IPX800 v4 - ARP broadcast

Bonjour à tous,

Cela fait quelques temps que je me rend compte que mon ipx800 est très bavard, sans pour autant avoir pris le temps de regarder ce qui se passait.

je viens de lancer une rapide analyse sur mon switch et mon firewall et je me rend compte que l’ipx800 est en train de flooder mon réseau de requête ARP.

Un exemple ;

19:09:16.395920  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
19:09:16.400184  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
19:09:16.404413  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
19:09:16.405726  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
19:09:16.408684  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
19:09:16.412938  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
19:09:16.417208  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
19:09:16.421432  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
19:09:16.422609  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
19:09:16.425689  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
19:09:16.429936  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
19:09:16.434540  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
19:09:16.438448  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
19:09:16.439627  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
19:09:16.442678  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
19:09:16.447001  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
19:09:16.451223  In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29

Je vous épargne les lignes avant et après… c’est clairement permanent Visiblement nous avons environ 1400 requête arp par seconde.
Le host dans mon extrait est le serveur dns, il fonctionne parfaitement bien et lui répond, en dehors de l’ipx tout le reste est parfaitement normal.
J’ai déjà rebooté l’'equipement aucun changement.

Avez-vous connaissance de ce bug ? Faut-il monter dans une version spécifique ?

merci

1 « J'aime »

Bonjour,

Pour information je viens de mettre à jour l’ipx dans la dernière version (.12) et le comportement est exactement le même.

Merci

1 « J'aime »

Bonjour domoba,

j’ai regardé et ma V4 fait des requêtes arp toutes les secondes environ…

Bonne journée

Bonjour grocrabe,

Je viens de faire un hard reset, depuis plus rien, c’est nickel. Seulement 3-4 requetes arp par minute.
Je préfère le remonter que la team puisse avoir la visiblité la dessus car ça peut-être impactant et visiblement déjà remonté par le passé (j’avais vu un autre sujet identique dans l’écodevice je crois)
Donc la solution/workaround est facile, à savoir le hard reset mais en attendant ça peut mettre un peu la grouille. Je vais monitorer pour voir si cela se reproduit.
Bon week end

Bonjour,

En général ce genre de requêtes sont liées a un serveur injoignable ou un soucis de résolution dns.

Cdt

Bonjour,

En l’occurrence c’est bien le serveur DNS que l’IPX essai de résoudre.
In arp who-has 192.168.2.18 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
Pourtant ce serveur DNS est bien up and running ( pour tout le reste des serveurs/pc etc.) et se trouve connecté sur le même switch que l’ipx.
En faisant un rapide wireshark c’est bien que l’IPX qui à ce problème et qui floodait de requêtes arp.

En tout cas là tout est normal ;
Passage de 1000-1500 requete seconde à 3-4 requetes par minutes

bonjour Domoba,
l’alimentation de l’ipx est-elle secourue ?
y a t’il eu une coupure de courant juste avant la survenue du problème ?
Ce serait peut-être utile de placer un monitoring des DNS sur ipx via le Watchdog.
bonne journée

Bonjour à tous,
Après environ 15 jours le problème est de retour. Donc après hard reset et passage dans la dernière version.
C’est de nouveau le seul équipement impacté, aucune coupure de courant (le serveur DNS et l’ipx sont tous les deux derrière un onduleur)
Je ne fais rien ou presque sur l’ipx si ce n’est gérer une vanne et un compteur à impulsion et interroger l’ipx depuis jeedom.
Merci
Baptiste

Bonjour à tous,

Le problème est moins impactant depuis que j’ai pointé le DNS google à l’IPX (ça limite les requêtes ARP…)
Il continue donc à spammer toujours en lien avec le DNS, avant c’etait une tonne de requête ARP pour demander à résoudre l’adresse du DNS (192.168.2.18). Maintenant c’est une grosse quantité de requête vers le DNS google que je vois passer sur mon firewall, pour illustrer :

Jul 27 19:41:06 srx -: AppTrack session created 192.168.2.29/6716->8.8.8.8/53 junos-dns-udp - 77.IP_PUBLIQUE/26238->8.8.8.8/53 -- 21474846488 N/A N/A UNKNOWN ge-0/0/1.0 N/A N/A N/A N/A 
....
Jul 27 19:41:08 srx -: AppTrack session created 192.168.2.29/6975->8.8.8.8/53 junos-dns-udp - 77.IP_PUBLIQUE/12320->8.8.8.8/53 -- 21474846773 N/A N/A UNKNOWN ge-0/0/1.0 N/A N/A N/A N/A 
Jul 27 19:41:08 srx -: AppTrack session created 192.168.2.29/6976->8.8.8.8/53 junos-dns-udp - 77.IP_PUBLIQUE/6848->8.8.8.8/53 -- 21474846774 N/A N/A UNKNOWN ge-0/0/1.0 N/A N/A N/A N/A 
Jul 27 19:41:08 srx -: AppTrack session created 192.168.2.29/6977->8.8.8.8/53 junos-dns-udp - 77.IP_PUBLIQUE/22142->8.8.8.8/53 -- 21474846775 N/A N/A UNKNOWN ge-0/0/1.0 N/A N/A N/A N/A 



Environ 200 requete en 3 secondes.
Si jamais ça peut aider à faire avancer.

bonjour @domoba,
peut-être essayer sans firewall pour vérifier que ce ne soit pas un problème de régles.

Je viens de remettre à zéro l’ipx800.

Rien qu’au boot je vois déjà 3 requetes :

16:29:09.661721 In arp who-has 192.168.2.1 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
16:29:10.664698 In arp who-has 192.168.2.1 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29
16:29:10.672042 In arp who-has 192.168.2.1 (ff:ff:ff:ff:ff:ff) tell 192.168.2.29

Si je restaure ma configuration, 3714 requêtes ARP en 1 minutes…
Toujours à destination de la gateway.
En laissant l’ipx sans rien dessus (autre qu’une IP recupérée via le serveur dhcp) je vois qu’au fil du temps ça augmente. (2 requetes toutes les 10 minutes, puis 4, etc. )

Franchement là, en mode RaZ je ne vois pas ce qui peut expliquer ça, surtout si ça ne touche personne ou presque.
Savez-vous si il est possible de voir/editer sa config en mode texte ?