Omgekeerd ARP updaten

Je kan toch gewoon effe op de switches die aan de firewall hangen de arp-tabel even flushen voor de veiligheid?

my thoughts exactly

of je kopieert het mac naar je nieuwe firewall. ga je hem 1 op 1 vervangen, of ga je hem er een uurtje naast hangen ?

als een switchpoort down gaat bij het verwisselen van een hardware worden de mac-addressen die achter die poort geflushed. Je kan eventueel op de upstream router de arp timeout even terugschroeven naar 5 minuten of zo of een clear arp doen.

[ Voor 7% gewijzigd door TrailBlazer op 09-12-2010 11:10 ]

Euhm, je hebt toch over L3 switches neem ik aan Anders zie ik niet aan waarom je de ARP table van de switch zou moeten flushen. Dat heeft enkel impact voor de bereikbaarheid van het management adres op een L2 switch.

Wat voor switches zijn het dan ? Lijkt me héél erg raar dat je niet de ARP cache kan legen ?
Kan je niet gewoon even snel de SVI (vlan L3 logische) interfaces shut/no shut doen ? Dat werkt normaal ook.

Jorijn schreef op donderdag 09 december 2010 @ 15:26:
[...]


Gaat om twee Dell PowerConnect 2724 switches. Heb deze vraag overigens ook al eens bij Dell neergelegd. De nogal verwarde meneer moest na drie keer navragen toch helaas mede delen dat het niet kon bij dit model.

Dat is toch geen layer 3 switch

Layer 2 of 3 maakt niks uit. Het gaat erom of het managed switches zijn of niet. Een beetje manged switch kan je de ARP cache legen.

Over het algemeen zijn de server maar heel even down met het wisselen van hardware firewalls. Zeg 1 minuut maximaal. Die arp gaat best snel.

Crazius schreef op donderdag 09 december 2010 @ 17:28:
Layer 2 of 3 maakt niks uit. Het gaat erom of het managed switches zijn of niet. Een beetje manged switch kan je de ARP cache legen.

Lees eens wat ik schrijf aub.

Natuurlijk kan je op beide de ARP cache legen. Echter als de switch geen rol in de routing speelt dan maakt het ook helemaal niet uit. Zijn ARP cache heeft enkel waarde voor zichzelf dan, en dat geeft geen downtime.

De ARP cache van hosts en routers in de L2 segmenten waar de FW actief is en in het routing path zit is het probleem.

Over het algemeen zijn de server maar heel even down met het wisselen van hardware firewalls. Zeg 1 minuut maximaal. Die arp gaat best snel.

Dat hangt van de ARP timeouts van de L3 down- en upstream nodes af, heeft niets van de firewalls te maken.
Die nieuwe firewall heeft al een lege ARP cache.
Als het een stateful cluster is heb je meestal wel geen probleem. Gewoon een failover en terug doen na re-patching. (zelf dat is soms niet nodig ... hangt van het failover protocol af).

[ Voor 10% gewijzigd door Predator op 09-12-2010 20:38 ]

TS doelt waarschijnlijk op gratuitous arp. Maar bij L2 switches is het inderdaad niet de switch die het MAC address van een pakket bepaalt/wijzigt.

Ben niet bekend met dell switches, maar het lijkt erop dat het inderdaad een L2 switch is. Weet je zeker dat het fout gaat lopen? Anders mischien iets meer informatie over de rest achter de switch?
hosts -> firewall -> switch -> ???

Volgens mij moet je gewoon even de provider vragen na het vervangen van de firewall of hij even een clear arp wil doen op de router van jouw subnet.

dat werkt dus niet want die switches zijn het probleem niet. Op het moment dat een switchpoort down gaat worden alle geleerde cam entries van die poort gewist. Het gaat om de arp entries op de upstream router.

Jorijn schreef op vrijdag 10 december 2010 @ 15:23:
[...]


In dat geval zitten we vast aan response tijden van Leaseweb, in dat geval is het alsnog beter om even onze switches opnieuw te starten.

Toch bedankt voor de antwoorden :-)

Uit ervaring: als je 't tijdstip goed communiceert en dit tijdens kantoortijden doet.... Geen probleem.

Buiten kantooruren kan je reken op 150 euro per uur, als ze 't al doen.

Jorijn schreef op vrijdag 10 december 2010 @ 15:23:
[...]


In dat geval zitten we vast aan response tijden van Leaseweb, in dat geval is het alsnog beter om even onze switches opnieuw te starten.

Toch bedankt voor de antwoorden :-)

Je kan ook even een ticket inschieten en een support engineer stand-by laten staan. Ik werk zelf bij LeaseWeb en dit gebeurt wel eens hoor