে চাই তার চেয়ে বেশি বার পার হয়েছি, ধরে নিবেন না যে আপনি সমস্ত অপ্রয়োজনীয় লিঙ্ক পেয়েছেন ... কেবল আপনার সুইচপোর্টগুলিকে সর্বদা আচরণ করাতে বাধ্য করুন।

যেহেতু আপনি সুইচপোর্টের মধ্যে প্রচুর পরিমাণে ম্যাক ফ্ল্যাপ পেয়ে যাচ্ছেন, তাই অপরাধীরা কোথায় রয়েছে তা খুঁজে পাওয়া শক্ত (মনে করুন আপনি প্রচুর আর্প প্রেরণকারী দুটি বা তিনটি ম্যাক ঠিকানা খুঁজে পেয়েছেন, তবে উত্স ম্যাক ঠিকানাগুলি বন্দরগুলির মধ্যে ফ্ল্যাপিং রাখে)। আপনি যদি প্রতি প্রান্ত বন্দরে ম্যাক-ঠিকানাগুলিতে কোনও কঠোর সীমাবদ্ধতা প্রয়োগ না করে থাকেন তবে ম্যানুয়ালি কেবলগুলি আনপ্লাগিং ছাড়াই এই সমস্যাগুলি সন্ধান করা খুব কঠিন (যা আপনি এড়াতে চান)। স্যুইচ লুপগুলি নেটওয়ার্কে একটি অপ্রত্যাশিত পথ তৈরি করে এবং আপনি সাধারণত ডেস্কটপ সুইচপোর্ট যা হওয়া উচিত তা থেকে মাঝে মাঝে শিখতে পারেন কয়েকশ ম্যাক।

ম্যাক-মুভগুলি ধীর করার সবচেয়ে সহজ উপায়টি হ'ল port-security। ভ্লান 1 এর প্রতিটি অ্যাক্সেস স্যুইচপোর্টে যা একটি একক পিসিতে সংযুক্ত থাকে (ডাউনস্ট্রিম সুইচ ব্যতীত), আপনার সিস্কো সুইচে নিম্নলিখিত ইন্টারফেস-স্তরের কমান্ডগুলি কনফিগার করুন ...

switchport mode access
switchport access vlan 1
!! switchport nonegotiate disables some Vlan-hopping attacks via Vlan1 -> another Vlan
switchport nonnegotiate
!! If no IP Phones are connected to your switches, then you could lower this
!!   Beware of people with VMWare / hubs under their desk, because 
!!   "maximum 3" could shutdown their ports if they have more than 3 macs
switchport port-security maximum 3
switchport port-security violation shutdown
switchport port-security aging time 5
switchport port-security aging type inactivity
switchport port-security
spanning-tree portfast
!! Ensure you don't have hidden STP loops because someone secretly cross-connected a 
!!   couple of desktop ports
spanning-tree bpduguard enable

বেশিরভাগ ম্যাক / এআরপি বন্যার ক্ষেত্রে, আপনার সমস্ত প্রান্তের স্যুইচ পোর্টগুলিতে এই কনফিগারেশনটি প্রয়োগ করা (বিশেষত পোর্টফ্লাস্ট সহ কোনও) আপনাকে পুনরায় বুদ্ধিমান অবস্থায় ফিরিয়ে আনবে, কারণ কনফিগারেশনটি কোনও তিনটি ম্যাক-ঠিকানা ছাড়িয়ে যাওয়া কোনও বন্দর বন্ধ করে দেবে এবং একটি গোপনে অক্ষম করে দেবে লুপড পোর্টফোর্ট বন্দর প্রতি পোর্টে তিনটি ম্যাক এমন একটি সংখ্যা যা আমার ডেস্কটপ পরিবেশে ভাল কাজ করে তবে আপনি এটি 10 ​​এ বাড়িয়ে দিতে পারেন এবং সম্ভবত ঠিকঠাক হতে পারেন। আপনি এটি করার পরে, কোনও স্তর 2 টি লুপগুলি ভেঙে যায়, দ্রুত ম্যাক ফ্ল্যাপগুলি বন্ধ হয়ে যায় এবং এটি রোগ নির্ণয়কে আরও সহজ করে তোলে।

ব্রডকাস্ট ঝড় (ম্যাক-মুভ) এবং বন্যার (প্রান্তিকতা) এর সাথে যুক্ত পোর্টগুলি ট্র্যাক করার জন্য কার্যকর এমন আরও কয়েকটি বৈশ্বিক কমান্ড ...

mac-address-table notification mac-move
mac address-table notification threshold limit 90 interval 900

আপনি শেষ করার পরে, clear mac address-tableসম্ভাব্য পূর্ণ সিএএম টেবিল থেকে নিরাময়কে ত্বরান্বিত করতে বিকল্পভাবে একটি করুন ।

  • বিভিন্ন স্যুইচ এবং নিজেই কোরটিতে ম্যাক অ্যাড্রেস-টেবিলটি রান করুন (মূলত, ডেস্কটপ দ্বারা সরাসরি প্লাগ করা হয়, আমার ডেস্কটপ), এবং আমরা ইন্টারফেসে বিভিন্ন ম্যাক হার্ডওয়্যার ঠিকানাটি নিবন্ধিত দেখতে পাচ্ছি, যদিও সেই ইন্টারফেসটি রয়েছে এর সাথে কেবল একটি কম্পিউটার সংযুক্ত রয়েছে ...

এই পুরো উত্তরটি ধরে নিয়েছে যে আপনার 3750 এ সমস্যার কারণ হতে পারে এমন কোনও বাগ নেই (তবে আপনি বলেছিলেন যে ওয়্যারশার্ক প্রবাহিত পিসিগুলি নির্দেশ করছে)) জিআই 1/1/3 এর সাথে কেবলমাত্র একটি কম্পিউটার সংযুক্ত থাকলে আপনি যা আমাদের দেখিয়ে দিচ্ছেন তা স্পষ্টতই ভুল, যদি না পিসিটিতে ভিএমওয়্যারের মতো কিছু থাকে।

বিবিধ চিন্তাভাবনা

আমাদের সাথে আড্ডার কথোপকথনের উপর ভিত্তি করে, সম্ভবত আমার স্পষ্টতই উল্লেখ করতে হবে না, তবে আমি ভবিষ্যতের দর্শকদের জন্য করব ...

  • কোনও ব্যবহারকারীকে ভ্লান 1 এ রাখা সাধারণত একটি খারাপ ধারণা (আমি বুঝতে পারি যে আপনি সম্ভবত কোনও গোলমাল পেয়েছেন)
  • টিএসি আপনাকে যা বলে তা নির্বিশেষে, 192.168.0.0/20 স্তর 2 আক্রমণের ঝুঁকি ছাড়াই একটি একক স্যুইচড ডোমেনে পরিচালনা করতে খুব বিশাল। আপনার সাবনেট মাস্কটি যত বড় হবে আপনার তত বেশি আকারের আক্রমণ 2 লেটারের হতে হবে কারণ এআরপি একটি অচিরাচরিত প্রোটোকল এবং একটি রাউটার অবশ্যই অন্তত সেই সাবনেট থেকে একটি বৈধ এআরপি পড়তে হবে।
  • স্তর 2 বন্দরগুলিতে ঝড়-নিয়ন্ত্রণ সাধারণত ভাল ধারণাও হয়; তবে, ঝড়-নিয়ন্ত্রণকে এই জাতীয় পরিস্থিতিতে সক্ষম করা খারাপ ট্র্যাফিকের সাথে ভাল ট্র্যাফিক গ্রহণ করবে। নেটওয়ার্ক নিরাময়ের পরে, আপনার প্রান্ত বন্দরগুলি এবং আপলিঙ্কগুলিতে কিছু ঝড়-নিয়ন্ত্রণ নীতি প্রয়োগ করুন।

1
প্রকৃতপক্ষে, তার টেম ক্যাম বেশি করা হয়নি। প্রথম কলামটি সর্বাধিক, দ্বিতীয়টি বর্তমান ব্যবহার। আপনি মুখোশ বনাম মান অংশ উপেক্ষা করতে পারেন। এখান থেকে এটি একটি "সাধারণ" আর্প ঝড়ের মতো শোনাচ্ছে তবে তার টপোলজি এবং আসল ট্র্যাফিকের অজান্তে আমি কেন অনুমান করতে পারি না।

2

আসল প্রশ্নটি হ'ল হোস্টরা কেন প্রথম স্থানে এতগুলি এআরপি প্রেরণ করছে? এটির উত্তর না দেওয়া পর্যন্ত, সুইচ (এস) এ আরপ ঝড় মোকাবেলা করতে একটি কঠিন সময় চলতে থাকবে। নেটমাস্ক মিলছে না? কম হোস্ট আরপ টাইমার? একটি (বা আরও) হোস্টের "ইন্টারফেস" রুট রয়েছে? কোথাও একটি রাউজ ওয়্যারলেস ব্রিজ? "কৃতজ্ঞ আরপ" পাগল হয়ে গেল? ডিএইচসিপি সার্ভার "ইন-ইউজড" প্রোব? এটি সুইচগুলি বা স্তর 2 সহ কোনও সমস্যার মতো শোনায় না; আপনার হোস্ট খারাপ কাজ করছে।

আমার ডিবাগিং প্রক্রিয়াটি সমস্ত কিছু আনপ্লাগ করা হবে এবং একবারে জিনিসগুলি পুনরায় সংযুক্ত হওয়ার সাথে সাথে ঘনিষ্ঠভাবে পর্যবেক্ষণ করা হবে। (আমি জানি এটি আদর্শ থেকে কয়েক মাইল দূরে, তবে কোনও সময়ে আপনাকে আপনার ক্ষয় কাটাতে হবে এবং কোনও সম্ভাব্য উত্স (গুলি) শারীরিকভাবে বিচ্ছিন্ন করার চেষ্টা করতে হবে) তবে আমি কেন বেছে নেওয়া বন্দরগুলি কয়েকটি আর্প তৈরি করছে তা বোঝার দিকে কাজ করব।

(এই হোস্টগুলির মধ্যে অনেকগুলি কি লিনাক্স সিস্টেম হতে পারে? লিনাক্সের খুব বুদ্ধিমান এআরপি ক্যাশে ম্যানেজমেন্ট সিস্টেম ছিল; এটি মাত্র কয়েক মিনিটের মধ্যেই "পুনরায় যাচাই" করবে) এই বিষয়টি আমার বইতে বিভক্ত এটি ছোট নেটওয়ার্কগুলিতে কোনও ইস্যু কম বলে মনে হয়, তবে একটি / 20 একটি ছোট নেটওয়ার্ক নয়)


1

এটি আপনার সমস্যাটির সাথে সম্পর্কিত হতে পারে বা নাও থাকতে পারে, তবে আমি অনুভব করেছি এটি কমপক্ষে সেখানে ফেলে দেওয়ার মতো কিছু হতে পারে:

আমাদের বর্তমানে আমাদের কয়েকটি দুর্গম সাইটগুলিতে বেশ কয়েকটি 3750x স্তুপীকৃত রয়েছে, বেশিরভাগই 15.0.2 (এসই 0 থেকে 4 এর মধ্যে চলছে, এসই 0 সহ কিছু এফআরইউ বাগ রয়েছে যা আমি ধীরে ধীরে দূরে সরে যাচ্ছি)।

একটি নিয়মিত আইওএস আপডেটের সময়, 15.0.2 থেকে 15.2-1 (অতি সাম্প্রতিক এসই) এ গিয়ে আমরা লক্ষণীয়ভাবে সিপিইউ বৃদ্ধি পেয়েছি, প্রায় 30% থেকে 60% এবং উচ্চ-সময়ে সময়ে উচ্চতর। আমি কনফিগারেশন এবং আইওএস চেঞ্জ লগগুলি পর্যালোচনা করেছি এবং সিসকো টিএসি-র সাথে কাজ করছি। টিএসি অনুসারে, তারা মনে হয় যে সেই স্থানে রয়েছে যেখানে তারা বিশ্বাস করে যে এটি কিছু আইওএস 15.2-1 বাগ রয়েছে।

আমরা যেমন সিপিইউ বৃদ্ধি তদন্ত অব্যাহত রেখেছি, আমরা প্রচুর পরিমাণে এআরপি ট্র্যাফিক দেখতে শুরু করেছি যেখানে আমাদের এআরপি টেবিলগুলি পুরোপুরি ভরাট হয়ে গেছে এবং নেটওয়ার্ক অস্থিতিশীলতার কারণ হয়েছে। এর জন্য অস্থায়ী ক্র্যাচটি হ'ল আমাদের এআরপি সময়সীমাটি ম্যানুয়ালি আমাদের ভয়েস এবং ডেটা ভ্ল্যান্সে ডিফল্ট (14400) থেকে 300 এ দূরে রাখা হয়েছিল।

আমাদের এআরপি সময়সীমা হ্রাস করার পরে, আমরা একসপ্তাহ বা তার বেশি সময় স্থিতিশীল ছিলাম, সেই সময়ে আমরা আইওএস 15.0.2-SE4 এ ফিরে এসে আমাদের অ-ডিফল্ট এআরপি সময়সীমা সরিয়ে ফেলেছিলাম। আমাদের সিপিইউ ব্যবহারটি ~ 30% এ ফিরে এসেছে এবং আমাদের এআরপি টেবিলের সমস্যাগুলি অস্তিত্বহীন।


আকর্ষণীয় গল্প ... ভাগ করে নেওয়ার জন্য ধন্যবাদ, যদিও এটি কোনও বাগড যুক্ত করতে সহায়তা করতে পারে তাই ওপি উন্মুক্ত হয়েছে কিনা তা নির্ধারণ করা আরও সহজ। এফওয়াইআই, আপনার এআরপি টাইমআউটটি আপনার সিএএম টাইমারের চেয়ে কম রাখাই প্রায়শই ভাল ধারণা।
মাইক পেনিংটন

মন্তব্যের জন্য ধন্যবাদ, তবে মূল সমস্যাটির আলোকে আমরা বর্তমানে স্ট্যাক জুড়ে একটি নিম্ন আইওএস সংস্করণ ব্যবহার করছি এবং কিছু সময়ের জন্য বেশ স্থিতিশীল হয়েছি been @ মাইকপেনিংটন ডিফল্টরূপে এআরপি টাইমআউট 4 ঘন্টা এবং ক্যামের সময়সীমা 5 মিনিট সেট করা আছে? এই ঘটনা না?
শীতল টি

@ কোল্ডটি, এজন্যই আমি এটি উল্লেখ করেছি। কিছু এইচএসআরপি ক্ষেত্রে, সিস্কোর সিএএম / এআরপি টাইমাররা ডিফল্টরূপে জিনিসগুলি ভেঙে দেয় । অন্যথায় বাধ্যতামূলক কারণ না থাকলে, আমি আমার arp timeout 240সমস্ত এসভিআই / এল 3 ইন্টারফেসগুলিতে সেট করেছিলাম যা একটি স্যুইচের সম্মুখীন হয়।
মাইক পেনিংটন

0

একটি কার্যকরভাবে সহজ কিন্তু সম্ভবত উপেক্ষা করা হয়; আপনার ক্লায়েন্টদের একটি বৈধ ডিফল্ট গেটওয়ে আছে, আপনি প্রচুর প্রক্সি আরপ করছেন না core আপনি আপনার 3750 এ আইপি প্রক্সি আরপ ফাংশনটি উপেক্ষা করার জন্য বিবেচনা করতে পারেন?

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.