странные arp-запросы/ответы

[Andrei]

Клиент пожаловался на периодически пропадающий инет.

Подключение по pptp, у клиента ip 192.168.10.51, сервер - 192.168.10.1.

Периодически они обмениваются запросами:

 28.332306 AsustekC_67:ee:74 -> Hewlett-_9a:d2:f2 ARP 60 Who has 192.168.10.1?  Tell 192.168.10.51
28.332320 Hewlett-_9a:d2:f2 -> AsustekC_67:ee:74 ARP 42 192.168.10.1 is at 00:1b:78:9a:d2:f2

Потом вдруг вижу:

 870.161593 AsustekC_67:ee:74 ->              ARP 62 Who has 192.168.10.1?  Tell 192.168.10.51
870.161604 Hewlett-_9a:d2:f2 ->              ARP 44 192.168.10.1 is at 00:1b:78:9a:d2:f2

Между клиентом и сервером: на доме свич Planet WGSD-1020, на агрегации DGS-3120-24SC, в центре еще один DGS-3120-24SC

И на арегации и в центре мак клиента видно

На агрегации:

DGS-3120-24SC:admin#sh fdb mac c8:60:00:67:ee:74
Command: show fdb mac_address C8-60-00-67-EE-74

VID  VLAN Name                        MAC Address       Port  Type    Status
---- -------------------------------- ----------------- ----- ------- -------
4    4                                C8-60-00-67-EE-74 1:22  Dynamic Forward

Total Entries: 1

В центре:

DGS-3120-24SC:admin#sh fdb mac c8:60:00:67:ee:74
Command: show fdb mac_address C8-60-00-67-EE-74

VID  VLAN Name                        MAC Address       Port  Type    Status
---- -------------------------------- ----------------- ----- ------- -------
4    users                            C8-60-00-67-EE-74 10    Dynamic Forward

Total Entries: 1

Что за странный обмен пакетами?

[[anp/hsw]]

А где криминал-то по-вашему? Мне что-то не по глазам. Если ты про пустое поле в "to" так это скорее всего broadcast у вас так обозначается.

[Andrei]

Может я не прав, но бродкаст адресуется к 192.168.10.255, а тут запросы идут к 192.168.10.1

Who has 192.168.10.1?  Tell 192.168.10.51

[[anp/hsw]]

Arp broadcast может адресоваться к какому угодно L3 адресу.

Цель такого запроса: получить MAC конкретного хоста, когда у вас в fdb его нет.

[dmvy]

broadcast - это ff:ff:ff:ff:ff:ff

используйте tcpdump для полного отображения заголовков.

[[anp/hsw]]

broadcast - это ff:ff:ff:ff:ff:ff

Ну не так строго.

Это любой пакет, у которого младший бит первого октета равен единице. Хотя, конечно, де-факто стандартом являются только ff:ff:ff:ff:ff:ff, остальное отдано multicast'у и всяким разный протоколам типа stp.

[Tosha]

ARP пакеты некоторое оборудование в последние времена поначалу шлет "unicast". И только через некоторое время при неудаче добиться ответа переходит на "broadcast". Я не знаю какой там стандарт и допустимо ли это и с какого времени. Но вот из моей практики не каждое оборудование это понимает.

 

Так как в результате дело докатилось до ARP запросов в "broadcast" подозрительно.

 

Если при этом есть "пропадания" связи на ровном месте, то явно транзитные устройства (в моем случае в pre-WiMax сети не срабатывало отслеживание ARP протокола) не переваривают ARP в виде unicast. Ну или просто есть гигантские потери пакетов.

 

Лечение только одно - играться с тайм-аутами ARP и их соотношениями. И при особо клинических случаях ставить там даже не часы, а несколько дней.

 

В одном клиническом случае сделали вечную "пинговалку" одного абонента. Один пинг в 5 минут... Поначалу это была времянка на время пока не найдем нормальное решение... :)

 

Вот даже такие основы как ARP протокол разные вендоры реализуют кто во что горазд или с багами.

[Andrei]

В одном клиническом случае сделали вечную "пинговалку" одного абонента. Один пинг в 5 минут...

У меня как раз система мониторинга mon так и делает - раз в 15 минут обстукивает пингами прописанные в ней свичи, в т.ч. и свич, за которым сидит проблемный клиент.