The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Что делать с ARP запросами если их много?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Что делать с ARP запросами если их много?"  +/
Сообщение от ak91 on 11-Авг-16, 14:45 
Подскажите пожалуйста.

Вот если на L3 коммутаторе Cisco подвесить сетку с реальными ip

Например:
int vlan 10
  ip addr 1.1.1.254 255.255.255.0
end

и подключиться ноутом в этот vlan

то сниффером сразу видно, что этот диапазон начинают сканировать боты и летит очень много ARP запросов c Cisco:

who-has 1.1.1.34 tell 1.1.1.254
who-has 1.1.1.12 tell 1.1.1.254
who-has 1.1.1.56 tell 1.1.1.254

Как сделать чтобы ARP в этом vlan'е работал только для тех ip которые реально есть?

Спасибо.

P.S. Просто это актуально для WiFi сетки - засоряется эфир.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Что делать с ARP запросами если их много?"  +/
Сообщение от Andrey (??) on 11-Авг-16, 21:13 
>[оверквотинг удален]
> и подключиться ноутом в этот vlan
> то сниффером сразу видно, что этот диапазон начинают сканировать боты и летит
> очень много ARP запросов c Cisco:
> who-has 1.1.1.34 tell 1.1.1.254
> who-has 1.1.1.12 tell 1.1.1.254
> who-has 1.1.1.56 tell 1.1.1.254
> Как сделать чтобы ARP в этом vlan'е работал только для тех ip
> которые реально есть?
> Спасибо.
> P.S. Просто это актуально для WiFi сетки - засоряется эфир.

Cisco пытается найти MAC-IP в этом VLAN потому, что прилетел пакет с source-IP который Cisco пытается найти у себя в сегменте. Если в VLAN этого IP нет - возможно он прилетел не через этот VLAN, а с другого сегмента (никто не мешает подставить в качестве src-IP что угодно). Как вариант лечения - заблокировать прием на других интерфейсах пакетов с source из подсети, которая привязана к текущему VLAN.
ARP timeout можно подрегулировать чтобы уменьшить/увеличить ARP запросы с Cisco. Только не регулируйте слишком рьяно - могут начаться проблемы. Дефолтового значения хватает в 99.99% случаев.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Что делать с ARP запросами если их много?"  +/
Сообщение от ak91 on 12-Авг-16, 15:04 
Не совсем понял что вы написали.

Этот arp flood, он легитимный - если я сам начну извне сканировать диапазон 1.1.1.0/24 то я тоже увижу эти who-has в большом количестве.

Мне нужно понять - можно ли с помощью каких-то спец.настроек или ACL, сделать так, что внутри vlan'а ARP работал только с теми ip которые реально есть, а для тех, кого нет - то дропался.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Что делать с ARP запросами если их много?"  +/
Сообщение от Аноним (??) on 13-Авг-16, 14:04 
> сделать так, что внутри vlan'а ARP работал только с теми ip
> которые реально есть, а для тех, кого нет - то дропался.

Вообще-то ARP как раз и импользуется для того, чтоб понять, есть ли получатель и каков его физический адрес. Откуда циске знать, жив хост или не жив, если не посредством арп-запроса?

Если так сильно не нравится - вырубайте арп и прописывайте все адреса статически.
P.S. даже 10-15 пакетов в секунду не смогут скол-нибудь значимо "засорять" эфир, это просто смешные цифры.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

2. "Что делать с ARP запросами если их много?"  +/
Сообщение от gfh1gfh (ok) on 12-Авг-16, 14:09 
Почитать про Dynamic ARP inspection на коммутаторах Cisco.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Что делать с ARP запросами если их много?"  +/
Сообщение от ak91 on 12-Авг-16, 14:59 
> Почитать про Dynamic ARP inspection на коммутаторах Cisco.

Я читал.
Вы можете что-то конкретное посоветовать по DAI, в рамках описанной задачи?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Что делать с ARP запросами если их много?"  +/
Сообщение от Del on 14-Авг-16, 21:01 
>[оверквотинг удален]
> и подключиться ноутом в этот vlan
> то сниффером сразу видно, что этот диапазон начинают сканировать боты и летит
> очень много ARP запросов c Cisco:
> who-has 1.1.1.34 tell 1.1.1.254
> who-has 1.1.1.12 tell 1.1.1.254
> who-has 1.1.1.56 tell 1.1.1.254
> Как сделать чтобы ARP в этом vlan'е работал только для тех ip
> которые реально есть?
> Спасибо.
> P.S. Просто это актуально для WiFi сетки - засоряется эфир.

Может просто нагенерить статических записей?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Что делать с ARP запросами если их много?"  +/
Сообщение от rusadmin (ok) on 16-Авг-16, 12:02 
Кто то из хостов, подключенной к данному коммутатору, запрашивает соединения с данными адресами. Хост можете определить ACL с логированием, повешанным  на int vlan 10.
Например
ip access-l ex LOG
permit ip any any log
int vlan 10
ip access-gr LOG out

... на консоли включайте term mon (это если не с кабеля сидите) и ждите вражину

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Что делать с ARP запросами если их много?"  +/
Сообщение от IZh (ok) on 18-Авг-16, 13:46 
ip unnumbered например

int null 0
no ip send-unrea
ip route 1.1.1.0 255.255.255.0 null 0
int loopback 10
ip add 1.1.1.1 255.255.255.0
int vl 10
ip unnumbered loopback 10
ip route 1.1.1.2 255.255.255.255 vlan 10

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Что делать с ARP запросами если их много?"  +/
Сообщение от rusadmin (ok) on 19-Авг-16, 06:21 
> ip unnumbered например
> int null 0
> no ip send-unrea
> ip route 1.1.1.0 255.255.255.0 null 0
> int loopback 10
> ip add 1.1.1.1 255.255.255.0
> int vl 10
> ip unnumbered loopback 10
> ip route 1.1.1.2 255.255.255.255 vlan 10

Это костыль
Мое мнение - нужно выяснять источник этих запросов, а не грузить процессор сливом в нулл

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Что делать с ARP запросами если их много?"  +/
Сообщение от Del on 19-Авг-16, 08:17 
>[оверквотинг удален]
>> no ip send-unrea
>> ip route 1.1.1.0 255.255.255.0 null 0
>> int loopback 10
>> ip add 1.1.1.1 255.255.255.0
>> int vl 10
>> ip unnumbered loopback 10
>> ip route 1.1.1.2 255.255.255.255 vlan 10
> Это костыль
> Мое мнение - нужно выяснять источник этих запросов, а не грузить процессор
> сливом в нулл

Адреса белые на инт-се

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Что делать с ARP запросами если их много?"  +/
Сообщение от rusadmin (ok) on 19-Авг-16, 14:50 
>[оверквотинг удален]
>>> ip route 1.1.1.0 255.255.255.0 null 0
>>> int loopback 10
>>> ip add 1.1.1.1 255.255.255.0
>>> int vl 10
>>> ip unnumbered loopback 10
>>> ip route 1.1.1.2 255.255.255.255 vlan 10
>> Это костыль
>> Мое мнение - нужно выяснять источник этих запросов, а не грузить процессор
>> сливом в нулл
> Адреса белые на инт-се

...и?
Вы провайдер и вам летят с чужих автономок эти запросы?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Что делать с ARP запросами если их много?"  +/
Сообщение от IZh (ok) on 19-Авг-16, 18:22 
unknown unicast flood - большая проблема для датацентров например.
Где приходится держать несколько сеток в одном сегменте.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру