Switches : Switches Cisco Catalyst de la serie 6500

Switches ARP del Catalyst 6500/6000 o el resolver problemas de los problemas de la tabla CAM

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (19 Septiembre 2015) | Comentarios


Contenido


Introducción

Este documento proporciona información sobre cómo resolver problemas en el Address Resolution Protocol (ARP) o la Memoria Direccionable de Contenido (CAM) en los switches de Catalyst 6500/6000.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

Los switches de Catalyst mantienen varios tipos de tablas que se adaptan para el switching de Capa 2 o el switching multicapa (MLS), y se mantienen en todas las memoria rápidas para poder comparar muchos campos dentro de una trama o de un paquete paralelamente.

  • ARP — Asocia una dirección IP a una dirección MAC para proporcionar la comunicación IP dentro de un dominio de broadcast de la capa 2. Por ejemplo, el Host B desea enviar la información al Host A pero no tiene la dirección MAC del Host A en su caché ARP. El Host B genera un mensaje de broadcast para todos los hosts dentro del dominio de broadcast para obtener la dirección MAC asociada con la dirección IP del Host A Todos los hosts dentro del dominio de broadcast reciben la solicitud ARP, y solamente el Host A responde con su dirección MAC.

  • CAM — Todos los modelos del switch Catalyst utilizan una tabla CAM para el Layer 2 Switching. Como las tramas llegan en los puertos del switch, las direcciones MAC de origen se aprenden y se registran en la tabla CAM. El puerto de llegada y la VLAN se registran en la tabla, junto con el fechado. Si una dirección MAC aprendida en un puerto de switch se ha movido a un puerto diferente, la dirección MAC y el fechado se registran para el puerto de llegada más reciente. Luego, se borra la entrada anterior. Si una dirección MAC ya está presente en la tabla para el puerto de llegada correcto, sólo se actualiza su fechado.

  • Ternary Content Addressable Memory (TCAM) — En los switches multicapas, todos los procesos que el Listas de control de acceso (ACL) proporciona en el ruteo tradicional, tal como corresponder con, filtrando, o controla el tráfico específico, se implementa en hardware. La TCAM permite que un paquete sea evaluado conforme una lista de acceso completa en una sola búsqueda en tabla. La mayoría de los switches tienen TCAM múltiples para poder evaluar la seguridad entrante y saliente, y las ACLs de QoS se pueden evaluar simultáneamente, o de forma totalmente paralela con una decisión de reenvío de la Capa 2 o de la Capa 3.

Resolución de Problemas Relacionados con ARP o CAM

Pérdida de Direcciones MAC Dinámicas con el Switching Distribuido

En el switching distribuido, cada Tarjeta de Función Distribuida (DFC) es responsable de mantener su propia tabla CAM. Esto significa que cada DFC aprende la dirección MAC y la envejece, lo que depende del envejecimiento y del tráfico CAM que corresponden con esa entrada determinada Con el switching distribuido, es normal que el Supervisor Engine no detecte ningún tráfico para una dirección MAC determinada durante algún tiempo, por lo que la entrada puede caducar. Actualmente, hay dos mecanismos disponibles para mantener las tablas CAM consistentes entre los diversos motores, tales como DFC (presente en los módulos de línea) y Tarjeta de Función de Política (PFC) (presente en los módulos de Supervisor):

  • Inundación a Entramado (FF)

  • Notificación MAC (MN)

Cuando una entrada de dirección MAC envejece en el PFC, el comando show mac-address address <MAC_Address> all muestra el DFC o PFC que mantiene esta dirección MAC.

Para evitar que el envejecimiento de una entrada en DFC o PFC, incluso si no hay tráfico para esa dirección MAC, habilite la sincronización de la dirección MAC . Publique estos comandos para habilitar la sincronización:


!--- This is a global configuration command and is used to enable the synchronization.

Cat6K-IOS(config)#mac-address-table synchronize

!--- This is a privileged EXEC command and is used to clear dynamic MAC addresses.

Cat6K-IOS#clear mac-address-table dynamic

El mac-address-table sincroniza el comando es disponible desde Software Release 12.2(18)SXE4 y Posterior del½ del¿Â del Cisco IOSïÂ. Después de que lo habilite, es posible siga viendo entradas que no están presentes en el PFC o el DFC. Sin embargo, el módulo tiene una manera de aprender de otros módulos que utilicen Canal Ethernet fuera de banda (EOBC).

precaución Precaución: El comando mac-address-table synchronize borra las entradas ruteadas MAC. Para evitar que esto suceda, inhabilite el borrado de MAC ruteado con el comando mac-address-table aging-time 0 routed-mac global configuration.

El CEF Descarta los Paquetes a Intervalos Regulares

Cisco Express Forwarding (CEF) es una tecnología de switching IP que brinda un rendimiento superior en comparación con otras tecnologías de switching, especialmente, en redes con patrones de tráfico dinámico. El CEF mantiene las estructuras de datos llamadas Base de información de Reenvío (FIB) y las tablas de adyacencia. La tabla de FIB refleja la información en la tabla de ruteo y se utiliza para tomar decisiones de reenvío. La tabla de adyacencia contiene el encabezado de capa de link calculados previamente para los dispositivos de siguiente salto. De acuerdo con la interfaz de siguiente salto, las entradas en la tabla de FIB se mapean con las entradas en la tabla de adyacencia. Un dispositivo no puede realizar paquetes de switch CEF si la tabla de adyacencia no contiene la Información requerida.

Si el CEF descarta los paquetes a intervalos regulares, separados por períodos de funcionamiento normal, probablemente se debido a la tabla de adyacencia que es despejada periódicamente. Esto es causado por el envejecimiento de la entrada ARP. Los paquetes no son conmutados por CEF durante el período en el que la tabla de adyacencia se vuelve a llenar con la información requerida del salto siguiente. Mientras que las entradas ARP se restauran de forma predeterminada cada cuatro horas, configurar un valor muy pequeño del tiempo de espera de ARP es perjudicial para la operación de CEF.

Ejecute el comando arp timeout en el modo de configuración de interfaz para modificar el tiempo en el que la entrada permanece en el caché ARP.

Consulte Cisco bug ID CSCeb53542 ( sólo clientes registrados) para obtener más información sobre esta vulnerabilidad. Consulte Troubleshooting de Adyacencias Incompletas con el CEF para obtener más información sobre la adyacencia CEF.

El Switch Filtra de las Direcciones MAC con Todos Ceros de la Tabla CAM

El switch filtra las tramas con una dirección MAC de origen de 00-00-00-00-00-00, que es una MAC de origen no válido, de la tabla CAM. Éste es un ejemplo del resultado de error de syslog cuando esto sucede:

%SYS-4-P2_WARN: 1/Filtering MAC address 00-00-00-00-00-00 on port 2/48 from host table

Estos mensajes son informativos y le avisan que se encontró una trama con una dirección MAC de origen de 00-00-00-00-00-00, y el switch nunca la agregará a la tabla CAM. Sin embargo, el switch reenviará el tráfico originado de una dirección MAC de origen con todos ceros.

La solución temporal es identificar la estación final que genera las tramas con una dirección MAC de origen con todos ceros. Típicamente, uno de estos dispositivos transmite tales tramas:

  • Un generador de tráfico, tal como Spirent SmartBits

  • Tipos determinados de servidores, tales como servidores IBM WebSphere de balanceo de carga

  • Un router mal configurado o una estación final, como un dispositivo que transmite broadcasts con todos ceros

  • Un NIC defectuoso

Inundación de Unicast en la Red Cada 5 Minutos

Los switches LAN usan tablas de reenvío, tales como tablas CAM de Capa 2, para dirigir el tráfico a los puertos específicos basados en el número de VLAN y la dirección MAC de destino de la trama. Cuando no hay una entrada que corresponda a la dirección MAC de destino de la trama en la VLAN entrante, la trama (unicast) se envía a todos los puertos de reenvío dentro de la VLAN respectiva. Esto provoca la inundación. La misma causa de inundación es que la dirección MAC de destino del paquete no está en la tabla de reenvío de la Capa 2 del switch. En este caso, el paquete se inunda y desborda todos los puertos de reenvío en su VLAN, excepto por el puerto que lo recibe.

El tiempo de envejecimiento predeterminado de la tabla ARP es 4 horas mientras que el CAM mantiene las entradas por solamente 5 minutos. El switch envía una trama a todos los puertos de reenvío dentro de la VLAN respectivo cuando la dirección MAC de destino envejece y sale de la tabla CAM. Necesita un temporizador de envejecimiento CAM mayor o igual al tiempo de espera de ARP para prevenir la inundación unicast. Como solución temporal, puede ejecutar uno de estos comandos para aumentar el temporizador de envejecimiento CAM para la VLAN con la que tiene problemas para que coincida con el temporizador de envejecimiento de ARP:

Nota: En cualquier entorno de Catalyst que ejecute un Hot Standby Router Protocol (HSRP), se recomienda que los temporizadores CAM y ARP estén sincronizados.

Consulte Inundación Unicast en Redes de Campus Conmutadas para obtener información sobre las posibles causas y las implicaciones de la inundación de paquetes unicast en las redes de switch.

Problemas ARP en CatOS Híbrido

En el modo Híbrido, el supervisor engine ejecuta CatOS y la Tarjeta de Función de Switch Multicapa(MSFC) ejecuta el Cisco IOS. CatOS funciona en la Capa 2 y construye la tabla de direcciones CAM para guardar información de VLAN, la dirección MAC y del número de puerto. El Cisco IOS en el MSFC funciona en la Capa 3 y construye la tabla ARP para mantener la dirección IP con la resolución de la dirección MAC. Cuando cambia la dirección IP de cualquier dispositivo, tal como una impresora o un servidor, posiblemente no pueda hacer ping en la nueva dirección IP. Sin embargo, puede hacer ping en la nueva dirección IP de la misma VLAN. Esto puede ser un problema ARP en el MSFC.

Esta solución temporal puede ayudar a aislar y a resolver el problema:

  1. Borre la tabla ARP en el MSFC.

    MSFC2#clear arp int vlan 40
    
  2. Verifique el valor del tiempo de espera de ARP. El valor predeterminado es 4 horas. Si el tiempo de espera de ARP en la VLAN es alto, puede establecer el valor de tiempo de espera nuevamente como valor predeterminado o valor óptimo.

    MSFC2#show int vlan 40
    Vlan40 is up, line protocol is up
      Hardware is Cat6k RP Virtual Ethernet, address is 00d0.0050.33fc (bia 00d0.005
    0.33fc)
      Internet address is 40.40.40.3/24
      MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
         reliability 255/255, txload 1/255, rxload 1/255
      Encapsulation ARPA, loopback not set
      Keepalive not supported
      ARP type: ARPA, ARP Timeout 04:00:00
      Last input 00:00:00, output 00:01:44, output hang never
      Last clearing of "show interface" counters never
      Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
    MSFC2#conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    MSFC2(config)#int vlan 40
    MSFC2(config-if)#arp timeout ?
      <0-2147483>  Seconds
    
    MSFC2(config-if)#arp timeout 240
    
  3. Recargue el MSFC.

    MSFC2#write memory
    Building configuration...
    [OK]
    MSFC2#reload
    Proceed with reload? [confirm]
    Supervisor> (enable)

Error EARL-2-EARL4LOOKUPRAMERROR Durante la Búsqueda en la Tabla CAM

Éste es un ejemplo del resultado del error syslog cuando se le presenta este problema:

%EARL-2-EARL4LOOKUPRAMERROR:Address eac6, data 0-0-8000-0, count 8

Esto aparece cuando realiza una búsqueda en la tabla CAM. Esto sucede debido a un error de paridad cuando accede a la memoria. Este error se genera generalmente cuando ejecuta el comando show cam para acceder a la tabla CAM. En algunos casos, el switch también se restablece cuando se ejecuta el comando show cam.

%EARL-2-EARLLOOKUPRAMERROR: Address [hex], data [hex]-[hex]-[hex]-[hex], count [dec]

Este mensaje de error indica que se ha detectado un error de paridad de RAM en las operaciones de búsqueda. El camp [hex] es la dirección en la tabla de reenvío donde el error fue detectado. El campo de datos [hex] - [hex] - [hex] - [hex] es word0, word1, word2, y word3 de los datos de RAM que generaron el error de paridad. El campo [dec] es el número total de errores de paridad.

Este mensaje no es catastrófico y posiblemente no haya creado situaciones de interrupción si sólo se presentan eventos aislados de éste. Si recibe este mensaje continuamente, indica que el switch está intentando escribir a un sector DRAM erróneo cuando agrega una nueva entrada a la tabla CAM. Entonces, debe substituir el DRAM o el supervisor en sí.

Entradas de CAM Estáticas Perdidas Después del Switchover del Supervisor

Las entradas de CAM estáticas que se configuran en el motor del supervisor activo se pierden después del switchover rápido. Como solución temporal a este problema, debe configurar de nuevo las entradas CAM después del switchover rápido.

Consulte Cisco bug IDs CSCed87627 ( sólo clientes registrados) y CSCee27955 ( sólo clientes registrados) para obtener más información sobre esta vulnerabilidad.

%ACL-5-TCAMFULL: la tabla TCAM del motor acl está llena

Si la TCAM está llena e intenta agregar nuevas ACL, o las entradas de control de acceso (ACE) a los ACL que existen, el proceso commit o map falla. Cualquier configuración anterior sigue en vigencia. En el caso de las Listas de Control de Acceso del Router (rACLs), la ACL es obligatoria en el software en la Tarjeta de Función de Switch Multicapa (MSFC) con la penalidad de rendimiento correspondiente.

En un switch que ejecuta el software híbrido, si configura una Lista de Control de Acceso de la Red de Área Local Virtual (VACL) o ACEs de ACL de QoS de manera que excedan la capacidad del patrón o de la máscara de TCAM, un mensaje de Syslog similar a este se a la consola:

%ACL-5-TCAMFULL: acl engine TCAM table is full

En los sistemas de Supervisor IOS, o en el MSFC en un sistema híbrido, si configura el RACL ACE que de manera que exceda la capacidad del TCAM, un mensaje de Syslog similar a este se imprime en la consola:

%FM-4-TCAM_ENTRY: Hardware TCAM entry capacity exceeded

En los sistemas de Supervisor IOS, o en MSFC en un sistema híbrido, ejecute el comando show fm summary para ver qué interfaces aplican ACLs en el hardware (ACTIVAS) y qué interfaces aplican ACLs en el software (INACTIVAS).

La solución temporal para este problema es quitar el ACL o el QoS que no se usa de la configuración del switch. Consulte Cómo Comprender una ACL en los Catalyst 6500 Series Switches para obtener más información.

Los Problemas de Ping ocurren cuando el MSFC No Responde a la Solicitud ARP en los Catalyst 6500 Series Switches

Cuando hace ping en una interfaz VLAN, se envía una solicitud ARP con un IP de origen de esa VLAN al Router Predeterminado (MSFC), pero el router no responde a la solicitud ARP y el debug ARP muestra este mensaje de error:

IP ARP req filtered src [ip-address] [mac-address] dst [ip-address] 
[mac-address] wrong cable, interface-id

Para cada datagrama ARP, se descarta una respuesta ARP si la dirección IP de destino no corresponde con la dirección de host local. Se descarta una solicitud ARP si la dirección IP de origen no está en la misma subred. Es preferible que esta prueba sea anulada por un parámetro de configuración para que soporte los casos poco frecuentes donde más de una subred puede coexistir en el mismo cable.

Una respuesta ARP se genera solamente si la dirección IP del protocolo de destino es accesible desde el host local, según lo determinado por el algoritmo de ruteo, y el salto siguiente no está en la misma interfaz. Si el host local funciona como un gateway, éste puede dar como resultado respuestas ARP para los destinos que no están en la misma subred. Esto muestra que se justifica el descarte de la solicitud ARP.

Esto puede resolverse configurando al Catalyst 6500 para que no responda a todas las solicitudes ARP porque la dirección IP de origen en la solicitud ARP está en una subred diferente que la dirección IP de destino en el ARP. Por lo tanto, el MSFC/Router concluye que el ARP no se encontraba en el mismo dominio de la Capa 2 y muestra el tipo de cable incorrecto. Es decir, se genera el mensaje wrong cabl debug cuando el origen y el destino ARP no pertenecen al mismo dominio de la Capa 2. Para que funcione el ARP en este escenario, el IP del protocolo de destino debe ser accesible con el uso de la ruta estática como solución temporal.

Entradas Múltiples en la Tabla de Direcciones MAC

Demostración de dos entradas para la dirección MAC en la tabla de direcciones MAC.

Cat6K#show mac-address-table int gi 6/11
Displaying entries from Line card 6:

Legend: * - primary entry
        age - seconds since last seen
        n/a - not available

  vlan   mac address     type    learn     age              ports
------+----------------+--------+-----+----------+--------------------------
[FE 1]:
*  100  0011.857c.4d10   dynamic  Yes          0   Gi6/11
[FE 2]:
*  100  0011.857c.4d10   dynamic  Yes         95   Gi6/11


Cat6K#show module 6
Mod Ports Card Type                              Model              Serial No.
--- ----- -------------------------------------- ------------------ -----------
  6   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX     SADxxxxxxxx

Mod MAC addresses                       Hw    Fw           Sw           Status
--- ---------------------------------- ------ ------------ ------------ -------
  6  001d.45fd.xx4a to 001d.45fd.xx79   2.6   12.2(14r)S5  12.2(18)SXF8 Ok

Mod  Sub-Module                  Model              Serial       Hw     Status
---- --------------------------- ------------------ ----------- ------- -------
  6  Distributed Forwarding Card WS-F6700-DFC3B     SALxxxxxxxx  4.6    Ok

Mod  Online Diag Status
---- -------------------
  6  Pass

Dos motores de la búsqueda de reenvío de la capa 2 existen en el ambiente DFC. Es común en el entorno de dCEF que FE1 y FE2 aprendan la misma dirección MAC en el mismo puerto en las tarjetas de línea de una arquitectura CEF720/dCEF720.

La Dirección IP Virtual utilizada por el Balanceo de Carga de Microsoft no es Accesible

Los routers Cisco requieren una entrada ARP (entrada de Address Resolution Protocol) para cada dirección IP virtual. Mientras el balanceo de la carga de red usa multicast de Nivel 2para la la entrega de paquetes. En la implementación de Cisco del RFC, el multicast se utiliza solamente para el multicast del IP. Por lo tanto, cuando el router no ve una dirección IP multicast, no crea automáticamente una entrada ARP, y debe agregarla manualmente al router.

Normalmente, los dispositivos de Cisco no colocan una dirección MAC multicast (dirección MAC virtual de clústeres) en la tabla ARP si fue resuelta a través de una dirección IP unicast (dirección virtual del clúster). Para resolver este problema, necesita un mapping estático de la dirección IP virtual unicast a la dirección MAC multicast.

Para obtener más información, consulte la sección Modo Multicast de los Catalyst Switches para obtener un Ejemplo de Configuración de Balanceo de Carga de la Red de Microsoft.


Información Relacionada


Document ID: 71079