Pfsense

LAN 介面上的高頻寬 ARP 流量

  • November 27, 2019

自 4 年多以來,我一直在使用帶有幾個 VLAN 的 PfSense 防火牆,在過去的幾天裡,我注意到兩個 VLAN 中的網路連接問題。

使用 Web 界面,我看到這兩者的流量曲線相同:

在 PfSense 的“流量圖”頁面上,我看到此流量來自廣播 IP?

使用 Wireshark,我看到了數以千計的 ARP 請求,其中大部分來自同一個 IP

在這些流量高峰期間,網際網路非常無響應,甚至 ping 同一網路(但不同的 vlan)中的設備也會導致大約40% 的包失去

我正在使用單線查看哪些 IP 正在進行這些戰鬥,似乎基本上是 3 個 IP,其中包含最多包的 IP 是 pfsense防火牆本身(10.11.11.18)。在大約 4 秒內記錄了 100,000 個包裹。

# tcpdump -c 100000 -l -i em1.107 -n arp | egrep 'who-has' | cut -d ' ' -f 7 | sort | uniq -c | sort -n

100000 packets captured
113803 packets received by filter
0 packets dropped by kernel

8774 10.11.11.110,
8774 10.11.11.117,
69291 10.11.11.18,

還有幾個指針:

  1. 流量峰值出現 ~ 每分鐘 2 次,但沒有明確的間隔
  2. 有時它可以工作幾個小時而沒有問題
  3. 有時流量高峰會持續 2-5 分鐘,大部分時間只有幾秒鐘
  4. 流量峰值通常約為 8MB/s,但我看到它們高達 50MB/s
  5. 兩個 VLAN 都有規則,允許進出所有其他 VLAN 的流量

你們有人見過這樣的事嗎?

是的,這是一個循環。(非託管)交換機在兩個插槽上連接了一根電纜。

感謝羅恩的指點。沒想到循環也可能導致純 arp 流量

引用自:https://serverfault.com/questions/993397