[caiu] IX-SP - Broadcast Alto - ARP Input Alto - Sessões Caindo

Eder F. Miotto ederfmiotto em gmail.com
Qui Ago 3 19:33:20 BRT 2017 

Pior que é isto mesmo.. neste momento, analisei uma conexão no PIX GVT-JD
e está passando aproximadamente 1700 pps em arp. Cisco família 6/7k sofre
com
este número.

Fiz port-mirror da interface acima para uma porta do switch onde tenho
conectado
um host linux e rodei um "tcpdump -i ethX -c 100000 -n arp". Segue algumas
analises.

Total de sources (IPs) enviando arp who-has: 1075

Número de IPs solicitados (dentro do bloco 187.16.216.0/21): 1698

Número de IPs solicitados (fora do bloco 187.16.216.0/21): 55 (mascara
errada, proxy-arp, interface física compartilhada?)
Ex:

  ARP, Request who-has 186.226.208.250 tell 187.16.219.41, length 46
  ARP, Request who-has 186.226.208.250 tell 187.16.220.154, length 46
  ARP, Request who-has 183.238.56.219 tell 187.16.218.171, length 46
  ARP, Request who-has 186.226.208.250 tell 187.16.220.61, length 46
  ARP, Request who-has 177.128.192.138 tell 187.16.216.54, length 46
  ARP, Request who-has 177.124.96.33 tell 187.16.217.237, length 46
  ARP, Request who-has 177.66.208.230 tell 187.16.217.237, length 46



TOP 10 de IPs mais solicitados:

    pkts | ip                            | asn
---------+--------------------------+----------
   2729 187.16.219.232         as28642
   2145 187.16.223.171
   1998 187.16.218.216         as262725
   1548 187.16.222.134         as21574
   1488 187.16.223.115         as28224
   1345 187.16.217.48           as16735
   1219 187.16.220.205         as262288
    915  187.16.218.49
    728  187.16.218.66           as36408
    548  187.16.219.96


TOP 10 de IPs que mais solicitaram arp:

    pkts | ip                            | asn
---------+--------------------------+----------
   1451 187.16.220.23
    872  187.16.221.244
    797  187.16.221.243
    736  187.16.216.253         rs1
    690  187.16.223.253         rs3
    627  187.16.217.63
    616  187.16.221.197         as6939
    598  187.16.216.92           as28166
    598  187.16.216.175         as20144
    585  187.16.223.239

Obs: o número do ASN associado com o IP foi feito via consulta DNS ptr.
Os IPs que estão sem identificação de asn é por que não tinham reverso.

Se alguém quiser uma cópia dos logs, segue url para download (546k):

        https://ufile.io/i58mn

Eder




Em 3 de agosto de 2017 18:04, Douglas Fischer <fischerdouglas em gmail.com>
escreveu:

> Estamos com problemas de sessões caindo com na Vlan ATM do IX-SP.
>
> Aparentemente somente as sessões BGP IPv4 que estão no ATM (Route-Servers +
> Bilaterais) são afetadas.
> Sessões IPv6, no ATM e nas Vlans Bilaterais, estão com um bom tempo de
> vida.
> Sessões IPv4 que estão em Vlan Bilaterais estão com um bom tempo de vída.
>
>
> Obviamente na hora do FLAP, por conta da convergência de rotas, CPU vai lá
> em cima.
> Mas além disso percebemos o ARP Input tá comendo 17% de CPU, oque acho
> bastante para um 7606.
>
>
> Volume de Broadcast
> -------------------
> Em 30 segundos constatamos mais de 35mil pacotes de Broadcast(contador da
> interface).
>
> Ainda vamos fazer novamente as medições, mas há algum tempo atrás
> observamos que o trafego BradCast+Multicast passava fácil de 10Mbps.
>
>
> Tabela ARP
> ----------
> Observamos também que os tempo de vida dos registros das tabela ARP estão
> quase todos em "0".
> Mesmo depois de esperar algum tempo, o mesmo endereço volta a ter AGE "0".
>
>
>
>
> Mais alguém sofrendo com isso?
>
> P.S.:  Isso não deveria influenciar, mas estamos com no GVT-JD.
>
>
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>

Mais detalhes sobre a lista de discussão caiu