1、我司交换机默认的MAC地址表与ARP表的老化时间是多少
1)MAC地址表老化时间默认5min,可以通过如下命令修改:
Ruijie(config)#mac-address-table
aging-time ?
<0-0>Enter 0 to disable aging
<10-1000000> Aging time in seconds
2)ARP表老化时间默认60min,可以通过如下命令修改:
Ruijie(config)#interface
vlan 10
Ruijie(config-if-VLAN
10)#arp timeout ?
<0-2147483> Seconds (default value:
3600)
2、高校S86/S12000作为二层大汇聚的应用模型中,由于资源表项的限制,在用户数较多时可能出现表项溢出/HASH冲突,部分用户无法正常上网
问题描述:
1)、在10.4(3)之前的版本中均存在一个问题:S86会学习IPV6用户的本地链路地址,并设置到硬件条目中,导致硬件条目浪费,用户IPV6占用的硬件表项会更多,这个问题在10.4(3)
以及之后的版本中得到解决。
2)、由于S86/S12K的不同线卡,混插等情况下,对应ARP/ND/三层组播(S,G,V)等表项的容量可能无法满足客户实际需要(具体计算方法见上述条目),导致溢出/hash冲突
10.4(3B17)之前的版本:如果产生冲突,就打LOG提示用户冲突,例如:
*Mar 22 16:49:13: %7:
%EFHW-4-HOST_NO_RESOURCE: Add 2001:250:1002:2406:65DE:BF27:A71:6D50 to Host
table failed because of hash conflic
3)、10.4(3B17)在hash冲突的优化方面做了改进
如果ARP和ND/三层组播表或者和自身冲突(不管ARP表项是已经安装的待安装的),
会将ARP表项转到路由表中处理; 每个ARP条目将占用1条路由表;
如果ND/三层组播表(IPV4/IPV6)安装时发现冲突,3B17中提供了双HASH机制(出现HASH冲突的情况下再次HASH,将表项挪到另外一个桶中),理论上可以将HASH冲突的概率从X降低到X平方;
复现方法:
1)、 执行Show arp counter、show
ipv6 neighbors statistics 、show ip mroute 、show ipv6 mroute,结合条目计算的方法,客户现场可能存在以上容量超限问题。
2)、查看Log,可能存在如下日志,表明设备表项已经溢出。
Mar 1 22:56:03: %7:
%EFHW-4-NEXTHOP_NO_RESOURCE: NEXTHOP table is full
Mar 1 22:56:11: %7:
%EFHW-4-HOST_NO_RESOURCE: Add arp 10.16.23.179 nhop failed.
Mar 1 22:56:13: %7:
%EFHW-4-HOST_NO_RESOURCE: Add nd 2001:DA8:D805:145:B130:FF1A:B594:4767 nhop
failed
规避方法:
1)、部分用户(V4/V6)网关迁移到其他设备,减少设备主机表占用,例如部分V6应用可迁移到其他交换机。
2)、存在HASH冲突的用户更改IPV6地址(可修改MAC地址或前缀)
解决方法:
1)、S86系列在EC卡容量满足客户需求的情况下,可将所有EA/EB卡升级为EC卡,表项容量翻倍。
2)、插入MPLS卡,主机表容量扩充至16K,但分布式转发变为集中式转发,整机转发速率为10G
(不推荐)
3)、线卡升级到EC卡,同时配合10.4(3b17)及之后版本,实现了双HASH桶的优化,可以减少HASH冲突的可能性。
以上问题的彻底解决办法是合理规划与部署S86/S12K的应用场景,避免可能超出S86/S12K指标容限的环境应用。
3、S6500系列/S6800系列/S6800E系列产品重启后出现SVI口对应的ARP信息改变(MAC变了)
故障现象
S68E设备,配置有很多的SVI接口,其中比如SVI 10
Switch#show ip int
Interface: VL10
Description: Vlan 10
OperStatus: up
ManagementStatus : Enabled
Primary Internet address:
172.16.10.1/24
Broadcast address : 255.255.255.255
PhysAddress: 00d0.f88b.7a14
一次意外断电后,设备重启,PhysAddress改变为
00d0.f88b.7a08,导致互联的设备上面的ARP,或者IP+MAC的绑定信息无法随之变化,造成网络中断。
故障原因
S65/S68/S68E设备不像RGOS平台的交换机,整机就一个全局的三层MAC,一个二层的MAC,他们设备的三层接口(no
switchport,SVI)是有一段地址空间的,比如00d0.f88b.7a00-00d0.f88b.7aff,根据这些三层接口起机时候up的先后顺序来依次分配MAC给不同的接口,一旦分配完成,在设备运行过程中就不会改变了,直到下次设备重启,重新分配。
这样由于每次重启的环境可能存在不一样,比如线卡的多少,分布的情况等变化,物理接口(TRUNK,对应的ACCESS)上UP的先后顺序不一样,就可能存在不同的SVI接口这次先UP,后来可能比其他接口晚UP,这样同样的SVI接口分配的MAC就会不一致,导致上述的故障现象。
规避或解决方法
其实这样的MAC分配方式不会存在使用上的风险,通过ARP,MAC的重新通告学习,会让网络自动适应,但是当存在IP+MAC绑定的互联安全设备时,就会产生一定概率的风险,目前产品实现如此,无规避或者解决方法,只能重新配置互联设备的安全条目。
4、交换机一直报%ARP-4-ARP_TABLE_OVERFLOW:
Count of static and dynamic arp entries reached limit 1024
service
trustedarp
security gsn
enable
security v2c
community npszwlzxok
S5750#show arp counter
Count of static
entries: 0
Count of dynamic
entries: 1012 (complete: 1000incomplete: 12)
Count of trusted
entries: 0 (limit: 7168)
Total:1012
故障原因:
由于交换机开启了GSN功能同时还部署的可信任arp功能,这样交换机为了后续认证的用户的arp表项可以正常添加,默认是为可信任ARP预留了7168条表项,这样交换机剩余的动态+静态的arp容量就会变成1024,当前交换机上面的动态arp条目已经达到了1012,接近1024了,所以console口会一直打印这样的log
解决方法:
1)这边看了下trusted
entries是0,说明接入层交换机可能没有开启认证,或者是不需要可信任arp功能,那么在汇聚57上面就可以直接关闭service trustedarp功能,这样可用arp可以达到8K;
2)另外还可以通过如下命令调整可信任arp的预留表项数
Ruijie(config)#arp
trusted ?
<10-7168> Numbers
aging Enable Trusted
ARP aging
5、S5750-28GT-L的vlan下能配置几个网关地址
只能配置2个网关地址,一个主,一个secondary地址,再配置提示报错:
Ruijie(config-if-VLAN 2)#ip add 192.168.4.1
255.255.255.0 secondary
the num of
address exceed limit, Cannot add IP address.
show run看int
vlan 2只是2个网关地址:
interface VLAN 2
no ip proxy-arp
ip address 192.168.2.1 255.255.255.0
ip add 192.168.3.1 255.255.255.0
secondary
6、S86如何配置IPv4静态路由的条数上限
目前我司交换机的所有型号设备,默认的静态路由表条目是1K,在有些场景中,客户的需求可能超过1K,这时候需要通过命令来调整IP4v4静态路由条目上限值
Ruijie(config)#ip
static route-limit ?
<1-10000> Value
Ruijie(config)#ip
static route-limit 2000
7、目前我司交换机是否支持ipv4,ipv6的会话数查看
不支持