Huge ARP Request packets lead to triggering ARP suppression

Publication Date:  2012-07-27 Views:  201 Downloads:  0
Issue Description
Clients reported that 3G services were affected  after the edge router  was upgraded from NE40&80 V300R002C01B591 to NE40&80 V300R005C01B323SPC001.
Nework Overview:
Ne80--A  NGN device
Alarm Information
Null
Handling Process
Step1 :Checked the CPU usage of the LPU connected to Al device
[MB-GH-HW-NE80-PE010-diag]display lpu cpuusage 6         
 Start to get lpu 06 Cpu usage...
CPU utilization statistics at 2010-03-07 01:44      
    
Slot No. 6 Info is:                 
 TSK    TID     TIME     PERCE                            
-----  -------  ------  ------                           
 IDL   fd000002   519    93%            
 OST   fd000003     1     0%       
Step2:After debugging the LPU process found that so many ARP from the AL side was surpressed by the LPU
Slot= 6 M= 7 S=145 T= 1:48:13 Ticks=0x0048ea33 DEC=208230 L=0 ormation:          
 ETHARP_ArpInput:  ARP Suppress .             
 Source IP = 10.62.8.133,ulARPSrcSuppNum = 1356001.   
………… 
Slot= 6 M= 7 S=161 T= 1:48:13 Ticks=0x0048ea3e DEC= 71852 L=0 ormation:   
 ETHARP_ArpInput:  ARP Suppress .     
 Source IP = 10.62.8.133,ulARPSrcSuppNum = 1356005.   
…………
Slot= 6 M= 7 S=177 T= 1:48:13 Ticks=0x0048ea4a DEC=184465 L=0 ormation:    
 ETHARP_ArpInput:  ARP Suppress .    
 Source IP = 10.62.8.133,ulARPSrcSuppNum = 1356009. 
…………
Slot= 6 M= 7 S=209 T= 1:48:13 Ticks=0x0048ea5f DEC= 71042 L=0 ormation:  
 ETHARP_ArpInput:  ARP Suppress .  
 Source IP = 10.62.8.133,ulARPSrcSuppNum = 1356017.    
…………
Slot= 6 M= 7 S=225 T= 1:48:13 Ticks=0x0048ea6b DEC=184767 L=0 ormation:      
 ETHARP_ArpInput:  ARP Suppress .        
 Source IP = 10.62.8.133,ulARPSrcSuppNum = 1356021.    
…………
Slot= 6 M= 7 S=241 T= 1:48:13 Ticks=0x0048ea76 DEC= 47590 L=0 ormation:   
 ETHARP_ArpInput:  ARP Suppress .     
 Source IP = 10.62.8.133,ulARPSrcSuppNum = 1356025.        
…………
Slot= 6 M= 7 S=257 T= 1:48:13 Ticks=0x0048ea82 DEC=158594 L=0 ormation:  
 ETHARP_ArpInput:  ARP Suppress .      
Root Cause
The AL device attached to the NE80 sends excessive ARP Request packets, triggering ARP suppression on the NE80 running the new version to suppress some ARP Request packets. As a result, the AL device is unable to receive response to all ARP Request packets and 3G services are thus affected
Suggestions
Normally, devices send ARP Request packets to learn ARP entries so that devices can communicate with each other. ARP Request packets are not frequently sent to a router within a short period of time. If a router receives excessive ARP Request packets within a short period of time, the ARP suppression function is triggered. The basic principle of ARP suppression is that the NE80 takes the key field in the received ARP Request packet as the original value and then calculates the conflict key value according to the hash algorithm. If the NE80 continuously receives ARP Request packets of the same conflict key value during the suppression period, it responds to only the first ARP Request packet.
ARP suppression is a kind of ARP attack defense feature, which serves as a necessary protection measure for the CPU. When a device is attacked by ARP packets, the device may receive a lot of ARP Request packets with the same source IP address. The CPU will be over-burdened if all these packets are processed. As shown in the "Problem Identification", after ARP suppression is disabled, the CPU usage of the LPU in slot 6 increases from 7% to 12%.
You can run the following command to disable the ARP suppression function.
[HW-NE80-PE010]arp speed-limit 0

END