[GTER] Dúvida com Gratuitous ARP

Rejaine Monteiro rejaine at bhz.jamef.com.br
Fri Jun 11 10:37:03 -03 2010 

Olá pessoal,

É o seguinte. Temos uma filial com dois roteadores MPLS Motorola (para
balanceamento de carga e redundância)
Essa semana tivemos alguns problemas de acesso a determinadas aplicações
que acessam os servidores centrais - enquanto algumas funcionavam sem
grandes problemas, outras ficavam muito lentas ou davam timeout, etc
(existe QoS aplicado, mas não havia relação mesmo o que deixou de
funcionar estava em prioridade alta, enquanto outras na mesma prioridade
não...) Enfim.. Abrimos um chamado na Embratel a Vanguard chegou a
conclusão que o problema era uma sobrecarga na CPU do roteador, gerada 
por um pacote enviado em excesso (segundo eles a partir de nossa rede
interna) proveniente do IP 192.168.30.32

Eu achei isso estranho, pois minha rede interna é 10.40.1.0/19 e fora
disso tenho apenas dois outros servidores interligados via cross-over
com a rede 192.168.0.0/24, mas resolvi investigar o caso...

A primeira coisa que fiz, foi acessar uma máquina e rodar um tcpdump,
que de fato pegou alguns pacotes ARPs proveninetes desse IP:

# tcpdump -i eth0 -n host 192.168.30.32
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:14:12.496980 arp who-has 192.168.30.32 (ff:ff:ff:ff:ff:ff) tell
192.168.30.32
10:14:14.553297 arp who-has 192.168.30.32 (ff:ff:ff:ff:ff:ff) tell
192.168.30.32

Depois, resolvi dar um arping para tentar capturar o MAC address desse
sujeito, o que me devolveu  dois endereços MAC (justamente, os endereços
MAC dos dois roteadores Embratel que possuo!), como pode ser visto abaixo:

# arping 192.168.30.32
Unicast reply from 192.168.30.32 [00:00:5E:00:01:01]  1.043ms
Unicast reply from 192.168.30.32 [00:08:D5:01:DC:B5]  1.529ms
Unicast reply from 192.168.30.32 [00:08:D5:01:DC:B5]  1.840ms
Unicast reply from 192.168.30.32 [00:08:D5:01:DC:B5]  1.735ms
Unicast reply from 192.168.30.32 [00:08:D5:01:DC:B5]  1.622ms
Unicast reply from 192.168.30.32 [00:08:D5:01:DC:B5]  1.645ms
Unicast reply from 192.168.30.32 [00:08:D5:01:DC:B5]  1.514ms
Unicast reply from 192.168.30.32 [00:08:D5:01:DC:B5]  1.399ms
etc...

Fazendo um ARP em cada IP LAN desses roteadores MPLS, essa informação é
confirmada, conforme abaixo:

# arp 10.40.1.5
Address                  HWtype  HWaddress           Flags
Mask            Iface
gw1.rio.jamef            ether   08:00:3E:18:E0:88  
C                     eth0

# arp 10.40.1.8
Address                  HWtype  HWaddress           Flags
Mask            Iface
gw2.rio.jamef            ether   00:08:D5:01:DC:B5  
C                     eth0

Fazendo um ARP no IP administrativo (que é usado para identificar qual
roteador é o principal) temos:
# arp 10.40.1.7
Address                  HWtype  HWaddress           Flags
Mask            Iface
gw.rio.jamef             ether   00:00:5E:00:01:01  
C                     eth0


Sendo assim, não É justificavel que  a causa do problema da sobrecarga
da CPU esteja sendo provocado por um acesso interno, ou seja, de dentro
da nossa rede, conforme indicado pelo técnico que nos atendeu, correto?

Alguém pode me ajudar nesse caso??

More information about the gter mailing list