Cisco WS-C6509-E Arpcaching损坏问题？

我build议你向思科开个案。
他们将能够检查您的IOS版本中的已知错误，并会询问您可能不希望在此处发布的configuration细节。 （但是如果你想要的话，你可以把一个技术的结果放在某个地方帮助我们）
在重新启动之后还要添加它，或者在长时间的正常运行后开始腐败？

• 您看到交换机的CLI中的PING或与交换机连接的PC的问题？

• 此交换机是否提供第3层（路由）function？

• 这些PING是否显示在同一子网上的两台设备之间或在子网之间出​​现问题？

• 在交换机上的日志（“show log hist”，我相信）显示任何错误？

• 影响数据包传输的问题仅限于几个设备，还是您看到它影响到许多设备？

几年前，我在一个客户网站上遇到了类似的问题。 在发生问题之前，我捕获了“show mac-”的输出，然后在发生问题的过程中，比较了在停机之前和之后出现在不同端口上的设备。

我发现在局域网上有一个embedded式设备（在这种情况下是一个时钟），它会周期性地发送一批带有“欺骗”源地址的帧，混淆交换机的桥接表，并导致交换机发送错误帧端口一段时间。 我能够在“show mac-”输出中看到它，注意到不应该改变端口的设备似乎正在这样做。

听起来很有趣，排除故障！ 希望我在那里…>微笑<

编辑：

感谢您的意见。

“show log hist”显示一个持久的日志。 只要您没有清除日志，在清除交换机上的arpcaching后，所有在那里报告的消息将仍然存在。

6509和问题设备所在的公司数据中心之间是否还有其他路由器？

你使用任何dynamic路由协议？

这是我的直觉所说的：

我强烈build议你在发生故障之前保存一份“show mac-”和“show arp”，并且在发生故障时再保存一份（应该只花一点时间用PuTTY来捕获它们）你可以快速清除arpcaching）。

我意识到你不能轻易地在这里发布这些捕获，但我build议你把它们放到电子表格或数据库中，并将MAC地址与一个报告中的端口进行匹配，将MAC地址与另一个报告中的IP地址进行匹配。 如果你比较“之前”和“期间”，我预测你会看到一些差异。

假设你的6509和企业数据中心之间有一个路由器，我预测你将会发现路由器的MAC地址在端口之间“移动”，或者它的IP地址在MAC地址之间移动。

如果没有路由器，企业数据中心机器正在与第二层的6509对话，我会预测设备本身可能会在端口之间显示一些“移动”，或者在MAC地址之间移动IP地址。

如果你在被ping的客户端上运行一个嗅探器，你会看到所有的ping或只有一半ping？

如果您从6500上的不同接口获取ping，会发生什么？ 这是否发生的主机，6500是默认网关的？

mac地址表是什么样的？ traceroute怎么样？ 还有一个'ping -r9'？

不排除IOS错误，但也可能是其他许多事情…

这可能是ARP欺骗的情况。 如果有人试图欺骗networking上的所有地址（包括网关），那么欺骗机器将获得太多的通信量，因此在读取它之后可能无法将所有数据传送到正确的地址。 或者欺骗机器可以故意丢弃额外的数据包。

运行wireshark。 然后使用“arp -d”删除子网上所有IP地址的arp条目。 然后尝试ping你的子网上的几个IP。 然后停止从wireshark捕获数据包，只是分析ARPstream量。 如果您看到多个针对IP 172.16.1.1的IP地址的多个ARP响应位于xx：xx：xx：xx：xx：xx0后面是IP地址172.16.1,1，则位于yy：yy：yy：yy：yy： YY。 那么这绝对是ARP欺骗的案例，交换机没有任何问题。

如果这不起作用。 尝试将交换机IOS升级到最新版本。

我不得不同意彼得和埃文。 这听起来更像是一个弹跳的路由/端口而不是caching攻击。 特别是在65xx。 为了扩大埃文的评论，一定要得到（工作）ARP表，但你真正需要的唯一条目是下一跳路由器。 你排除了多path问题吗？ 我看到有人问你是否正在运行dynamic路由协议（或多个网关W /浮动静态路由），但我还没有看到你的答案。 祝你好运！