如何查询我的Linux机器上的本地ARPcaching,以查看上次何时学习和/或更新了特定的ARP条目?
我们最近在我们的networking上build立了一个新的Ubuntu 12.04LTS服务器。 它没有完全configuration,所以它不会超出sshd和默认的apache2安装。 但今天晚上,它似乎已经坠毁。 它没有响应networking或键盘。 但最糟糕的是,它把整个networking都拿下来了。 我对OSI第3层以下的networking堆栈的了解是非常有限的,所以剩下的让我困惑。 当这台机器连接到networking时,没有其他机器可以连接到外部networking。 当事情中断时,运行arp显示我们网关的IP地址( 10.0.1.1 )被列为“无效”。 从networking上拔下服务器可以解决问题,并将其重新插回。 所以坠毁的服务器宣称拥有网关的IP地址? syslog中没有任何问题导致问题。 关于如何弄清楚什么是错误的,或者我们可以做些什么来防止它再次发生的任何想法? 我很犹豫现在甚至把机器放回networking上。 ****更新**** 它再次坠毁,我运行了tcpdump -penn arp (感谢bahamat!)几分钟,得到了这个…(删除了时间戳和重复行) 00:1e:65:f8:dc:24 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 10.0.1.1 tell 10.0.2.191, length 46 00:1e:65:f8:dc:24 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 10.0.1.44 tell 10.0.2.191, length 46 60:d8:19:d4:71:d6 > ff:ff:ff:ff:ff:ff, ethertype […]
我目前正试图让我的头更多的高级networking概念。 我这样做的方法是通过将我所关注的服务器之一作为系统pipe理员,并运行networking捕获来查看和理解数据。 (我运行此捕获的机器是serveriamon.networkname.local,IP为172.16.2.7) 这导致我在networking上进行这种交stream: 1127 11:46:55 12/10/2012 30.2960887 172.16.3.30 serveriamon.networkname.local ARP ARP:Request, 172.16.3.30 asks for 172.16.2.7 1128 11:46:55 12/10/2012 30.2961939 serveriamon.networkname.local 172.16.3.30 ARP ARP:Response, 172.16.2.7 at 78-2B-CB-23-8D-07 我可以理解这个交stream。 机器在172.16.3.30想要找出MAC为172.16.2.7的地方和什么。 该地址处的服务器(此服务器)以包含Mac地址的ARP响应进行回复。 之后立即发生这个框架: 1129 11:46:55 12/10/2012 30.2964210 172.16.3.30 serveriamon.networkname.local SNTP SNTP:NTPv3 Request, Leap = 0, Mode = 3, RID = 5154 {SNTP:377, UDP:376, IPv4:375} 这我理解是在服务器上的时间的请求。 没关系。 下一个框架是让我感到困惑的是: […]
我有一个WiFi接入点连接到Linux路由器。 路由器本身连接到互联网。 出于多种原因(主要是为了控制安全性和服务质量),我想强制所有用户的stream量通过Linux路由器,甚至是用户之间的stream量。 为此,我禁用了AP中的站对站通信(我使用D-Link DWL-7200 AP)。 以下是我如何configurationAP: ssh admin@accesspoint1 D-Link Access Point wlan1 -> set sta2sta disable D-Link Access Point wlan1 -> reboot 这工作正常:无线用户不能相互沟通了。 至less不是直接的。 我的目标是强制stream量到达路由器并返回。 为此,我在Linux路由器中启用了proxy-arp: echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp 这是大局。 10.0.0.0/8 subnet ____________________|______________________ / \ | | (sta2sta disabled) UserA—————-AP———————Router——————-Internet 10.0.0.55 / eth1 eth0 / 10.0.0.1 203.0.113.15 / proxy-arp enabled UserB____________/ 10.0.0.66 这是我希望如果UserA […]
通过在我的路由器上运行数据包捕获,我发现我的一些服务器正在为其networking外部的IP发送ARP请求。 例如,如果我的networking是: Network: 8.8.8.0/24 Gateway: 8.8.8.1 (MAC: 00:21:9b:aa:aa:aa) Example Server: 8.8.8.20 (MAC: 00:21:9b:bb:bb:bb) 通过在具有8.8.8.1的接口上运行捕获,我看到如下请求: Sender Mac: 00:21:9b:bb:bb:bb Sender IP: 8.8.8.20 Target MAC: 00:21:9b:aa:aa:aa Target IP: 69.63.181.58 任何人以前见过这种行为? 我对ARP的理解是,请求只能在子网内的IP上进行……我对我对ARP的理解感到困惑吗? 如果我不困惑,任何人看到这种行为? 此外,这些似乎发生在突发事件中,当我在networking外部进行ping ping IP时,这种情况不会发生。 更新: 回答伊恩的问题。 我没有像Hyper-V那样运行。 我有多个接口,但只有一个是活动的(使用BACS故障转移组合)。 子网掩码是255.255.255.0(即使它有些不同,它不能解释像69.63.181.58这样的IP)。 当我运行MSnetworking监视器或wireshark我没有看到这些ARP请求。 会发生什么事情呢,在路由器捕获,我看到从主机的networking外约10个IP请求突发。 在使用wireshark或NetMon的机器上,我看到了networking上所有机器的大量ARP响应 。 但是,我没有看到捕获的任何请求,要求这些答复。 所以看来也许是刷新arpcaching,但包括networking外的IP。 此外,当这个NetMon不显示ARP请求?
如何清除ARPcaching? 如何刷新ARP表?
如果我有两个网卡,我知道MAC地址。 如果没有login到服务器,我怎么知道哪个IP地址为10.10.10.10 ? arp可以以某种方式用于这个?
我们有多个VMWare ESX服务器分布在我们公司之间,执行各种任务。 一台特定的ESXi主机显示出非常奇怪的行为。 当我们的监控系统(Orion)通知我们,它不能再ping箱子时,我们会发现它。 在跳转到所涉及的来宾的本地控制台上时,我们看到它不能ping任何不在其ARP表中的新地址。 起初我们认为这个问题只是和我们的客人有关,因为问题似乎总是发生在另一位客人DevRedis身上 。 但是,今天下午这个问题交换了,并开始发生在ApacheBox而不是DevRedis上。 当我幸运地发现问题的时候,我已经在连接的两边运行了tcpdump(一方面是vmware,另一方面是一个物理networking服务器)并且注意到了以下事件: 来宾ApacheBox发送一个ARP请求的服务器WindowsBeast的物理地址 WindowsBeast招标ARP是 – 回到networking,指示其物理MAC地址。 ApacheBox从来没有看到ARP是响应。 有问题的ESX主机正在运行VMware ESXi 4.1.0,348481 两个访客( DevRedis和ApacheBox )都运行CentOS 6.3,但是他们运行两个独立的内核版本( 2.6.32-279.9.1.el6.x86_64和2.6.32-279.el6.x86_64 ),所以我不是完全确定这是一个CentOS问题。 有没有人有什么想法可能会导致此? 有没有人遇到过它?
我试图为Linux内核arpcaching超时configuration理智的值,但我找不到详细的解释,他们如何在任何地方工作。 即使是kernel.org文档也没有给出很好的解释,我只能find推荐的值来缓解溢出。 这里是我有的价值的一个例子: net.ipv4.neigh.default.gc_thresh1 = 128 net.ipv4.neigh.default.gc_thresh2 = 512 net.ipv4.neigh.default.gc_thresh3 = 1024 现在,从我迄今为止所收集到的信息来看: gc_thresh1是垃圾收集器开始删除任何条目之前允许的arp条目的数量。 gc_thresh2是软限制,它是垃圾收集器主动删除arp条目之前允许的条目数。 gc_thresh3是硬限制,在这个数字以上的条目被积极地删除。 现在,如果我理解正确,如果arp条目的数量超出了gc_thresh1,但仍然低于gc_thresh2,那么将以gc_interval设置的时间间隔周期性地删除多余的数据。 我的问题是,如果条目数量超出gc_thresh2但低于gc_thresh3,或者数字超出gc_thresh3,条目是如何去除的? 换句话说,“积极”和“积极”去掉的意思究竟是什么意思呢? 我认为这意味着它们比gc_interval中定义的更频繁地被移除,但我找不到多less。
我试图设置一个服务器,需要有相同的IP子网上的接口,但不同的VLAN: eth1.102 Link encap:Ethernet HWaddr 00:50:56:b1:00:0f inet addr:10.1.1.6 Bcast:10.1.1.255 Mask:255.255.255.0 eth1.103 Link encap:Ethernet HWaddr 00:50:56:b1:00:0f inet addr:10.1.1.12 Bcast:10.1.1.255 Mask:255.255.255.0 我看到的问题是,当某个子网上的设备发出ARP请求时,服务器只响应一个接口上的ARP,并且似乎忽略另一个接口上的任何ARP: 第一个界面: # ping -I eth1.102 10.1.1.1 PING 10.1.1.1 (10.1.1.1) from 10.1.1.6 eth1.102: 56(84) bytes of data. ^C — 10.1.1.1 ping statistics — 8 packets transmitted, 0 received, 100% packet loss, time 7008ms 第二界面: # ping […]