cancelar
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
1105
Apresentações
1
Útil
23
Respostas

Switch de acesso com tempo de resposta elevado

Luizhen
Level 1
Level 1

O nosso switch está com o tempo de resposta muito alto, creio que seja por causa da inundação de DHCP, ele fica gerando log diversos logs em pouquíssimos segundos, como este abaixo:

iaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0ee4.3cb5.5fdd
Aug 1 14:34:51: DHCP_SNOOPING: message type : DHCPDISCOVER DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0ee4.3cb5.5fdd
Aug 1 14:34:51: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (60)
Aug 1 14:34:51: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi0/10 for pak. Was not set
Aug 1 14:34:51: DHCPSNOOP(hlfm_set_if_input): Clearing if_input for pak. Was Gi0/10
Aug 1 14:34:51: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi0/10 for pak. Was not set
Aug 1 14:34:51: DHCP_SNOOPING: received new DHCP packet from input interface (GigabitEthernet0/10)
Aug 1 14:34:51: DHCP_SNOOPING: process new DHCP packet, message type: DHCPREQUEST, input interface: Gi0/10, MAC da: ffff.ffff.ffff, MAC sa: 0ee4.3cb5.5fdd, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0ee4.3cb5.5fdd
Aug 1 14:34:51: DHCP_SNOOPING: message type : DHCPREQUEST DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0ee4.3cb5.5fdd
Aug 1 14:34:51: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (60)
Aug 1 14:34:54: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi0/10 for pak. Was not set
Aug 1 14:34:54: DHCPSNOOP(hlfm_set_if_input): Clearing if_input for pak. Was Gi0/10
Aug 1 14:34:54: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi0/10 for pak. Was not set
Aug 1 14:34:54: DHCP_SNOOPING: received new DHCP packet from input interface (GigabitEthernet0/10)
Aug 1 14:34:54: DHCP_SNOOPING: process new DHCP packet, message type: DHCPREQUEST, input interface: Gi0/10, MAC da: ffff.ffff.ffff, MAC sa: d08e.79e0.18bd, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: d08e.79e0.18bd
Aug 1 14:34:54: DHCP_SNOOPING: message type : DHCPREQUEST DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: d08e.79e0.18bd
Aug 1 14:34:54: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (10)
Aug 1 14:34:55: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi0/10 for pak. Was not set
Aug 1 14:34:55: DHCPSNOOP(hlfm_set_if_input): Clearing if_input for pak. Was Gi0/10
Aug 1 14:34:55: DHCPSNOOP(hlfm_set_if_input): Setting if_input to Gi0/10 for pak. Was not set
Aug 1 14:34:55: DHCP_SNOOPING: received new DHCP packet from input interface (GigabitEthernet0/10)
Aug 1 14:34:55: DHCP_SNOOPING: process new DHCP packet, message type: DHCPREQUEST, input interface: Gi0/10, MAC da: ffff.ffff.ffff, MAC sa: d08e.79e0.18bd, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: d08e.79e0.18bd
Aug 1 14:34:55: DHCP_SNOOPING: message type : DHCPREQUEST DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: d08e.79e0.18bd
Aug 1 14:34:55: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (10)

O que podemos fazer?

23 RESPOSTAS 23

SamuelGLN
Spotlight
Spotlight

@Luizhen 

Todas essas vlans possuem a necessidade de receber o flood da requisição DHCP?

Aug 1 14:01:06: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (10)

Aug 1 14:01:07: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (130)

Aug 1 14:00:59: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (110)

Aug 1 14:00:49: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (60)

Aug 1 14:00:47: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (120)

Caso não seja necessário, poderia tentar utilizar o comando no ip dhcp snooping vlan X para evitar isso.

Best regards
******* If This Helps, Please Rate *******

Samuel, para eu entender melhor sobre esse configuração.
Creio que o flood de requisição DHCP vem de um dispositivo que está conectado na rede e envia um DHCPREQUEST, mas eu não sei que dispositivo é esse ou se ele de fato existe. Se é necessário ou não, não sei dizer.
Se eu utilizar esse comando eu paro o monitoramento do dhcp snooping? Se for isso é o ideal de fazer?

Detalhe: temos 46 Switches e esse é o único que está gerando esse alerta nos logs, mas nenhum está fazendo isso.
Nossa infraestrutura: Firewall L3, Switch Core L2, Switches em modo de acesso (data, voz, serviços).

@Luizhen,

De acordo com o cenário e testes que realizou, me parece mais estar relacionado com um bug no IOS (CSCuj03351). É esperado que isso funcione bem na versão 12.2.55-SE9 sem a presença do bug. Caso exista a possibilidade, aconselho que atualize um em bancada e depois siga com a atualização dos SWs em produção para evitar que isso ocorra nos demais. 

Best regards
******* If This Helps, Please Rate *******

Entendi, nesse caso eu voltaria a versão? Creio que a versão do meu switch seja mais atualizada que essa.

@Luizhen realmente, não me atentei a sua versão já em produção. Estive realizando alguns testes em lab e gostaria de confirmar duas coisa:

  • Com o debug dhcp snooping ativo nos SWs em questão, você chegou a pegar algum log de DHCPINFORM para os MACs 0ee4.3cb5.5fdd; d08e.79e0.18bd?
  • As vlans 10, 130, 110, 60 e 120 estão configuradas como Ip dhcp snooping vlan x?
  • O SW_CTJL_35 possui host conectado diretamente nele que estejam utilizando alguma dessas vlans?

Best regards
******* If This Helps, Please Rate *******

Samuel, boa tarde, não rodei nenhum comando de Debug nesse switch, eu posso rodar um comando debug no switch em produção sem ter nenhum problema? Caso sim, me recomenda algum?

O DHCP Snooping está configurado nessas vlans:
Switch DHCP snooping is enabled
Switch DHCP gleaning is disabled
DHCP snooping is configured on following VLANs:
1,6,10,52,54,60,110,120,130,1000
DHCP snooping is operational on following VLANs:
1,6,10,52,54,60,110,120,130,1000

Sim, o switch 35 possui conexões de várias interfaces na vlan 10, uma na vlan 60 e 3 portas trunks.

@Luizhen desculpa pela demora. A minha ideia com relação as conexões do SW35 seria a seguinte: verificar nos logs do SW38 quais MACs estão apresentando erro (por exemplo 0ee4.3cb5.5fdd; d08e.79e0.18bd) e verificar em qual interface eles estão chegando no SW35. Após isso, verifica se o dispositivo que estão com esses MACs já não possuem um IP configurado ou algum IP secundário. Pode ser que mesmo recebendo um DHCPINFORM ele apresente esses logs pois o mesmo device que faz a requisição, por algum motivo, retorna que já possui o IP atrelado. 

Best regards
******* If This Helps, Please Rate *******

Segue algumas saídas que eu tive:

SW_CTJL_38# show ip dhcp snooping
Switch DHCP snooping is enabled
Switch DHCP gleaning is disabled
DHCP snooping is configured on following VLANs:
1,6,10,52,54,60,110,120,130,1000
DHCP snooping is operational on following VLANs:
1,6,10,52,54,60,110,120,130,1000
DHCP snooping is configured on the following L3 Interfaces:

Insertion of option 82 is disabled
circuit-id default format: vlan-mod-port
remote-id: 84eb.ef60.2480 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:

Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------
GigabitEthernet0/1 no no 10
Custom circuit-ids:
GigabitEthernet0/2 no no 10
Custom circuit-ids:
GigabitEthernet0/3 no no 10
Custom circuit-ids:
GigabitEthernet0/4 no no 10
Custom circuit-ids:
GigabitEthernet0/5 no no 10
Custom circuit-ids:
GigabitEthernet0/6 no no 10
Custom circuit-ids:
GigabitEthernet0/7 no no 10
Custom circuit-ids:
GigabitEthernet0/8 no no 10
Custom circuit-ids:
GigabitEthernet0/10 yes yes unlimited
Custom circuit-ids:
Port-channel1 yes yes unlimited
Custom circuit-ids:

SW_CTJL_38#show ip dhcp snooping statistics
Packets Forwarded = 2624846
Packets Dropped = 1
Packets Dropped From untrusted ports = 0

SW_CTJL_38#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
40:A6:E8:53:DC:53 10.200.0.190 77624 dhcp-snooping 6 GigabitEthernet0/8
Total number of bindings: 1

SW_CTJL_38#show ip dhcp snooping database
Agent URL :
Write delay Timer : 300 seconds
Abort Timer : 300 seconds

Agent Running : No
Delay Timer Expiry : Not Running
Abort Timer Expiry : Not Running

Last Succeded Time : None
Last Failed Time : None
Last Failed Reason : No failure recorded.

Total Attempts : 0 Startup Failures : 0
Successful Transfers : 0 Failed Transfers : 0
Successful Reads : 0 Failed Reads : 0
Successful Writes : 0 Failed Writes : 0

DHCP snooping issue.png

which from these two cases you have ?

MHM