Cold T's questions

我们有一个由第三方公司提供和安装的应用程序。他们为此收取市场价格“咨询”费用。

令我震惊的是，他们将大部分文件夹安装在 C 驱动器的根目录中。

安装到C盘根目录可以吗？这种安装方法会导致问题吗？还是应该将应用程序安装到 Program Files 中？

希望这里的人可能对我们面临的问题有所了解。目前，我们有 Cisco TAC 正在调查此案，但他们正在努力寻找根本原因。

虽然标题提到了 ARP 广播和高 CPU 使用率，但在现阶段我们不确定它们是否相关。

原问题已发布在 INE 在线社区

我们已将网络剥离为没有冗余设置的单个链路，将其视为星形拓扑。

事实：

• 我们使用 3750x 交换机，4 合一堆叠。版本 15.0(1)SE3。Cisco TAC 确认此特定版本没有高 cpu 或 ARP 错误的已知问题。
• 未连接集线器/非托管交换机
• 重新加载核心堆栈
• 我们没有默认路由“Ip route 0.0.0.0 0.0.0.0 f1/0”。使用 OSPF 进行路由。
• 我们看到来自 VLAN 1 的大型广播数据包，VLAN 1 用于桌面设备。我们使用 192.168.0.0/20
• 思科 TAC 表示他们认为使用 /20 没有任何问题，否则我们将拥有一个大型广播域，但仍应正常运行。
• Wifi、管理、打印机等都在不同的 VLAN 上
• 生成树已通过 Cisco TAC 和 CCNP/CCIE 合格人员的验证。我们关闭了所有冗余链接。
• 核心上的配置已通过 Cisco TAC 验证。
• 我们在大多数交换机上都有默认的 ARP 超时。
• 我们不实施问答。
• 没有添加新的开关（至少我们不知道）
• 不能在边缘交换机上使用动态 arp 检查，因为这些是 2950
• 我们使用了显示接口 | inc line|broadcast 以确定大量广播来自何处，但是 Cisco TAC 和其他 2 位工程师（CCNP 和 CCIE）都证实这是由于网络上发生的事情而导致的正常行为（如大量 MAC 抖动）导致更大的广播）。我们验证了 STP 在边缘交换机上正常运行。

网络和交换机上的症状：

• 大量 MAC 抖动
• ARP 输入进程的高 CPU 使用率
• 海量ARP报文，快速增长且可见
• Wiresharks 显示 100 台计算机正在使用 ARP 广播淹没网络
• 出于测试目的，我们放置了大约 80 台台式机不同的 vlan，但是我们对此进行了测试，并且对高 cpu 或 arp 输入没有明显差异
• 运行过不同的 AV/恶意软件/间谍软件，但在网络上没有可见病毒。
• sh mac 地址表计数，向我们展示了 vlan 1 上预期的大约 750 个不同的 mac 地址。

#sh processes cpu sorted | exc 0.00%
CPU utilization for five seconds: 99%/12%; one minute: 99%; five minutes: 99%

 PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
  12   111438973    18587995       5995 44.47% 43.88% 43.96%   0 ARP Input
 174    59541847     5198737      11453 22.39% 23.47% 23.62%   0 Hulc LED Process
 221     7253246     6147816       1179  4.95%  4.25%  4.10%   0 IP Input
  86     5459437     1100349       4961  1.59%  1.47%  1.54%   0 RedEarth Tx Mana
  85     3448684     1453278       2373  1.27%  1.04%  1.07%   0 RedEarth I2C dri

• Ran show mac address-table on differentswitchs and core本身（在core上，比如直接被桌面插上，我的桌面），我们可以看到接口注册了几个不同的MAC硬件地址，虽然那个接口有仅连接一台计算机：

 Vlan    Mac Address       Type        Ports
 ----    -----------       --------    -----
    1    001c.c06c.d620    DYNAMIC     Gi1/1/3
    1    001c.c06c.d694    DYNAMIC     Gi1/1/3
    1    001c.c06c.d6ac    DYNAMIC     Gi1/1/3
    1    001c.c06c.d6e3    DYNAMIC     Gi1/1/3
    1    001c.c06c.d78c    DYNAMIC     Gi1/1/3
    1    001c.c06c.d7fc    DYNAMIC     Gi1/1/3

• 显示平台 tcam 利用率

 CAM Utilization for ASIC# 0                      Max            Used
                                              Masks/Values    Masks/values

  Unicast mac addresses:                       6364/6364       1165/1165
  IPv4 IGMP groups + multicast routes:         1120/1120          1/1
  IPv4 unicast directly-connected routes:      6144/6144        524/524
  IPv4 unicast indirectly-connected routes:    2048/2048         77/77
  IPv4 policy based routing aces:               452/452          12/12
  IPv4 qos aces:                                512/512          21/21
  IPv4 security aces:                           964/964          45/45

我们现在处于一个阶段，我们将需要大量的停机时间来一次隔离每个区域，除非其他人有一些想法来确定这个奇怪而奇怪的问题的根源或根本原因。

更新

感谢@MikePennington 和@RickyBeam 的详细回复。我会尽力回答。

• 如前所述，192.168.0.0/20 是一个继承的烂摊子。但是，我们确实打算在未来将其拆分，但不幸的是，在我们执行此操作之前就发生了此问题。我个人也同意大多数，即广播域太大了。
• 使用arpwatch绝对是我们可以尝试的，但我怀疑因为几个访问端口正在注册mac地址，即使它不属于这个端口，arpwatch的结论可能没有用。
• 我完全同意不能 100% 确定在网络上找到所有冗余链路和未知交换机，但根据我们的发现，在我们找到进一步证据之前就是这种情况。
• 已经调查了端口安全性，不幸的是，由于各种原因，管理层决定不使用它。常见的原因是我们不断地移动计算机（大学环境）。
• 默认情况下，我们在所有访问端口（桌面计算机）上都使用了 spanning-tree portfast 和 spanning-tree bpduguard。
• 我们目前不在接入端口上使用 switchport nonnegotiate，但我们没有收到任何跨多个 Vlan 反弹的 Vlan 跳跃攻击。
• 将给 mac-address-table 通知，看看我们是否能找到任何模式。

“由于您在交换机端口之间收到大量 MAC 波动，因此很难找到违规者的位置（假设您找到两个或三个发送大量 arp 的 MAC 地址，但源 MAC 地址在端口之间不断波动）。”

• 我们从这个开始，选择任何一个 MAC 抖动并继续通过所有核心交换机到分配到接入交换机，但我们再次发现，接入端口接口占用了多个 MAC 地址，因此 MAC 抖动；所以回到第一方。
• 我们确实考虑了风暴控制，但我们担心一些合法的数据包会被丢弃，从而导致进一步的问题。
• 将三次检查 VMHost 配置。
• @ytti 无法解释的 MAC 地址位于许多访问端口而不是个人的后面。在这些接口上没有发现任何循环。MAC 地址也存在于其他接口上，这可以解释大量 MAC 抖动
• @RickyBeam 我同意主机发送这么多 ARP 请求的原因；这是令人费解的问题之一。Rouge 无线网桥是一个有趣的网桥，据我们所知，无线网桥位于不同的 VLAN 上；但流氓显然意味着它很可能在 VLAN1 上。
• @RickyBeam，我真的不想拔掉所有东西，因为这会导致大量停机。然而，这可能只是它的发展方向。我们确实有 Linux 服务器，但不超过 3 个。
• @RickyBeam，你能解释一下 DHCP 服务器“使用中”的探测吗？

我们（思科 TAC、CCIE、CCNP）在全球范围内都同意这不是交换机配置，而是主机/设备导致了问题。

在尝试自动化一些事情时，我遇到了 AD 导入脚本的绊脚石。

脚本的一部分包含：

New-ADUser -Name $Name –GivenName $Person.givenName –Surname $Person.sn –DisplayName $Name –SamAccountName $Username -HomeDrive "H:" -HomeDirectory $HDrive

这里的问题是-HomeDirectory $HDrive。

变量$HDrive="\data\Staff Homedrives\"

如何将 %username% 添加到 HomeDirectory 路径的末尾？

在成功遵循VMware 知识库文章设置多 nic vMotion 之后，我现在正在努力使用双核心交换机来实现这一点。

单个活动 vmnic 和单个备用 vmnic 正常运行。

但是，问题是由于设置的性质造成的。我们有 2 个核心交换机（堆叠交换机组），采用主动/被动设置，通过 LACP 连接。

我怎样才能让它与 2 个核心交换机一起工作？

工作设置

工作配置具有来自单个核心的 1 个活动 vmnic 和 1 个备用 vmnic。

Vmnic 3 和 12 来自 Core 1。第二个 vmkernal 也设置到相反的活动适配器和备用适配器。

不工作

Vmnic 7 和 8 来自 Core 2。再次设置第二个 vmkernal 以反映活动和备用适配器的相反情况。

如果有人能对此有所了解或有一个合理的解决方案，我可以在投入使用之前对其进行测试。

我知道目前 Exchange 2010（带 SP2）不能与 Exchange 2013 共存。

如果我要安装全新的 Exchange 2013、新配置、更新架构等，我可以简单地安装 Exchange 2010 EDB 吗？

这可能吗？

如果不是，我可以从 Exchange 2010 导出个人邮箱，然后导入到 Exchange 2013 吗？

其他信息：

新域安装（使用现有域名，Win2012），重新创建所有用户等。

我在 Centos 5 上安装了新证书并修改了以下行的 conf 文件时遇到问题：

SSLCertificateFile /etc/pki/tls.certs/name.crt

SSLCertificateKeyFile /etc/pki/tls/private/name.key

SSLCACertificateFile /etc/pki/tls/certs/group.ca-bundle

但每次我启动 httpd 服务时，我都会得到以下信息：

>     sudo service httpd start
>     Starting httpd: Apache/2.2.15 mod_ssl/2.2.15 (Pass Phrase Dialog)
>     Some of your private key files are encrpyted for security reasons.
>     In order to read them you have to provide the pass phrases.
>     Server servername.co.uk: 443 (RSA)
>     Enter pass phrase:
>     OK: Pass Phrase Dialog successful.                     [FAILED]

（只有CentOS的基础知识，所以请先原谅我的愚蠢！）

所以问题是什么失败了？我在哪里可以找到相关的日志来告诉我这个？