Добрый день. Существует такая проблема:
В сети стоят 2 Dlink DGS-3610 на котором терменируются вланы. (Настроены SuperVlan'ы)
У абонентов IPOE, белый адрес выдается по dhcp абонентам сразу. У нас /19 сеть и она поделена на 3610 примерно поровну.
(дальше уже стоят циски для интернета, у каждого айпишника своя сессия)
После перехода на прошивку 10.4.3, наблюдаю такую картину: оба 3610 раза 2-4 в день отваливаются по управлению и у некоторых абонентов перестает работать интернет. (не у всех, а примерно у 5% пользователей) Происходит это на 2 минуты. Причем 3610 овталиваются по очереди.

Подключился консолью к 3610 который отваливается первым. Вижу что цпу загружено на 99.99%, больше всего стараются процесы tnet и tarptime
И сделал команду sh arp count, увидел, что в момент такого лага incomplete записей больше 100 (при нормально работе 5-20 не больше)
С помощью sh arp inc понял, что идет сканирование моей /19 сети, от сюда и понятно почему 3610 отваливаются поочереди т.к. сначало идет сканирование первой части сети которая на одном 3610, потом начинает лагать второй 3610 со второй частью сети.
На 3610 настроена функция NFPP ARP-GUARD которая срабатывает на пользователя, у которого arp 10pps. А значит я делаю вывод, что сканирование идет извне (то-есть с интернета).

Подскажите, что можно сделать с этим?

посмотрите в сторону ip-guard

После включения ip-guard начались проблемы на транзитных VLAN-ах, стало блокировать проходящий через 3610 L2 трафик.

Так сканирование же не с помощью ARP идёт, это сам 3610 генерит ARP.

проблема с этим и правда есть. выглядит так:
кто-то с внешки сканит сеть, на 3610 приходит запрос на 1-й, 2-й, 3-й, .... n-й ip адрес
если клиент есть, то пакет отправляется ему, а вот если его нет, то 3610 начинает генерировать arp запрос для его поиска. загрузка cpu растет и он уходит в отказ и/или перестает отвечать клиентам, т.е. они теряют шлюз(3610)

нам немного помогло:
arp anti-ip-attack 1
arp retry times 2
arp retry interval 120


поидее для этого как раз и нужен Ip-guard, но описание параметров непонятное в мануалах
объясните в в двух словах про опции: attack-threshold, rate-limit, scan-threshold. в частности интересует в чем отличие

по идее должно помочь arp unres 50 (макс количество инкомплит записей)

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

В документации все доходчиво написано:
attack-threshold - блокировка хоста после превышения лимита
rate-limit - дроп пакетов после превышения лимита
scan-threshold - просто информирование в лог и отправка трапа после превышения лимита

вместо того, чтобы менять все параметры подряд наугад, лучше сделать диагностику нормальную и понять каков реальный характер пакетов, которые вызывают негативные последствия...для решения этой задачи есть замечательные инстурменты wireshark и функция span

там ничего интересного, тысячи примерно одновременных обращений на IP по порядку с перебором портов, обычный скан сети. как смогу поймать момент скана, пришлю лог.

P.S. ip-guard работает, только ловит бывает и трафик что проходит на L2 через него, в связи с этим появился вопрос: а можно сделать включение ip-guard только на определенном влан ?

можно включить для конкретного порта коммутатора