Andrei Posted February 14, 2016 · Report post Клиент пожаловался на периодически пропадающий инет. Подключение по pptp, у клиента ip 192.168.10.51, сервер - 192.168.10.1. Периодически они обмениваются запросами: 28.332306 AsustekC_67:ee:74 -> Hewlett-_9a:d2:f2 ARP 60 Who has 192.168.10.1? Tell 192.168.10.51 28.332320 Hewlett-_9a:d2:f2 -> AsustekC_67:ee:74 ARP 42 192.168.10.1 is at 00:1b:78:9a:d2:f2 Потом вдруг вижу: 870.161593 AsustekC_67:ee:74 -> ARP 62 Who has 192.168.10.1? Tell 192.168.10.51 870.161604 Hewlett-_9a:d2:f2 -> ARP 44 192.168.10.1 is at 00:1b:78:9a:d2:f2 Между клиентом и сервером: на доме свич Planet WGSD-1020, на агрегации DGS-3120-24SC, в центре еще один DGS-3120-24SC И на арегации и в центре мак клиента видно На агрегации: DGS-3120-24SC:admin#sh fdb mac c8:60:00:67:ee:74 Command: show fdb mac_address C8-60-00-67-EE-74 VID VLAN Name MAC Address Port Type Status ---- -------------------------------- ----------------- ----- ------- ------- 4 4 C8-60-00-67-EE-74 1:22 Dynamic Forward Total Entries: 1 В центре: DGS-3120-24SC:admin#sh fdb mac c8:60:00:67:ee:74 Command: show fdb mac_address C8-60-00-67-EE-74 VID VLAN Name MAC Address Port Type Status ---- -------------------------------- ----------------- ----- ------- ------- 4 users C8-60-00-67-EE-74 10 Dynamic Forward Total Entries: 1 Что за странный обмен пакетами? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
[anp/hsw] Posted February 14, 2016 · Report post А где криминал-то по-вашему? Мне что-то не по глазам. Если ты про пустое поле в "to" так это скорее всего broadcast у вас так обозначается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted February 14, 2016 · Report post Может я не прав, но бродкаст адресуется к 192.168.10.255, а тут запросы идут к 192.168.10.1 Who has 192.168.10.1? Tell 192.168.10.51 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
[anp/hsw] Posted February 14, 2016 · Report post Arp broadcast может адресоваться к какому угодно L3 адресу. Цель такого запроса: получить MAC конкретного хоста, когда у вас в fdb его нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted February 14, 2016 · Report post broadcast - это ff:ff:ff:ff:ff:ff используйте tcpdump для полного отображения заголовков. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
[anp/hsw] Posted February 14, 2016 · Report post broadcast - это ff:ff:ff:ff:ff:ff Ну не так строго. Это любой пакет, у которого младший бит первого октета равен единице. Хотя, конечно, де-факто стандартом являются только ff:ff:ff:ff:ff:ff, остальное отдано multicast'у и всяким разный протоколам типа stp. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tosha Posted February 15, 2016 · Report post ARP пакеты некоторое оборудование в последние времена поначалу шлет "unicast". И только через некоторое время при неудаче добиться ответа переходит на "broadcast". Я не знаю какой там стандарт и допустимо ли это и с какого времени. Но вот из моей практики не каждое оборудование это понимает. Так как в результате дело докатилось до ARP запросов в "broadcast" подозрительно. Если при этом есть "пропадания" связи на ровном месте, то явно транзитные устройства (в моем случае в pre-WiMax сети не срабатывало отслеживание ARP протокола) не переваривают ARP в виде unicast. Ну или просто есть гигантские потери пакетов. Лечение только одно - играться с тайм-аутами ARP и их соотношениями. И при особо клинических случаях ставить там даже не часы, а несколько дней. В одном клиническом случае сделали вечную "пинговалку" одного абонента. Один пинг в 5 минут... Поначалу это была времянка на время пока не найдем нормальное решение... :) Вот даже такие основы как ARP протокол разные вендоры реализуют кто во что горазд или с багами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted February 15, 2016 · Report post В одном клиническом случае сделали вечную "пинговалку" одного абонента. Один пинг в 5 минут... У меня как раз система мониторинга mon так и делает - раз в 15 минут обстукивает пингами прописанные в ней свичи, в т.ч. и свич, за которым сидит проблемный клиент. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...