No relevant resource is found in the selected language.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

NE40E arp table capacity was exhausted on LPUF-21A - services affected

Publication Date:  2012-07-27 Views:  42 Downloads:  0
Issue Description
The version software is: V300R003C02B697.
The NE40E router is a PE from the customer backbone network. The router is connected in downlink with an S8500 series switch via an Eth-trunk which consists in five physical links.
On this Eth-trunk the customer has configured more that 100 subinterfaces for L3 services toward S8500. 
On every subinterface there is a /24 network segment carried.
The LPU board where this Eth-trunk was built is a Line Processing Unit F-21-A.
After an attacker begin a scanning attack for all the network segment configured on this Eth-trunk the ARP table of LPU F-21-A has been exhausted and the service was dropped.
Alarm Information
Error        11-03-01    02:43:14    Resource allocation for ARPv4 on LPU4 is
                                      failed, hardware resources were exhauste
                                     d (ID=35,Total=65536,Type=Sub) , Resume
Error        11-03-01    02:43:14    Resource allocation for ARPv4 on LPU4 is
                                      failed, hardware resources were exhauste
                                     d (ID=35,Total=65536,Type=Sub) 
Error        11-03-01    03:43:14    Resource allocation for ARPv4 on LPU4 is
                                      failed, hardware resources were exhauste
                                     d (ID=35,Total=65536,Type=Sub) , Resume
Error        11-03-01    04:43:14    Resource allocation for ARPv4 on LPU4 is
                                      failed, hardware resources were exhauste
                                     d (ID=35,Total=65536,Type=Sub)
Handling Process
From the beginning I saw that there is an ARP attack end every network segment from each subinterface from the Eth-Trunk is scanned.
There are many attack in this network, and lead the sub-interface of Eth-trunk1 on LPU4 create too many “incomplete” ARP entries, occupied the ARP entries on forwarding plan. If the attack speed up, it will exhaust the hardware resources of ARP table on forwarding plan,the service will be effected.
The ARP capability for LPUF-21 board is 64K arp entries.
Because there is more than 100 sub-interface under Eth-trunk1, every segment has 24bit mask, and Eth-trunk1 have 5 member port now. 
So, when someone scan the whole segment for every sub-interface, one segment has 255 ARP entries, and it will have 255x100=25K arp entries. 
Because in this Eth-trunk we have 5 member ports, so the total arp entries will be 25K x5 =125K, this value will exceeded the LPU4 capability of 64K. 
In this way the other normal ARP entry will not be learning by NE40E.
We solve this issue by removing the Eth-trunk and we have configured the subinterfaces directly to physical interface because in this way we have only 255x100=25K arp entries.
Root Cause
The customer complained that the L3 services are dropped due to arp resources exhausted on this router.
The only way to solve this issue at that time was using the command:
reset arp all and arp process learning is very fast.
Suggestions
To avoid this situation we have 2 choices:
1. Now, Eth-trunk1 has 5 member ports on SLOT4, we can change member ports of eth-trunk1 to cross the different LPU. Let ARP entries on the forwarding plane load balance between the different LPU from different slots. But if one LPU has a poor ARP capability the issue can occur again.
2. The best solution when a customer use a big number of subinterfaces is to undo the Eth-trunk and configure the subinterfaces directly to physical interfaces, in this way in a worst scenario we will have only 255x100=25K arp entries and will not exceed the board capacity.

END