Este documento proporciona información sobre cómo resolver problemas en el Address Resolution Protocol (ARP) o la Memoria Direccionable de Contenido (CAM) en los switches de Catalyst 6500/6000.
No hay requisitos específicos para este documento.
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
Los switches de Catalyst mantienen varios tipos de tablas que se adaptan para el switching de Capa 2 o el switching multicapa (MLS), y se mantienen en todas las memoria rápidas para poder comparar muchos campos dentro de una trama o de un paquete paralelamente.
ARP: asigna una dirección IP a una dirección MAC para proporcionar comunicación IP dentro de un dominio de broadcast de Capa 2. Por ejemplo, el Host B desea enviar la información al Host A pero no tiene la dirección MAC del Host A en su caché ARP. El Host B genera un mensaje de broadcast para todos los hosts dentro del dominio de broadcast para obtener la dirección MAC asociada con la dirección IP del Host A Todos los hosts dentro del dominio de broadcast reciben la solicitud ARP, y solamente el Host A responde con su dirección MAC.
CAM: todos los modelos de switch Catalyst utilizan una tabla CAM para el switching de Capa 2. Como las tramas llegan en los puertos del switch, las direcciones MAC de origen se aprenden y se registran en la tabla CAM. El puerto de llegada y la VLAN se registran en la tabla, junto con el fechado. Si una dirección MAC aprendida en un puerto de switch se ha movido a un puerto diferente, la dirección MAC y el fechado se registran para el puerto de llegada más reciente. Luego, se borra la entrada anterior. Si una dirección MAC ya está presente en la tabla para el puerto de llegada correcto, sólo se actualiza su fechado.
Memoria direccionable de contenido ternario (TCAM): en los switches multicapa, todos los procesos que proporcionan las listas de control de acceso (ACL) en el routing tradicional, como la coincidencia, el filtrado o el control del tráfico específico, se implementan en el hardware. La TCAM permite que un paquete sea evaluado conforme una lista de acceso completa en una sola búsqueda en tabla. La mayoría de los switches tienen TCAM múltiples para poder evaluar la seguridad entrante y saliente, y las ACLs de QoS se pueden evaluar simultáneamente, o de forma totalmente paralela con una decisión de reenvío de la Capa 2 o de la Capa 3.
En el switching distribuido, cada Tarjeta de Función Distribuida (DFC) es responsable de mantener su propia tabla CAM. Esto significa que cada DFC aprende la dirección MAC y la envejece, lo que depende del envejecimiento y del tráfico CAM que corresponden con esa entrada determinada Con el switching distribuido, es normal que el Supervisor Engine no detecte ningún tráfico para una dirección MAC determinada durante algún tiempo, por lo que la entrada puede caducar. Actualmente, hay dos mecanismos disponibles para mantener las tablas CAM consistentes entre los diversos motores, tales como DFC (presente en los módulos de línea) y Tarjeta de Función de Política (PFC) (presente en los módulos de Supervisor):
Inundación a Entramado (FF)
Notificación MAC (MN)
Cuando una entrada de dirección MAC envejece en el PFC, el comando show mac-address address <MAC_Address> all muestra el DFC o PFC que mantiene esta dirección MAC.
Para evitar que el envejecimiento de una entrada en DFC o PFC, incluso si no hay tráfico para esa dirección MAC, habilite la sincronización de la dirección MAC . Publique estos comandos para habilitar la sincronización:
!--- This is a global configuration command and is used to enable the synchronization. Cat6K-IOS(config)#mac-address-table synchronize
!--- This is a privileged EXEC command and is used to clear dynamic MAC addresses. Cat6K-IOS#clear mac-address-table dynamic
El comando mac-address-table synchronization está disponible en Cisco IOS® Software Releases 12.2(18)SXE4 y posteriores. Después de que lo habilite, es posible siga viendo entradas que no están presentes en el PFC o el DFC. Sin embargo, el módulo tiene una manera de aprender de otros módulos que utilicen Canal Ethernet fuera de banda (EOBC).
Precaución: El comando mac-address-table synchronization purga las entradas MAC ruteadas. Para evitar que esto suceda, inhabilite el borrado de MAC ruteado con el comando mac-address-table aging-time 0 routed-mac global configuration.
Cisco Express Forwarding (CEF) es una tecnología de switching IP que brinda un rendimiento superior en comparación con otras tecnologías de switching, especialmente, en redes con patrones de tráfico dinámico. El CEF mantiene las estructuras de datos llamadas Base de información de Reenvío (FIB) y las tablas de adyacencia. La tabla de FIB refleja la información en la tabla de ruteo y se utiliza para tomar decisiones de reenvío. La tabla de adyacencia contiene el encabezado de capa de link calculados previamente para los dispositivos de siguiente salto. De acuerdo con la interfaz de siguiente salto, las entradas en la tabla de FIB se mapean con las entradas en la tabla de adyacencia. Un dispositivo no puede realizar paquetes de switch CEF si la tabla de adyacencia no contiene la Información requerida.
Si el CEF descarta los paquetes a intervalos regulares, separados por períodos de funcionamiento normal, probablemente se debido a la tabla de adyacencia que es despejada periódicamente. Esto es causado por el envejecimiento de la entrada ARP. Los paquetes no son conmutados por CEF durante el período en el que la tabla de adyacencia se vuelve a llenar con la información requerida del salto siguiente. Mientras que las entradas ARP se restauran de forma predeterminada cada cuatro horas, configurar un valor muy pequeño del tiempo de espera de ARP es perjudicial para la operación de CEF.
Ejecute el comando arp timeout en el modo de configuración de interfaz para modificar el tiempo en el que la entrada permanece en el caché ARP.
Consulte Cisco bug ID CSCeb53542 ( sólo clientes registrados) para obtener más información sobre esta vulnerabilidad. Consulte Troubleshooting de Adyacencias Incompletas con el CEF para obtener más información sobre la adyacencia CEF.
El switch filtra las tramas con una dirección MAC de origen de 00-00-00-00-00-00, que es una MAC de origen no válido, de la tabla CAM. Éste es un ejemplo del resultado de error de syslog cuando esto sucede:
%SYS-4-P2_WARN: 1/Filtering MAC address 00-00-00-00-00-00 on port 2/48 from host table
Estos mensajes son informativos y le avisan que se encontró una trama con una dirección MAC de origen de 00-00-00-00-00-00, y el switch nunca la agregará a la tabla CAM. Sin embargo, el switch reenviará el tráfico originado de una dirección MAC de origen con todos ceros.
La solución temporal es identificar la estación final que genera las tramas con una dirección MAC de origen con todos ceros. Típicamente, uno de estos dispositivos transmite tales tramas:
Un generador de tráfico, tal como Spirent SmartBits
Tipos determinados de servidores, tales como servidores IBM WebSphere de balanceo de carga
Un router mal configurado o una estación final, como un dispositivo que transmite broadcasts con todos ceros
Un NIC defectuoso
Los switches LAN usan tablas de reenvío, tales como tablas CAM de Capa 2, para dirigir el tráfico a los puertos específicos basados en el número de VLAN y la dirección MAC de destino de la trama. Cuando no hay una entrada que corresponda a la dirección MAC de destino de la trama en la VLAN entrante, la trama (unicast) se envía a todos los puertos de reenvío dentro de la VLAN respectiva. Esto provoca la inundación. La misma causa de inundación es que la dirección MAC de destino del paquete no está en la tabla de reenvío de la Capa 2 del switch. En este caso, el paquete se inunda y desborda todos los puertos de reenvío en su VLAN, excepto por el puerto que lo recibe.
El tiempo de envejecimiento predeterminado de la tabla ARP es 4 horas mientras que el CAM mantiene las entradas por solamente 5 minutos. El switch envía una trama a todos los puertos de reenvío dentro de la VLAN respectivo cuando la dirección MAC de destino envejece y sale de la tabla CAM. Necesita un temporizador de envejecimiento CAM mayor o igual al tiempo de espera de ARP para prevenir la inundación unicast. Como solución temporal, puede ejecutar uno de estos comandos para aumentar el temporizador de envejecimiento CAM para la VLAN con la que tiene problemas para que coincida con el temporizador de envejecimiento de ARP:
Para CatOS, ejecute el comando set cam agingtime.
Para el Cisco IOS Software, ejecute el comando mac-address-table aging-time.
Nota: En cualquier entorno Catalyst que ejecute un protocolo de router en espera en caliente (HSRP), se recomienda asegurarse de que los temporizadores CAM y ARP estén sincronizados.
En el modo Híbrido, el supervisor engine ejecuta CatOS y la Tarjeta de Función de Switch Multicapa(MSFC) ejecuta el Cisco IOS. CatOS funciona en la Capa 2 y construye la tabla de direcciones CAM para guardar información de VLAN, la dirección MAC y del número de puerto. Cisco IOS en MSFC funciona en la Capa 3 y genera la tabla ARP para mantener la dirección IP en la resolución de direcciones MAC.Cuando cambia la dirección IP de cualquier dispositivo, como una impresora o un servidor, es posible que no pueda hacer ping a esa nueva dirección IP. Sin embargo, puede hacer ping en la nueva dirección IP de la misma VLAN. Esto puede ser un problema ARP en el MSFC.
Esta solución temporal puede ayudar a aislar y a resolver el problema:
Borre la tabla ARP en el MSFC.
MSFC2#clear arp int vlan 40
Verifique el valor del tiempo de espera de ARP. El valor predeterminado es 4 horas. Si el tiempo de espera de ARP en la VLAN es alto, puede establecer el valor de tiempo de espera nuevamente como valor predeterminado o valor óptimo.
MSFC2#show int vlan 40 Vlan40 is up, line protocol is up Hardware is Cat6k RP Virtual Ethernet, address is 00d0.0050.33fc (bia 00d0.005 0.33fc) Internet address is 40.40.40.3/24 MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive not supported ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:00, output 00:01:44, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
MSFC2#conf t Enter configuration commands, one per line. End with CNTL/Z. MSFC2(config)#int vlan 40 MSFC2(config-if)#arp timeout ? <0-2147483> Seconds MSFC2(config-if)#arp timeout 240
Recargue el MSFC.
MSFC2#write memory Building configuration... [OK] MSFC2#reload Proceed with reload? [confirm] Supervisor> (enable)
Éste es un ejemplo del resultado del error syslog cuando se le presenta este problema:
%EARL-2-EARL4LOOKUPRAMERROR:Address eac6, data 0-0-8000-0, count 8
Esto aparece cuando realiza una búsqueda en la tabla CAM. Esto sucede debido a un error de paridad cuando accede a la memoria. Este error se genera generalmente cuando ejecuta el comando show cam para acceder a la tabla CAM. En algunos casos, el switch también se restablece cuando se ejecuta el comando show cam.
%EARL-2-EARLLOOKUPRAMERROR: Address [hex], data [hex]-[hex]-[hex]-[hex], count [dec]
Este mensaje de error indica que se ha detectado un error de paridad de RAM en las operaciones de búsqueda. El camp [hex] es la dirección en la tabla de reenvío donde el error fue detectado. El campo de datos [hex] - [hex] - [hex] - [hex] es word0, word1, word2, y word3 de los datos de RAM que generaron el error de paridad. El campo [dec] es el número total de errores de paridad.
Este mensaje no es catastrófico y posiblemente no haya creado situaciones de interrupción si sólo se presentan eventos aislados de éste. Si recibe este mensaje continuamente, indica que el switch está intentando escribir a un sector DRAM erróneo cuando agrega una nueva entrada a la tabla CAM. Entonces, debe substituir el DRAM o el supervisor en sí.
Las entradas de CAM estáticas que se configuran en el motor del supervisor activo se pierden después del switchover rápido. Como solución temporal a este problema, debe configurar de nuevo las entradas CAM después del switchover rápido.
Consulte Cisco bug IDs CSCed87627 ( sólo clientes registrados) y CSCee27955 ( sólo clientes registrados) para obtener más información sobre esta vulnerabilidad.
Si la TCAM está llena e intenta agregar nuevas ACL, o las entradas de control de acceso (ACE) a los ACL que existen, el proceso commit o map falla. Cualquier configuración anterior sigue en vigencia. En el caso de las Listas de Control de Acceso del Router (rACLs), la ACL es obligatoria en el software en la Tarjeta de Función de Switch Multicapa (MSFC) con la penalidad de rendimiento correspondiente.
En un switch que ejecuta el software híbrido, si configura una Lista de Control de Acceso de la Red de Área Local Virtual (VACL) o ACEs de ACL de QoS de manera que excedan la capacidad del patrón o de la máscara de TCAM, un mensaje de Syslog similar a este se a la consola:
%ACL-5-TCAMFULL: acl engine TCAM table is full
En los sistemas de Supervisor IOS, o en el MSFC en un sistema híbrido, si configura el RACL ACE que de manera que exceda la capacidad del TCAM, un mensaje de Syslog similar a este se imprime en la consola:
%FM-4-TCAM_ENTRY: Hardware TCAM entry capacity exceeded
En los sistemas de Supervisor IOS, o en MSFC en un sistema híbrido, ejecute el comando show fm summary para ver qué interfaces aplican ACLs en el hardware (ACTIVAS) y qué interfaces aplican ACLs en el software (INACTIVAS).
La solución temporal para este problema es quitar el ACL o el QoS que no se usa de la configuración del switch. Consulte Cómo Comprender una ACL en los Catalyst 6500 Series Switches para obtener más información.
Cuando hace ping en una interfaz VLAN, se envía una solicitud ARP con un IP de origen de esa VLAN al Router Predeterminado (MSFC), pero el router no responde a la solicitud ARP y el debug ARP muestra este mensaje de error:
IP ARP req filtered src [ip-address] [mac-address] dst [ip-address] [mac-address] wrong cable, interface-id
Para cada datagrama ARP, se descarta una respuesta ARP si la dirección IP de destino no corresponde con la dirección de host local. Se descarta una solicitud ARP si la dirección IP de origen no está en la misma subred. Es preferible que esta prueba sea anulada por un parámetro de configuración para que soporte los casos poco frecuentes donde más de una subred puede coexistir en el mismo cable.
Una respuesta ARP se genera solamente si la dirección IP del protocolo de destino es accesible desde el host local, según lo determinado por el algoritmo de ruteo, y el salto siguiente no está en la misma interfaz. Si el host local funciona como un gateway, éste puede dar como resultado respuestas ARP para los destinos que no están en la misma subred. Esto muestra que se justifica el descarte de la solicitud ARP.
Esto puede resolverse configurando al Catalyst 6500 para que no responda a todas las solicitudes ARP porque la dirección IP de origen en la solicitud ARP está en una subred diferente que la dirección IP de destino en el ARP. Por lo tanto, el MSFC/Router concluye que el ARP no se encontraba en el mismo dominio de la Capa 2 y muestra el tipo de cable incorrecto. Es decir, se genera el mensaje wrong cabl debug cuando el origen y el destino ARP no pertenecen al mismo dominio de la Capa 2. Para que funcione el ARP en este escenario, el IP del protocolo de destino debe ser accesible con el uso de la ruta estática como solución temporal.
Demostración de dos entradas para la dirección MAC en la tabla de direcciones MAC.
Cat6K#show mac-address-table int gi 6/11 Displaying entries from Line card 6: Legend: * - primary entry age - seconds since last seen n/a - not available vlan mac address type learn age ports ------+----------------+--------+-----+----------+-------------------------- [FE 1]: * 100 0011.857c.4d10 dynamic Yes 0 Gi6/11 [FE 2]: * 100 0011.857c.4d10 dynamic Yes 95 Gi6/11 Cat6K#show module 6 Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ------------------ ----------- 6 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX SADxxxxxxxx Mod MAC addresses Hw Fw Sw Status --- ---------------------------------- ------ ------------ ------------ ------- 6 001d.45fd.xx4a to 001d.45fd.xx79 2.6 12.2(14r)S5 12.2(18)SXF8 Ok Mod Sub-Module Model Serial Hw Status ---- --------------------------- ------------------ ----------- ------- ------- 6 Distributed Forwarding Card WS-F6700-DFC3B SALxxxxxxxx 4.6 Ok Mod Online Diag Status ---- ------------------- 6 Pass
Dos motores de la búsqueda de reenvío de la capa 2 existen en el ambiente DFC. Es común en el entorno de dCEF que FE1 y FE2 aprendan la misma dirección MAC en el mismo puerto en las tarjetas de línea de una arquitectura CEF720/dCEF720.
Los routers Cisco requieren una entrada ARP (entrada de Address Resolution Protocol) para cada dirección IP virtual. Mientras el balanceo de la carga de red usa multicast de Nivel 2para la la entrega de paquetes. En la implementación de Cisco del RFC, el multicast se utiliza solamente para el multicast del IP. Por lo tanto, cuando el router no ve una dirección IP multicast, no crea automáticamente una entrada ARP, y debe agregarla manualmente al router.
Normalmente, los dispositivos de Cisco no colocan una dirección MAC multicast (dirección MAC virtual de clústeres) en la tabla ARP si fue resuelta a través de una dirección IP unicast (dirección virtual del clúster). Para resolver este problema, necesita un mapping estático de la dirección IP virtual unicast a la dirección MAC multicast.
Para obtener más información, consulte la sección Modo Multicast de los Catalyst Switches para obtener un Ejemplo de Configuración de Balanceo de Carga de la Red de Microsoft.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
27-Oct-2009 |
Versión inicial |