Troubleshooting de Problemas de Tabela de CAM ou ARP dos Switches Catalyst 6500/6000

Introduction

Este documento fornece informações sobre como resolver problemas relacionados ao Address Resolution Protocol (ARP) ou à table de Memória Endereçável de Conteúdo (CAM) em Catalyst 6500/6000 Switches.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Os switches Catalyst mantêm vários tipos de tabelas personalizadas para comutação de Camada 2 ou comutação multicamada (MLS), e são mantidas na memória muito rápida para que muitos campos dentro de um quadro ou pacote possam ser comparados em paralelo.

• ARP —Mapeia um endereço IP para um endereço MAC para fornecer comunicação IP dentro de um domínio de broadcast da Camada 2. Por exemplo, o Host B deseja enviar informações ao Host A, mas não tem o endereço MAC do Host A em seu cache ARP. O host B gera uma mensagem de broadcast para todos os hosts no domínio de broadcast para obter o endereço MAC associado ao endereço IP do host A. Todos os hosts no domínio de broadcast recebem a solicitação ARP e somente o Host A responde com seu endereço MAC.

• CAM —Todos os modelos de switch Catalyst usam uma tabela CAM para comutação de Camada 2. À medida que os quadros chegam às portas do switch, os endereços MAC de origem são aprendidos e registrados na tabela CAM. A porta de chegada e a VLAN são registradas na tabela, juntamente com um carimbo de data e hora. Se um endereço MAC aprendido em uma porta do switch tiver mudado para uma porta diferente, o endereço MAC e o carimbo de data e hora serão registrados para a porta de chegada mais recente. Em seguida, a entrada anterior é suprimida. Se um endereço MAC já estiver presente na tabela para a porta de chegada correta, apenas seu carimbo de data e hora será atualizado.

• Memória endereçável de conteúdo ternário (TCAM - Ternary Content Addressable Memory)—Nos switches multicamada, todos os processos que as listas de controle de acesso (ACLs - Access Control Lists) fornecem no roteamento tradicional, como correspondência, filtragem ou tráfego específico de controle, são implementados no hardware. O TCAM permite que um pacote seja avaliado em relação a uma lista de acesso inteira em uma única pesquisa na tabela. A maioria dos switches tem vários TCAMs para que tanto a segurança de entrada quanto de saída, bem como as ACLs de QoS, possam ser avaliadas simultaneamente ou inteiramente em paralelo com uma decisão de encaminhamento de Camada 2 ou Camada 3.

Solucionar problemas relacionados ao ARP ou CAM

Perda de endereços MAC dinâmicos com switching distribuída

Na comutação distribuída, cada DFC (Distributed Feature Card, placa de recurso distribuído) é responsável por manter cada tabela CAM. Isso significa que cada DFC aprende o endereço MAC e os envelhece, o que depende do envelhecimento da CAM e do tráfego correspondente a essa entrada específica. Com a comutação distribuída, é normal que o mecanismo supervisor não veja nenhum tráfego para um determinado endereço MAC por um tempo, portanto, a entrada pode expirar. Existem atualmente dois mecanismos disponíveis para manter as tabelas CAM consistentes entre os diferentes mecanismos, como DFC (presente nos módulos de linha) e PFC (Policy Feature Card) (presente nos módulos de supervisor):

• Inundação em malha (FF)

• Notificação MAC (MN)

Quando uma entrada de endereço MAC é encerrada no PFC, o comando show mac-address <MAC_Address> todos exibem o DFC ou o PFC que contém esse endereço MAC.

Para evitar que o tempo de saída de uma entrada em um DFC ou PFC, mesmo que não haja tráfego para esse endereço MAC, habilite a sincronização do endereço MAC. Execute estes comandos para ativar a sincronização:

!--- This is a global configuration command and is used to enable the synchronization.

Cat6K-IOS(config)#mac-address-table synchronize

!--- This is a privileged EXEC command and is used to clear dynamic MAC addresses.

Cat6K-IOS#clear mac-address-table dynamic

O comando mac-address-table synchronize está disponível no Cisco IOS^® Software Releases 12.2(18)SXE4 e posteriores. Depois de habilitá-lo, ainda é possível ver entradas que não estão presentes no PFC ou no DFC. No entanto, o módulo tem uma maneira de aprender com outros que usam EOBC (Ethernet Out of Band Channel).

Cuidado: o comando mac-address-table synchronize apaga as entradas MAC roteadas. Para evitar isso, desative a limpeza do MAC roteado com o comando de configuração global mac-address-table aging-time 0 routed-mac.

O CEF descarta pacotes em intervalos regulares

O Cisco Express Forwarding (CEF) é uma tecnologia de comutação IP de Camada 3 que oferece desempenho superior em comparação a outras tecnologias de comutação, especialmente em redes com padrões de tráfego dinâmico. O CEF mantém estruturas de dados chamadas FIB (Forwarding Information Base) e tabelas de adjacência. A tabela FIB espelha as informações na tabela de roteamento e é usada para tomar decisões de encaminhamento. A tabela de adjacência contém o cabeçalho pré-calculado da camada de enlace para os dispositivos do próximo salto. Com base na interface do próximo salto, as entradas na tabela FIB são mapeadas para entradas na tabela de adjacências. Um dispositivo não pode executar pacotes de switch CEF se a tabela de adjacência não for preenchida com as informações necessárias.

Se o CEF descarta pacotes em intervalos regulares, interespaçados por períodos de operação normal, provavelmente é devido à limpeza periódica da tabela de adjacência. Isso é causado pelo envelhecimento da entrada ARP. Os pacotes não são comutados por CEF durante o período em que a tabela de adjacência é preenchida novamente com as informações necessárias do próximo salto. Embora as entradas ARP sejam atualizadas por padrão a cada quatro horas, a configuração de um valor muito pequeno de tempo limite ARP é prejudicial à operação CEF.

Emita o comando arp timeout no modo de configuração de interface para alterar o tempo em que uma entrada permanece no cache ARP.

Consulte o bug da Cisco ID CSCeb53542 (somente clientes registrados) para obter mais informações sobre essa vulnerabilidade. Consulte Troubleshooting de Adjacências Incompletas com CEF para obter mais informações sobre adjacência de CEF.

Filtrar do Switch Endereços MAC Todos Zero da Tabela CAM

O switch filtra quadros com um endereço MAC de origem 00-00-00-00-00-00, que é um MAC de origem inválido, da tabela CAM. Este é um exemplo da saída de erro de syslog quando isso ocorre:

%SYS-4-P2_WARN: 1/Filtering MAC address 00-00-00-00-00-00 on port 2/48 from host table

Essas mensagens são informativas e informam que um quadro que tenha um endereço MAC origem 00-00-00-00-00-00 é encontrado, e o switch nunca adicionará isso à tabela CAM. No entanto, o switch encaminhará o tráfego originado de um endereço MAC totalmente zero.

A solução alternativa é identificar a estação final que gera quadros com um endereço MAC de origem totalmente zero. Em geral, um destes dispositivos transmite tais frames:

• Um gerador de tráfego, como o Spirent SmartBits

• Certos tipos de servidores, tais como os servidores de balanceamento de carga IBM WebSphere

• Um roteador ou estação terminal mal configurada, tal como um dispositivo que transmite broadcasts somente com zeros

• Uma NIC defeituosa

Inundação de unicast na rede a cada 5 minutos

Os switches LAN usam tabelas de encaminhamento, como tabelas de Camada 2 e CAM, para direcionar o tráfego para portas específicas com base no número da VLAN e no endereço MAC de destino do quadro. Quando não há uma entrada que corresponda ao endereço MAC de destino do quadro na VLAN de entrada, o quadro (unicast) é enviado a todas as portas de encaminhamento dentro da respectiva VLAN. Isso causa inundação. A própria causa da inundação é que o endereço MAC de destino do pacote não está na tabela de encaminhamento de Camada 2 do switch. Nesse caso, o pacote é inundado de todas as portas de encaminhamento em sua VLAN, exceto a porta em que é recebido.

O tempo de envelhecimento da tabela ARP padrão é de 4 horas, enquanto o CAM mantém as entradas por apenas 5 minutos. O switch envia um quadro para todas as portas de encaminhamento dentro da respectiva VLAN quando o endereço MAC de destino sai da tabela CAM. Você precisa de um temporizador de envelhecimento de CAM maior ou igual ao tempo limite de ARP para evitar a inundação de unicast. Como solução alternativa, você pode emitir um destes comandos para aumentar o temporizador de envelhecimento CAM para a VLAN com a qual está tendo problemas para corresponder ao tempo de envelhecimento ARP:

• Para CatOS, execute o comando set cam agingtime.

• Para o software Cisco IOS, emita o comando mac-address-table aging-time.

Observação: em qualquer ambiente Catalyst que execute um HSRP (Hot Standby Router Protocol), é recomendável garantir que os temporizadores CAM e ARP sejam sincronizados.

Consulte Inundação Unicast em Redes de Campus Comutadas para obter informações sobre possíveis causas e implicações de inundação de pacotes unicast em redes comutadas.

Problemas de ARP em CatOS híbrido

No modo Híbrido, o mecanismo supervisor executa o CatOS e o Multilayer Switch Feature Card (MSFC) executa o Cisco IOS. O CatOS opera na Camada 2 e cria a tabela de endereços CAM para manter as informações de VLAN, endereço MAC e número de porta. O Cisco IOS na MSFC opera na Camada 3 e cria a tabela ARP para manter o endereço IP na resolução de endereços MAC.Quando você altera o endereço IP de qualquer dispositivo, como uma impressora ou um servidor, talvez não seja possível fazer ping nesse novo endereço IP. No entanto, você pode fazer ping no novo endereço IP a partir da mesma VLAN. Esse pode ser um problema ARP no MSFC.

Esta solução alternativa pode ajudar a isolar e resolver o problema:

1. Limpe a tabela ARP no MSFC.

   MSFC2#clear arp int vlan 40
   

2. Verifique o valor de tempo limite ARP. O valor padrão é 4 horas. Se o tempo limite de ARP na VLAN for alto, você poderá definir o valor de tempo limite de volta para o valor padrão ou ideal.

   MSFC2#show int vlan 40
   Vlan40 is up, line protocol is up
     Hardware is Cat6k RP Virtual Ethernet, address is 00d0.0050.33fc (bia 00d0.005
   0.33fc)
     Internet address is 40.40.40.3/24
     MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
        reliability 255/255, txload 1/255, rxload 1/255
     Encapsulation ARPA, loopback not set
     Keepalive not supported
     ARP type: ARPA, ARP Timeout 04:00:00
     Last input 00:00:00, output 00:01:44, output hang never
     Last clearing of "show interface" counters never
     Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0

   MSFC2#conf t
   Enter configuration commands, one per line.  End with CNTL/Z.
   MSFC2(config)#int vlan 40
   MSFC2(config-if)#arp timeout ?
     <0-2147483>  Seconds
   
   MSFC2(config-if)#arp timeout 240
   

3. Recarregue o MSFC.

   MSFC2#write memory
   Building configuration...
   [OK]
   MSFC2#reload
   Proceed with reload? [confirm]
   Supervisor> (enable)

Erro EARL-2-EARL4LOOKUPRAMERROR durante a pesquisa da tabela CAM

Este é um exemplo da saída de erro de syslog quando você tem este problema:

%EARL-2-EARL4LOOKUPRAMERROR:Address eac6, data 0-0-8000-0, count 8

Isso é exibido quando você executa uma pesquisa na tabela CAM. Isso ocorre devido a um erro de paridade quando você acessa a memória. Geralmente, esse erro é gerado quando você emite o comando show cam para acessar a tabela CAM. Em alguns casos, o switch também é redefinido quando o comando show cam é emitido.

%EARL-2-EARLLOOKUPRAMERROR: Address [hex], data [hex]-[hex]-[hex]-[hex], count [dec]

Essa mensagem de erro indica que um erro de paridade de RAM de pesquisa foi detectado. O campo address [hex] é o endereço na tabela de encaminhamento onde o erro foi detectado. O campo de dados [hex]-[hex]-[hex]-[hex] é a palavra0, palavra1, palavra2 e palavra3 dos dados de RAM que geraram o erro de paridade. O campo count [dec] é o número total de erros de paridade.

Essa mensagem não é catastrófica e pode não resultar em situações de paralisação se você tiver apenas ocorrências isoladas dela. Se você receber essa mensagem continuamente, ela indica que o switch está tentando gravar em um setor de DRAM inválido quando adiciona uma nova entrada à tabela CAM. Em seguida, é necessário substituir a DRAM ou o próprio supervisor.

Entradas CAM estáticas perdidas após o switchover do supervisor

As entradas CAM estáticas configuradas no mecanismo supervisor ativo são perdidas após o switchover rápido. Como uma solução alternativa para esse problema, você deve reconfigurar as entradas CAM após o switchover rápido.

Consulte as IDs de bug da Cisco CSCed87627 (somente clientes registrados) e CSCee27955 (clientes registrados somente) para obter mais informações sobre essa vulnerabilidade.

%ACL-5-TCAMFULL: a tabela TCAM do mecanismo de ACL está cheia

Se o TCAM estiver cheio e você tentar adicionar novas ACLs ou entradas de controle de acesso (ACEs) às ACLs existentes, o processo de confirmação ou mapa falhará. Qualquer configuração anterior permanece em vigor. No caso das RACLs (Router Access Control Lists, listas de controle de acesso do roteador), a ACL é aplicada no software na MSFC (Multilayer Switch Feature Card, placa de recurso do switch multicamada) com a correspondente penalidade de desempenho.

Em um switch que executa software híbrido, se você configurar uma Virtual Local Area Network Access Control List (VACL) ou ACEs de ACL de QoS que excedem o padrão ou a capacidade de máscara da TCAM, uma mensagem de syslog semelhante a esta será impressa no console:

%ACL-5-TCAMFULL: acl engine TCAM table is full

Nos sistemas do Supervisor IOS, ou no MSFC em um sistema híbrido, se você configurar ACEs RACL que excedem a capacidade do TCAM, uma mensagem de syslog semelhante a esta será impressa no console:

%FM-4-TCAM_ENTRY: Hardware TCAM entry capacity exceeded

Nos sistemas do Supervisor IOS, ou no MSFC em um sistema híbrido, emita o comando show fm summary para ver quais interfaces aplicam ACLs no hardware (ATIVE) e quais interfaces aplicam ACLs no software (INATIVE).

A solução para esse problema é remover a ACL ou QoS não utilizada da configuração do switch. Consulte Entendendo a ACL nos Catalyst 6500 Series Switches para obter mais informações.

Problemas de ping ocorrem quando o MSFC não responde à solicitação ARP nos switches Catalyst 6500 Series

Quando você efetua ping em uma interface VLAN, uma solicitação ARP com um IP de origem dessa VLAN é enviada ao roteador padrão (MSFC), mas o roteador não responde à solicitação ARP e o comando debug ARP mostra esta mensagem de erro:

IP ARP req filtered src [ip-address] [mac-address] dst [ip-address] 
[mac-address] wrong cable, interface-id

Para cada datagrama ARP, uma resposta ARP será descartada se o endereço IP de destino não corresponder ao endereço de host local. Uma solicitação ARP será descartada se o endereço IP de origem não estiver na mesma sub-rede. É desejável que esse teste seja substituído por um parâmetro de configuração para suportar os casos raros em que mais de uma sub-rede pode coexistir no mesmo cabo.

Uma resposta ARP é gerada somente se o endereço IP do protocolo de destino for alcançável do host local, conforme determinado pelo algoritmo de roteamento, e o próximo salto não for através da mesma interface. Se o host local funciona como um gateway, isso pode resultar em respostas ARP para destinos que não estão na mesma sub-rede. Isso mostra que descartar a solicitação ARP é justificável.

Isso pode ser resolvido fazendo com que o Catalyst 6500 não responda a todas as solicitações ARP, pois o endereço IP de origem na solicitação ARP está em uma sub-rede diferente do endereço IP de destino no ARP. Portanto, o MSFC/Roteador conclui que o ARP não permaneceu no mesmo domínio da Camada 2 e mostra o tipo de cabo errado. Em outras palavras, a mensagem de depuração de cabo errada é gerada quando a origem e o destino do ARP não pertencem ao mesmo domínio da camada 2. Para que o ARP funcione nesse cenário, o IP do protocolo de destino deve ser alcançável com o uso da rota estática como uma solução alternativa.

Várias entradas na tabela de endereços MAC

Duas entradas mostram o endereço MAC na tabela de endereços MAC.

Cat6K#show mac-address-table int gi 6/11
Displaying entries from Line card 6:

Legend: * - primary entry
        age - seconds since last seen
        n/a - not available

  vlan   mac address     type    learn     age              ports
------+----------------+--------+-----+----------+--------------------------
[FE 1]:
*  100  0011.857c.4d10   dynamic  Yes          0   Gi6/11
[FE 2]:
*  100  0011.857c.4d10   dynamic  Yes         95   Gi6/11


Cat6K#show module 6
Mod Ports Card Type                              Model              Serial No.
--- ----- -------------------------------------- ------------------ -----------
  6   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX     SADxxxxxxxx

Mod MAC addresses                       Hw    Fw           Sw           Status
--- ---------------------------------- ------ ------------ ------------ -------
  6  001d.45fd.xx4a to 001d.45fd.xx79   2.6   12.2(14r)S5  12.2(18)SXF8 Ok

Mod  Sub-Module                  Model              Serial       Hw     Status
---- --------------------------- ------------------ ----------- ------- -------
  6  Distributed Forwarding Card WS-F6700-DFC3B     SALxxxxxxxx  4.6    Ok

Mod  Online Diag Status
---- -------------------
  6  Pass

Existem dois mecanismos de pesquisa de encaminhamento de Camada 2 no ambiente DFC. É comum no ambiente dCEF que o FE1 e o FE2 aprendam o mesmo endereço MAC na mesma porta em uma placa de linha da arquitetura CEF720/dCEF720.

O endereço IP virtual usado pelo balanceamento de carga da Microsoft não está acessível

Os roteadores Cisco exigem uma entrada ARP (Address Resolution Protocol) para cada endereço IP virtual. Enquanto o balanceamento de carga da rede usa multicast Nível 2 para a entrega de pacotes. Na implementação da RFC da Cisco, o multicast é usado somente para multicast IP. Portanto, quando o roteador não vê um endereço IP multicast, ele não cria automaticamente uma entrada ARP e você deve adicioná-la manualmente ao roteador.

Normalmente, os dispositivos Cisco não colocam um endereço MAC multicast (clusters endereço MAC virtual) na tabela ARP se ele for resolvido por meio de um endereço IP unicast (endereço virtual do cluster). Para resolver esse problema, você precisa de um mapeamento estático do endereço IP virtual unicast para o endereço MAC multicast.

Para obter mais informações, consulte a seção Modo Multicast do Exemplo de Configuração de Catalyst Switches para Balanceamento de Carga de Rede da Microsoft.

Informações Relacionadas

• Troubleshooting de Adjacências Incompletas com CEF
• Inundação de Unicast em Redes de Campus Comutadas
• Suporte a Produtos de LAN
• Suporte de tecnologia de switching de LAN
• Suporte Técnico e Documentação - Cisco Systems