<div dir="ltr"><div dir="ltr">Hello<div><br></div><div>ARP timeout should be lower than MAC timeout, but usually the default is the other way around. Which is extremely stupid. To those who do not know why, let me give a simple example:</div><div><br></div><div>Router R1 is connected to switch SW1 with a connection to server SRV: R1 <-> SW1 <-> SRV</div><div>Router R2 is connected to switch SW2 with a connection to server SRV: R2 <-> SW2 <-> SRV</div><div><br></div><div>The server is using R1 as default gateway. Traffic is arriving from the internet through R2 towards the server. The server will however send replies back through the default gateway at R1. This is a usual case with redundant routers - only one will be used as a default gateway but traffic may come from both.</div><div><br></div><div>Initially all will be good. But SW2 is only seeing unidirectional traffic from R2. No traffic goes from SRV to R2 and thus, after some time, SW2 will expire the MAC learning for SRV. This has the unfortunate result that SW2 will start flooding traffic to SRV out through all ports.</div><div> </div><div>Then after more time has passed, R2 will renew the ARP binding by sending out an ARP query to SRV. The server will send back an ARP reply to R2. This packet from SRV to R2 will pass SW2 and thus have the effect of renewing the MAC binding at SW2 too. The flooding stops and all is well again. Until the MAC binding expires and the story repeats.</div><div><br></div><div>If the MAC timeout is 5 minutes and the ARP timeout is 20 minutes, which is very usual, you will have flooding for 15 minutes out of every 20 minutes interval! Stupid!</div><div><br></div><div>Why have vendors not fixed their defaults for this case?</div><div><br></div><div>Regards,</div><div><br></div><div>Baldur</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Sep 17, 2020 at 7:51 AM Saku Ytti <<a href="mailto:saku@ytti.fi">saku@ytti.fi</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Wed, 16 Sep 2020 at 23:15, Chriztoffer Hansen<br>
<<a href="mailto:chriztoffer.hansen@de-cix.net" target="_blank">chriztoffer.hansen@de-cix.net</a>> wrote:<br>
> On 16/09/2020 04:01, Ryan Hamel wrote:<br>
<br>
> > CoPP is always important, and it's not just Mikrotik's with default low<br>
> > ARP timeouts.<br>
> ><br>
> > Linux - 1 minute<br>
> > Brocade - 10 minutes<br>
> > Cumulus  - 18 minutes<br>
> > BSD distros - 20 minutes<br>
> > Extreme - 20 minutes<br>
> Juniper - 20 minutes<br>
> > HP - 25 minutes<br>
IOS - 4 hours<br>
<br>
Why are these considered (by Ryan) low values? Does low have a<br>
negative connotation here?<br>
<br>
ARP timeout should be lower than MAC timeout, and MAC timeout usually<br>
is 300 seconds. Anything above 300seconds is probably poor BCP for<br>
default value, as defaults should interoperate in a somewhat sane<br>
manner.<br>
Of course operators are free to configure very high ARP timeout, as<br>
long as they also remember to equally configure higher MAC timeout.<br>
<br>
-- <br>
  ++ytti<br>
</blockquote></div></div>