Коммутаторы : Коммутаторы Cisco Catalyst серии 6500

Устранение проблем, связанных с ARP или таблицами CAM в коммутаторах Catalyst 6500/6000

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

В данном документе представлены сведения об устранении проблем, связанных с протоколом разрешения адресов (ARP) и таблицами ассоциативно-запоминающего устройства (CAM) коммутаторов Catalyst 6500/6000.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

Коммутаторы Catalyst поддерживают несколько типов таблиц для коммутации уровня 2 и многоуровневой коммутации (MLS), которые хранятся в очень быстрой памяти, благодаря чему возможно параллельное сравнение нескольких полей внутри одного кадра или пакета.

  • ARP — сопоставляет IP-адрес с MAC-адресом, чтобы обеспечить передачу IP-данных на уровне 2 домена широковещательной рассылки. Например, узел B должен отправить данные в узел A, но в его кэше ARP отсутствует MAC-адрес узла A. Узел B генерирует широковещательное сообщение для всех узлов, принадлежащих домену широковещательной рассылки, чтобы получить MAC-адрес, соответствующий IP-адресу узла A. ARP-запрос получают все узлы домена широковещательной рассылки, но ответ, содержащий требуемый MAC-адрес, отправляется только из узла А.

  • CAM — во всех моделях коммутаторов Catalyst используется таблица CAM для коммутации уровня 2. Когда кадры поступают на порты коммутатора, MAC-адрес источника запоминается и записывается в таблицу CAM. Порт, на который были получены кадры, и сеть VLAN записываются в таблице вместе с меткой времени. Если MAC-адрес, изученный одним портом коммутатора, был перемещен на другой порт, записывается MAC-адрес и метка времени того порта, который получил кадры последним. Предыдущая запись удаляется. Если MAC-адрес для правильного приемного порта уже содержится в таблице, то обновляется только метка времени.

  • Троичное ассоциативное запоминающее устройство (TCAM) — в многоуровневой коммутации все процессы, использующие списки управления доступом (ACLs), работающие для обычной маршрутизации, такие как согласование, фильтрация или управление специальным трафиком, работают на аппаратном уровне. TCAM позволяет выполнить оценку пакета в отношении всего списка доступа при поиске в одной таблице. В большинстве коммутаторов имеется несколько устройств TCAM, таким образом, безопасность входящего и исходящего трафика и QoS на базе списков ACL могут оцениваться одновременно или параллельно с принятием решения о передаче на уровне 2 или 3.

Устранение проблем, связанных с ARP и CAM

Потеря динамических MAC-адресов при распределенной коммутации

При распределенной коммутации каждая плата распределенных функций (DFC; Distributed Feature Card) отвечает за управление собственной таблицей CAM. Это означает, что каждая DFC запоминает MAC-адрес и определяет время устаревания адресов, которое зависит от времени устаревания CAM и согласования трафика с конкретной записью. При распределенной коммутации модуль supervisor engine некоторое время не видит трафик для конкретного MAC-адреса и адрес может устареть. Существует два механизма для сохранения согласованности таблиц CAM разных модулей, таких как DFC (встроенных в линейные модули) и плат функций политики PFC; Policy Feature Card (встроенных в модули supervisor):

  • Лавинная передача на матрицу (Flood-to-Fabric, FF)

  • MAC-уведомление (MAC Notification, MN)

Если запись MAC-адреса на PFC устарела, обнаружить DFC или PFC, на которых она содержится, можно с помощью команды show mac-address address <MAC_Address>all.

Чтобы предотвратить устаревание записи на DFC и PFC даже при отсутствии трафика на эти MAC-адреса, необходимо включить синхронизацию MAC-адресов. Выполните эти команды для включения синхронизации:


!--- This is a global configuration command and is used to enable the synchronization.

Cat6K-IOS(config)#mac-address-table synchronize

!--- This is a privileged EXEC command and is used to clear dynamic MAC addresses.

Cat6K-IOS#clear mac-address-table dynamic

Команда mac-address-table synchronize доступна от Cisco Выпуски ПО IOS� 12.2 (18) SXE4 и позже. После включения синхронизации можно все еще наблюдать записи, которые не присутствуют в PFC или DFC. Тем не менее, модуль способен получить эти записи от других модулей, которые используют служебный канал Ethernet of Band Channel (EOBC).

caution  Внимание. Команда mac-address-table synchronize удаляет маршрутизируемые MAC-записи. Чтобы избежать этого, отключите удаление маршрутизируемых MAC с помощью команды глобальной конфигурации mac-address-table aging-time 0 routed-mac.

CEF отбрасывает пакеты через определенные промежутки времени

Скоростная маршрутизация Cisco (Cisco Express Forwarding, CEF) представляет собой технологию коммутации IP уровня 3, которая обеспечивает более высокую производительность по сравнению с другими технологиями коммутации, особенно в сетях с изменяющимися потоками трафика. CEF управляет структурами данных: базой данных передачи (Forwarding Information Base, FIB) и таблицами смежности. Таблица FIB зеркально отражает данные таблицы маршрутизации и используется для принятия решений о передаче. В таблице смежности содержится предварительно вычисленный заголовок канального уровня для устройства на следующем узле. На основании интерфейса следующего узла, записи в таблице FIB сопоставляются с записями таблицы смежности. Устройство не сможет выполнить CEF-коммутацию пакетов, если необходимые данные не внесены в таблицу смежности.

Если при CEF наблюдается отбрасывание пакетов через равные промежутки времени, в течение которых сохраняется нормальная функциональность, то, скорее всего, причиной является периодическое удаление всех данных в таблице смежности. Это происходит из-за устаревания записи ARP. Во время повторного внесения данных следующего узла в таблицу смежности, пересылка пакетов в режиме CEF не выполняется. Поскольку записи ARP по умолчанию обновляются каждые четыре часа, установка слишком малого значения для времени ожидания ARP может иметь отрицательные последствия для выполнения CEF.

Чтобы изменить значение времени, в течение которого запись сохраняется в кэше ARP, воспользуйтесь командой arp timeout в режиме конфигурации интерфейса.

Дополнительные сведения см. в описании ошибки CSCeb53542 (только для зарегистрированных пользователей). Дополнительные сведения о смежности CEF см. в разделе Устранение неполных смежностей в CEF.

Фильтрация коммутатором нулевых MAC-адресов таблицы CAM

Коммутатор фильтрует кадры, полученные от источника с MAC-адресом 00-00-00-00-00-00, который является недопустимым исходным MAC, для таблицы CAM. Ниже приведен пример выходных данных системного журнала в случае появления данной ошибки:

%SYS-4-P2_WARN: 1/Filtering MAC address 00-00-00-00-00-00 on port 2/48 from host table

Эти данные сообщают об обнаружении кадра, полученного от источника с MAC-адресом 00-00-00-00-00-00 и о том, что данный адрес ни при каких условиях не будет добавлен в таблицу CAM. Тем не менее, коммутатор будет продолжать пересылку трафика, полученного из источника с нулевым MAC-адресом.

В качестве временного решения проблемы можно определить конечную станцию, которая генерирует кадры с нулевым исходным MAC-адресом. Обычно одно из этих устройств передает подобные кадры:

  • Генератор трафика, такой как Spirent SmartBits

  • Некоторые типы серверов, такие как распределяющие нагрузку серверы IBM WebSphere

  • Неправильно настроенный маршрутизатор или оконечная рабочая станция, т.е. устройство, передающее нулевые пакеты

  • Неисправная NIC

Возникновение одноадресной лавинной передачи в сети каждые 5 минут

Коммутаторы LAN используют таблицы пересылки, такие как таблицы уровня 2 и таблицы CAM, для направления трафика к определенным портам на основании номеров VLAN и MAC-адреса назначения кадра. Если нет ни одной записи, которая относится к MAC-адресу назначения кадра во входящей VLAN, (одноадресный) кадр направляется на все порты пересылки в пределах соответствующей VLAN. Это вызывает затопление. Истинная причина лавинной передачи - то, что MAC - адрес назначения пакета не находится в таблице пересылки Уровня 2 коммутатора. В этом случае пакет лавинно рассылается из всех портов пересылки в его VLAN, кроме порта, на котором он получен.

В то время как CAM держит записи в течение только 5 минут, время устаревания таблицы ARP по умолчанию составляет 4 часа. Когда MAC - адрес назначения в возрасте из таблицы CAM, коммутатор отсылает кадр во все порты пересылки в соответствующей виртуальной локальной сети (VLAN). Вы требуете таймера устаревания CAM, больше или равного Таймауту "ARP" для предотвращения одноадресной лавинной адресации. Как обходной путь, можно выполнить одну из этих команд для увеличения таймера устаревания CAM для VLAN, из-за которой вы испытываете затруднения совпасть со временем устаревания ARP:

Примечание: В любой среде Catalyst, которая выполняет Протокол HSRP, рекомендуется гарантировать, что синхронизируются таймеры CAM и ARP.

Обратитесь к разделу Одноадресная лавинная передача в коммутируемых кампусных сетях для получения информации о возможных причинах и импликациях одноадресной лавинной передачи в коммутируемых сетях.

Проблемы при использовании ARP в гибридном CatOS

В Гибридном режиме Supervisor Engine выполняет CatOS и Cisco IOS выполнений функциональной карты многоуровневого коммутатора (MSFC). CatOS работает на Уровне 2 и создает таблицу адресов CAM для удержания данных о VLAN, MAC-адресах и номерах портов. Cisco IOS в MSFC работает в Уровне 3 и создает таблицу ARP для удержания IP-адреса к разрешению MAC-адреса. При изменении IP-адреса любого устройства, такого как принтер или сервер, вы не могли бы быть в состоянии пропинговать тот новый IP-адрес. Однако вы в состоянии пропинговать новый IP-адрес от той же VLAN. Это может быть проблемой при использовании ARP на MSFC.

Этот обходной путь может помочь изолировать и решать вопрос:

  1. Очистите таблицу ARP на MSFC.

    MSFC2#clear arp int vlan 40
    
  2. Проверьте значение Таймаута "ARP". Значение по умолчанию составляет 4 часа. Если Таймаут "ARP" в VLAN высок, можно задержать значение таймаута к по умолчанию или оптимальному значению.

    MSFC2#show int vlan 40
    Vlan40 is up, line protocol is up
      Hardware is Cat6k RP Virtual Ethernet, address is 00d0.0050.33fc (bia 00d0.005
    0.33fc)
      Internet address is 40.40.40.3/24
      MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
         reliability 255/255, txload 1/255, rxload 1/255
      Encapsulation ARPA, loopback not set
      Keepalive not supported
      ARP type: ARPA, ARP Timeout 04:00:00
      Last input 00:00:00, output 00:01:44, output hang never
      Last clearing of "show interface" counters never
      Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
    MSFC2#conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    MSFC2(config)#int vlan 40
    MSFC2(config-if)#arp timeout ?
      <0-2147483>  Seconds
    
    MSFC2(config-if)#arp timeout 240
    
  3. Повторно загрузите MSFC.

    MSFC2#write memory
    Building configuration...
    [OK]
    MSFC2#reload
    Proceed with reload? [confirm]
    Supervisor> (enable)

Ошибка EARL-2-EARL4LOOKUPRAMERROR во время поиска в таблице CAM

Когда у вас есть эта проблема, это - пример выходных данных ошибки системного журнала:

%EARL-2-EARL4LOOKUPRAMERROR:Address eac6, data 0-0-8000-0, count 8

Это появляется при выполнении поиска в таблице CAM. Когда вы получаете доступ к памяти, это происходит из-за ошибки контроля четности. Ошибка обычно происходит после ввода команды show cam с целью получения доступа к таблице CAM . В некоторых случаях выполнение команды show cam приводит к перезапуску коммутатора.

%EARL-2-EARLLOOKUPRAMERROR: Address [hex], data [hex]-[hex]-[hex]-[hex], count [dec]

Это сообщение об ошибках указывает, что была обнаружена ошибка контроля четности поиска в ОЗУ. Поле [hex] адреса является адресом в таблице пересылки, где была обнаружена ошибка. Данные поля [hex]-[hex]-[hex]-[hex] являются word0, word1, word2, и word3 данных ОЗУ, которые генерировали ошибку контроля четности. Значение счетчика в поле [dec] является общим числом ошибок контроля четности.

Это сообщение не является катастрофическим и не могло бы привести к ситуациям простоя, если вы только изолировали вхождения его. При получении этого сообщения постоянно оно указывает, что коммутатор пытается записать в неисправный сектор динамического ОЗУ, когда оно добавляет новую запись в таблицу CAM. Затем необходимо заменить DRAM или сам супервизор.

Потеря статических записей CAM после переключателя супервизора

Статические записи CAM, которые настроены на активном модуле управления, потеряны после быстрого переключателя. Как обходной путь к этой проблеме, необходимо реконфигурировать записи CAM маршрутизатора после быстрого переключателя.

Обратитесь к идентификаторам ошибок Cisco CSCed87627 (только зарегистрированные клиенты) и CSCee27955 (только зарегистрированные клиенты) для получения дополнительной информации об этой уязвимости.

%ACL-5-TCAMFULL: таблица TCAM модули ACL полна

Если TCAM полон, и вы пытаетесь добавить новые ACL или записи управления доступом (ACE) к ACL, которые существуют, сбои процесса фиксации или отображения. Любая предыдущая конфигурация остается в силе. В случае Списков контроля доступа маршрутизатора (RACL) ACL принужден в программном обеспечении на функциональной карте многоуровневого коммутатора (MSFC) с соответствующим снижением производительности.

На коммутаторе, который выполняет гибридное программное обеспечение при настройке Списка контроля доступа Виртуальной локальной сети (VACL) или записи ACE в списках ACL QoS, которые превышают размер шаблона или маски TCAM, сообщение системного журнала, подобное этому, распечатывает к консоли:

%ACL-5-TCAMFULL: acl engine TCAM table is full

На системах Supervisor IOS, или на MSFC в гибридной системе при настройке записей ACE в списках RACL, которые превышают емкость TCAM, сообщение системного журнала, подобное этому, распечатывает к консоли:

%FM-4-TCAM_ENTRY: Hardware TCAM entry capacity exceeded

В системах IOS Supervisor или на плате MSFC в гибридной системе выполните команду show fm summary, чтобы просмотреть, какие именно интерфейсы принуждают ACL в аппаратном обеспечении (ACTIVE), а какие - в программном обеспечении (INACTIVE).

Обходной путь для этой проблемы должен удалить неиспользованный ACL или QoS от swich конфигурации. Обратитесь к разделу Общие сведения об ACL в коммутаторах серии Catalyst 6500 для получения дополнительной информации.

Когда MSFC Не Отвечает на Запрос ARP в Коммутаторах серии Catalyst 6500, проблемы эхо-запроса Происходят

При прозванивании интерфейса виртуальной локальной сети (VLAN) запрос ARP с source IP той VLAN передается Маршрутизатору по умолчанию (MSFC), но маршрутизатор не отвечает на запрос ARP, и debug ARP показывает это сообщение об ошибках:

IP ARP req filtered src [ip-address] [mac-address] dst [ip-address] 
[mac-address] wrong cable, interface-id

Если IP - адрес назначения не совпадает с адресом локальных узлов, для каждой дейтаграммы ARP сбрасывают от ответа ARP. Если IP - адрес источника не находится в той же подсети, от запроса ARP сбрасывают. Выбираемо, чтобы этот тест был отвергнут параметром конфигурации для поддержки нечастых случаев, где несколько подсетей могут сосуществовать на том же кабеле.

Ответ ARP генерируется, только если IP-адрес протокола назначения достижим от локального хоста, как определено алгоритмом маршрутизации, и следующий переход не через тот же интерфейс. Если локальный хост функционирует как шлюз, это может привести к ответам ARP для назначений не в той же подсети. Это показывает, что для отбрасывания запроса ARP допустимо.

Это может быть решено, заставляя Catalyst 6500 не ответить на все запросы ARP, потому что IP - адрес источника в запросе ARP находится на другой подсети, чем целевой IP - адрес в ARP. Поэтому MSFC/Маршрутизатор приходит к заключению, что ARP не оставался в том же домене Уровня 2 и показывает неверный тип кабеля. Другими словами, когда источник ARP и назначение не принадлежат тому же домену Уровня 2, сообщение отладки неправильного кабеля генерируется. Чтобы заставить ARP работать в этом сценарии, IP протокола назначения должен быть достижимым с использованием статического маршрута как обходной путь.

Несколька точек входа в таблице MAC-адресов

Две записи показывают для MAC-адреса в таблице MAC-адресов.

Cat6K#show mac-address-table int gi 6/11
Displaying entries from Line card 6:

Legend: * - primary entry
        age - seconds since last seen
        n/a - not available

  vlan   mac address     type    learn     age              ports
------+----------------+--------+-----+----------+--------------------------
[FE 1]:
*  100  0011.857c.4d10   dynamic  Yes          0   Gi6/11
[FE 2]:
*  100  0011.857c.4d10   dynamic  Yes         95   Gi6/11


Cat6K#show module 6
Mod Ports Card Type                              Model              Serial No.
--- ----- -------------------------------------- ------------------ -----------
  6   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX     SADxxxxxxxx

Mod MAC addresses                       Hw    Fw           Sw           Status
--- ---------------------------------- ------ ------------ ------------ -------
  6  001d.45fd.xx4a to 001d.45fd.xx79   2.6   12.2(14r)S5  12.2(18)SXF8 Ok

Mod  Sub-Module                  Model              Serial       Hw     Status
---- --------------------------- ------------------ ----------- ------- -------
  6  Distributed Forwarding Card WS-F6700-DFC3B     SALxxxxxxxx  4.6    Ok

Mod  Online Diag Status
---- -------------------
  6  Pass

Два механизма поиска пересылки Уровня 2 существуют в среде DFC. Распространено в среде dCEF, что FE1 и FE2 изучают тот же MAC-адрес на том же порте на архитектуре CEF720/dCEF720 линейные карты.

Виртуальный IP - адрес, Используемый Microsoft Load Balancing, не Достижим

Маршрутизаторы Cisco требуют ARP (протокол разрешения адресов) запись для каждого виртуального IP - адреса. В то время как сетевая нагрузка, балансирующая Уровень 2 использования, передана в многоадресном режиме для доставки пакетов. В реализации Cisco RFC групповая адресация используется только для групповой IP-адресации. Поэтому, когда маршрутизатор не видит IP-адрес групповой адресации, он автоматически не создает Запись ARP, и необходимо вручную добавить его к маршрутизатору.

Обычно, устройства Сisco не помещают MAC-адрес групповой адресации (виртуальный MAC - адрес кластеров) в таблице ARP, если это было решено через IP-адрес индивидуальной рассылки (виртуальный адрес кластера). Для решения этого вопроса вы требуете статического отображения виртуального IP - адреса индивидуальной рассылки к MAC-адресу групповой адресации.

Для получения дополнительной информации обратитесь к разделу режима многоадресной рассылки Коммутаторов Catalyst для Примера конфигурации Распределения нагрузки сети Microsoft.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения