自 4 年多以来,我一直在使用带有几个 VLAN 的 PfSense 防火墙,在过去的几天里,我注意到两个 VLAN 中的网络连接问题。
使用 Web 界面,我看到这两者的流量曲线相同:
在 PfSense 的“流量图”页面上,我看到此流量来自广播 IP?
使用 Wireshark,我看到了数以千计的 ARP 请求,其中大部分来自同一个 IP
在这些流量高峰期间,互联网非常无响应,甚至 ping 同一网络(但不同的 vlan)中的设备也会导致大约40% 的包丢失
我正在使用单线查看哪些 IP 正在进行这些战斗,似乎基本上是 3 个 IP,其中包含最多包的 IP 是 pfsense防火墙本身(10.11.11.18)。在大约 4 秒内记录了 100,000 个包裹。
# tcpdump -c 100000 -l -i em1.107 -n arp | egrep 'who-has' | cut -d ' ' -f 7 | sort | uniq -c | sort -n
100000 packets captured
113803 packets received by filter
0 packets dropped by kernel
8774 10.11.11.110,
8774 10.11.11.117,
69291 10.11.11.18,
还有几个指针:
- 流量峰值出现 ~ 每分钟 2 次,但没有明确的间隔
- 有时它可以工作几个小时而没有问题
- 有时流量高峰会持续 2-5 分钟,大部分时间只有几秒钟
- 流量峰值通常约为 8MB/s,但我看到它们高达 50MB/s
- 两个 VLAN 都有规则,允许进出所有其他 VLAN 的流量
你们有人见过这样的事吗?
是的,这是一个循环。(非托管)交换机在两个插槽上连接了一根电缆。
感谢罗恩的指点。没想到循环也可能导致纯 arp 流量