[caiu] IX-SP - Broadcast Alto - ARP Input Alto - Sessões Caindo
Douglas Fischer
fischerdouglas em gmail.com
Sex Ago 4 14:16:27 BRT 2017
Complementando a informação do Eder
TOP 10 de IPs mais solicitados:
| pkts | ip | mac | mac-vendor | asn |
+------+----------------+----------------+------------+------------+
| 2729 | 187.16.219.232 | 64d1.54c2.5eb4 | Routerboar | contato |
| 2145 | 187.16.223.171 | | | |
| 1998 | 187.16.218.216 | | | conectinfo |
| 1548 | 187.16.222.134 | 08b2.58b4.f929 | Juniper | century |
| 1488 | 187.16.223.115 | a46c.2a19.0f40 | Cisco | cpnet |
| 1345 | 187.16.217.48 | | | algar |
| 1219 | 187.16.220.205 | 4c5e.0c64.b677 | Routerboar | radioowave |
| 915 | 187.16.218.49 | c471.fe03.a640 | Cisco | |
| 728 | 187.16.218.66 | | | cdnetworks |
| 548 | 187.16.219.96 | 4cf9.5ddf.e212 | HUAWEI | |
TOP 10 de IPs que mais solicitaram arp:
| pkts | ip | mac | mac-vendor | asn |
+------+----------------+----------------+------------+-------------+
| 1451 | 187.16.220.23 | 0013.72f9.fdbe | Dell | |
| 872 | 187.16.221.244 | 00c1.642e.25eb | Cisco | |
| 797 | 187.16.221.243 | 00c1.6427.8661 | Cisco | |
| 736 | 187.16.216.253 | 6073.5c48.3081 | Cisco | rs1 |
| 690 | 187.16.223.253 | 30f7.0db9.e701 | Cisco | rs3 |
| 627 | 187.16.217.63 | 24a4.3c06.d938 | Ubiquiti | |
| 616 | 187.16.221.197 | 70e4.2211.6ac3 | Cisco | H.E. |
| 598 | 187.16.216.92 | 0024.38ab.9500 | Brocade | tesatelecom |
| 598 | 187.16.216.175 | a4ba.db09.8b59 | Dell | ICANN |
| 585 | 187.16.223.239 | 8444.64ac.9ab8 | ServerU | |
Em 3 de agosto de 2017 19:33, Eder F. Miotto <ederfmiotto em gmail.com>
escreveu:
> Pior que é isto mesmo.. neste momento, analisei uma conexão no PIX GVT-JD
> e está passando aproximadamente 1700 pps em arp. Cisco família 6/7k sofre
> com
> este número.
>
> Fiz port-mirror da interface acima para uma porta do switch onde tenho
> conectado
> um host linux e rodei um "tcpdump -i ethX -c 100000 -n arp". Segue algumas
> analises.
>
> Total de sources (IPs) enviando arp who-has: 1075
>
> Número de IPs solicitados (dentro do bloco 187.16.216.0/21): 1698
>
> Número de IPs solicitados (fora do bloco 187.16.216.0/21): 55 (mascara
> errada, proxy-arp, interface física compartilhada?)
> Ex:
>
> ARP, Request who-has 186.226.208.250 tell 187.16.219.41, length 46
> ARP, Request who-has 186.226.208.250 tell 187.16.220.154, length 46
> ARP, Request who-has 183.238.56.219 tell 187.16.218.171, length 46
> ARP, Request who-has 186.226.208.250 tell 187.16.220.61, length 46
> ARP, Request who-has 177.128.192.138 tell 187.16.216.54, length 46
> ARP, Request who-has 177.124.96.33 tell 187.16.217.237, length 46
> ARP, Request who-has 177.66.208.230 tell 187.16.217.237, length 46
>
>
>
> TOP 10 de IPs mais solicitados:
>
> pkts | ip | asn
> ---------+--------------------------+----------
> 2729 187.16.219.232 as28642
> 2145 187.16.223.171
> 1998 187.16.218.216 as262725
> 1548 187.16.222.134 as21574
> 1488 187.16.223.115 as28224
> 1345 187.16.217.48 as16735
> 1219 187.16.220.205 as262288
> 915 187.16.218.49
> 728 187.16.218.66 as36408
> 548 187.16.219.96
>
>
> TOP 10 de IPs que mais solicitaram arp:
>
> pkts | ip | asn
> ---------+--------------------------+----------
> 1451 187.16.220.23
> 872 187.16.221.244
> 797 187.16.221.243
> 736 187.16.216.253 rs1
> 690 187.16.223.253 rs3
> 627 187.16.217.63
> 616 187.16.221.197 as6939
> 598 187.16.216.92 as28166
> 598 187.16.216.175 as20144
> 585 187.16.223.239
>
> Obs: o número do ASN associado com o IP foi feito via consulta DNS ptr.
> Os IPs que estão sem identificação de asn é por que não tinham reverso.
>
> Se alguém quiser uma cópia dos logs, segue url para download (546k):
>
> https://ufile.io/i58mn
>
> Eder
>
>
>
>
> Em 3 de agosto de 2017 18:04, Douglas Fischer <fischerdouglas em gmail.com>
> escreveu:
>
> > Estamos com problemas de sessões caindo com na Vlan ATM do IX-SP.
> >
> > Aparentemente somente as sessões BGP IPv4 que estão no ATM
> (Route-Servers +
> > Bilaterais) são afetadas.
> > Sessões IPv6, no ATM e nas Vlans Bilaterais, estão com um bom tempo de
> > vida.
> > Sessões IPv4 que estão em Vlan Bilaterais estão com um bom tempo de vída.
> >
> >
> > Obviamente na hora do FLAP, por conta da convergência de rotas, CPU vai
> lá
> > em cima.
> > Mas além disso percebemos o ARP Input tá comendo 17% de CPU, oque acho
> > bastante para um 7606.
> >
> >
> > Volume de Broadcast
> > -------------------
> > Em 30 segundos constatamos mais de 35mil pacotes de Broadcast(contador da
> > interface).
> >
> > Ainda vamos fazer novamente as medições, mas há algum tempo atrás
> > observamos que o trafego BradCast+Multicast passava fácil de 10Mbps.
> >
> >
> > Tabela ARP
> > ----------
> > Observamos também que os tempo de vida dos registros das tabela ARP estão
> > quase todos em "0".
> > Mesmo depois de esperar algum tempo, o mesmo endereço volta a ter AGE
> "0".
> >
> >
> >
> >
> > Mais alguém sofrendo com isso?
> >
> > P.S.: Isso não deveria influenciar, mas estamos com no GVT-JD.
> >
> >
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
Mais detalhes sobre a lista de discussão caiu