gehalveerde download, 30% arp verkeer op WAN

  • 1 december 2019
  • 46 reacties
  • 250 keer bekeken

Hoi, sinds enkele weken last van trage download, haal consequent maar ~20/5 ipv 50/5  op de ziggo speedtest alsook dslreports speedtest (meerdere metingen over meerdere dagen).

Nu heb ik mijn modem in bridgemode en heb ik eens wat packets gedumpt en het valt me op dat 30% van de 8 miljoen gelogde packets broadcast ARP verkeer zijn voor 84. en 94.   afkomstig van 00:14:f1:e5:b4:31     (een cisco apparaat op uw netwerk) is dit een misconfiguratie?

ons klantnummer is 12634786

zie screenshots


Dit topic is gesloten. Staat je antwoord hier niet bij, stel dan je vraag in een nieuw topic.

46 Reacties

Hallo @blauwklantpaul ,

dat is wel erg veel arp op jouw verbinding.

Als ik hier een dump doe kom ik op 2.5 % arp.

 

Groet, Gusto

 

 

Ja. Hier idem. En het zijn ARP 'who has Ip' broadcast requests naar niet private IP's.
Afkomstig van een of ander Cisco apparaat. Bizar.

Wat voor Router heb je? Kijk ff naar apparaten die verbonden zijn. Zit daar het MAC address van dat Cisco device bij?

https://en.wikipedia.org/wiki/Private_network

cisco EPC3925  (maar dit bron mac address staat niet op de sticker van mijn modem )

Nee het moet iets anders zijn. De Cisco Modem/Router doet ook ARP who has requests, maar dan naar private Ip's in het subNet van de Cisco EPC3925. Iets als 192.168.x.x.
Die zullen er ook wel bij zijn. Check. Wat ik je plaatje zag is zover ik nu kan overzien, behoorlijk idioot.

https://en.wikipedia.org/wiki/Private_network

@blauwklantpaul ,

snelheden gemeten direct op de Cisco?

 

Wat ik ook zie in het eerste plaatje dat er een Tell Response is van het aangesproken systeem, maar dat is niet goed zichtbaar. Pfff en ??????

Hmm @Gusto Bij jou zie ik bv ook Who has 31.151.22.226 en 80.56.29.11

Dat zijn: 31-151-22-226.dynamic.upc.nl resp f29011.upc-f.chello.nl en dus Ips van klanten.

Checked met nslookup.

Snap er nog geen zak van……………

Heb jij een verklaring?

@blauwklantpaul,

snelheden gemeten direct op de Cisco?

 

200MB file download op de gateway met mijn wan ip direct aangesloten op het modem (cpu load < 1%, geen verdere netwerk activiteit)

2019-12-01 16:14:53 (2.09 MB/s) - ‘testfile’ saved [217521472/217521472]

Liever:
http://www.dslreports.com/speedtest

 

@efok Kijk jij eens naar die ARP Requests van Gusto en TS. Ik zit ff vast. Heb backup nodig.
 

Reputatie 7

Het zijn de CMTSsen die de ARP requests zenden.

Die zie ik niet bij mij. Toeval?

Zie plaatje, wat ik heb, na een tijdje Wireshark.

Downstream Channels    
     
   
  Power Level: Signal to Noise Ratio:
Channel 1: -5.0 dBmV 38.6 dB
Channel 2: -5.2 dBmV 38.2 dB
Channel 3: -5.4 dBmV 38.3 dB
Channel 4: -5.4 dBmV 38.0 dB
Channel 5: -5.4 dBmV 38.0 dB
Channel 6: -5.3 dBmV 38.2 dB
Channel 7: -5.0 dBmV 38.6 dB
Channel 8: -5.1 dBmV 38.6 dB
     
Upstream Channels    
     
   
  Power Level:
Channel 1: 40.0 dBmV
Channel 2: 39.2 dBmV
Channel 3: 38.7 dBmV
Channel 4: 40.7 dBmV

hanh dslreports zie je in mijn originele post, maar gusto vroeg om rechtstreeks op het modem, dit is dus ook ~20mbit, correspondeert met dslreports metingen

Op de diskussie over de ARP requests, reageer je niet.
Dat was toch de originele vraagstelling, als mogelijke oorzaak van snelheidsverlies?

ik ga voor de zekerheid even met laptop en patchkabel proberen zo

Reputatie 7

Die zie ik niet bij mij. Toeval?

Zie plaatje, wat ik heb, na een tijdje Wireshark.

Staat je modem in bridge? Ik zie bij jou namelijk alleen ARP requests voor interne IP adressen.

Nee, niet in Bridge. Heb wel een Giga Connectbox voor een test. Weggefilterd?
Pffff.

Hmm @Gusto Bij jou zie ik bv ook Who has 31.151.22.226 en 80.56.29.11

Dat zijn: 31-151-22-226.dynamic.upc.nl resp f29011.upc-f.chello.nl en dus Ips van klanten.

Checked met nslookup.

Snap er nog geen zak van……………

Heb jij een verklaring?

@hanh,

die router heeft dat ip-adres in zijn arp-tabel, en vraagt of deze nog geldig is.

 

Dat zou kunnen, maar wat heeft een ARP Broadcast vanaf de Router voor zin naar je eigen lokale netwerk als ie naar een exern subNet  moet?
Bij jou valt het mee. Bij TS zo te zien niet.
Nee. Ik ben nog ver van begrijpen.
Kijk naar mijn lijstje. Dat is normaal, zover ik weet. Alleen interne ARP requests.

@hanh ,

mijn Mikrotik doet ook arp broadcasts. :wink:

 

 

Reputatie 7

@blauwklantpaul en @Gusto : Hebben jullie wat DOCSIS logging van jullie modems en zoja willen jullie die hier plaatsen?

Wat ik ook zie in het eerste plaatje dat er een Tell Response is van het aangesproken systeem, maar dat is niet goed zichtbaar. Pfff en ??????

 

@hanh  excuses, ik begreep je ‘pfff’ vraag eerst niet, het is niet mijn mac overigens maar een apparaat op het ziggo netwerk, de sticker op het modem vermeldt verder ook geen mac dat op b4:31 eindigt.

 

 

 

 

 

Reputatie 7

Cisco en Casa zijn allebei CMTS leveranciers.

Ja dat zag ik maar waarom ook Who has over externe Ip's op je eigen subNet.
laten we maar ff stoppen. efok heeft misschien nog iets. Hoop ik.