Динамические порты проверки ARP err-disable с% SW_DAI-4-PACKET_RATE_EXCEEDED

Порты в моей сети на случайных коммутаторах (подключенных к рабочим станциям Windows 7) встраиваются в err-disable из-за динамического контроля arp. Порты переходят в err-disable, потому что слишком много запросов ARP-запросов в секунду.

См. вывод из журнала:

Mar  2 13:14:35 EST: %SW_DAI-4-PACKET_RATE_EXCEEDED: 21 packets received in 922 milliseconds 
on Gi1/0/6.
Mar  2 13:14:35 EST: %PM-4-ERR_DISABLE: arp-inspection error detected on Gi1/0/6, putting 
Gi1/0/6 in err-disable state
Mar  2 13:14:36 EST: %LINEPROTO-5-UPDOWN: Line protocol on Interface 
GigabitEthernet1/0/6, changed state to down

Мне удалось захватить порт, который отключается при отключении (через SPAN). См. Прилагаемый сбор: https://app.box.com/s/2ow0tlutzxwk5odk0zuqhug1kgqlykbd

IP-адрес рабочей станции, которая находится на порту gig1 /0/6, составляет 151.121.79.89.

Насколько я вижу, существует много запросов ARP для 151.121.79.89 со случайных рабочих станций в 13:14:34, и это приводит к тому, что порт переходит в err-disable.

Я работаю с Cisco WS-C2960S-48FPS-L

Конфигурация портов является стандартной для всех портов доступа:

switchport access vlan 79
switchport mode access
switchport voice vlan 3001
switchport port-security maximum 3
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
ip arp inspection limit rate 20
srr-queue bandwidth share 1 30 35 5
queue-set 2
priority-queue out
mls qos trust device cisco-phone
mls qos trust cos
spanning-tree portfast
service-policy input AUTOQOS-SRND4-CISCOPHONE-POLICY
ip dhcp snooping limit rate 20

Я также включаю конфигурацию проверки arp (типичная конфигурация dhcp-snooping на vlan 79):

ip arp inspection vlan 79
ip arp inspection validate src-mac ip
ip arp inspection log-buffer entries 1024
ip arp inspection log-buffer logs 1024 interval 10

Мне интересно, почему бы случайные рабочие станции пытались разрешить IP-адрес рабочей станции, подключенной к 1/0/6 менее чем за секунду?

3 голоса | спросил user4608 6 MarpmFri, 06 Mar 2015 20:17:38 +03002015-03-06T20:17:38+03:0008 2015, 20:17:38

3 ответа


3

ip arp inspection limit rate 20

20 пакетов в секунду действительно низкий. Если на этом порту есть сервер (или несколько систем), то 20 pps ничего.

Обновление

Я не знаю, какие хосты в вашей сети (кто говорит с кем и почему), но на минуту в 13:14:34, 15 хостов спросили, кто 89. И 89 спросил, у кого 5 хозяев. Запрос ~ 0,1 с до этого периода составляет 21 ппс. [фильтр: arp & & (eth.src == 10: 1f: 74: f5: be: 36)]

[Примечание. По умолчанию Cisco по-прежнему хуже 15 .]

ответил Ricky Beam 7 MaramSat, 07 Mar 2015 00:03:07 +03002015-03-07T00:03:07+03:0012 2015, 00:03:07
2

user4608 Этановые банки 'блог ). Это может означать, что кто-то:

  • Попытка управлять собственным DHCP-сервером в вашей сети (естественно, это не хорошо, но это не всегда вредно).
  • Попытка обмануть пакеты DHCP OFFER (это плохо, например, они могут назначить себя в качестве шлюза клиента при подготовке атаки MITM).
ответил Mike Pennington 8 MaramSun, 08 Mar 2015 02:37:04 +03002015-03-08T02:37:04+03:0002 2015, 02:37:04
0

В нашей сети с более чем 10000 устройствами (многие из которых являются устройствами Windows, управляемыми пользователем) мы сталкиваемся с этой проблемой с момента появления Windows Vista и Windows 7.

Проблема в основном вызвана Windows обнаружением топологии канала связи (LLTD) , которая позволяет поиск файлов Windows и принтеров в локальной сети.

Важно знать, что обнаружение топологии Link Layer вызывает проблемы в больших локальных сетях или VLAN со многими устройствами с поддержкой LLTD. Там вы можете, как правило, надежно запускать состояние с отключенной ошибкой, подключив ваше устройство с поддержкой LLTD и начать поиск принтера Windows.

Решение

  • , чтобы поднять контрольный лимит arp к счету допустимой LLTD устройства и /или
  • , чтобы отключить топологию Link Layer Обнаружение на большинстве устройств.

Топология Layer Layer Discovery может быть отключена с помощью одного из следующих шагов:

  • Выберите «Пуск» → «Панель управления» → «Центр управления сетями и общим доступом» → «Управление сетевыми подключениями» → щелкните правой кнопкой мыши по вашему Ethernet-соединению → «Свойства» → отключите службу сопоставления топологии топологии канала связи и ответчика.
  • Удалите драйверы mapper и responder через «netcfg.exe -u ms_lltdio» и netcfg.exe -u ms_rspndr ». Это удаляет драйверы для всех сетевых устройств.
  • Групповая политика для LLTD Mapper и LLTD Responder .
ответил B. Nicklas 23 +03002015-10-23T16:51:14+03:00312015bEurope/MoscowFri, 23 Oct 2015 16:51:14 +0300 2015, 16:51:14

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132