我最近收购了一台客户端,在其中一台服务器上有一个奇怪的ARPcaching问题。 我有一个服务器,最终将开始把它的dynamicARP条目变成静态ARP条目。 这会导致问题,因为当该服务器上有静态ARP条目的计算机通过DHCP接收到新的IP时,服务器将无法与客户端进行通信。 清除ARPcaching解决了这个问题,服务器一个星期左右就好了,然后开始缓慢地把ARP条目变成静态ARP条目。 我没有把它缩小到什么时候开始做什么,但是慢慢地,你开始看到1个静态ARP,然后是5个,然后是10个。 有问题的服务器是Windows Server 2003 SP2。 它是一个DC,DHCP和DNS服务器。 我已经检查了DHCP范围选项,并且没有任何内容会显示任何有关静态ARP条目的事情。 此DNS服务器和我们的其他DNS服务器之间唯一不同的是在有问题的服务器上检查“dynamic更新不请求更新的DHCP客户端的DNA A和PTRlogging”。 我已经做了一些关于这方面的研究,似乎这可能发生,如果任何PXEtypes的服务正在运行,从我可以告诉,没有任何运行PXE服务器。 我有点迷路,因为我从来没有见过dynamicARP条目开始变成静态ARP条目。 现在我的解决scheme是一个计划任务,每24小时运行一次,以清除ARPcaching(arp -d *)。 我不想依靠这个时间表任务。 有没有人看过这个或有任何build议如何解决这个问题?
我已经安装了一个作为OpenVPN服务器的Linux机器(在esxi5上)。 服务器被configuration为使用桥接为客户端,基本上工作,有一个例外。 如果客户在networking上ping了一些不是服务器的机器,它就不能工作。 我排除了我所知道的一切(iptables等),运行tcpdump将其归结为以下几点: 我在tap0和br0上看到ARP请求 我看到br0上的ARP答复 我没有看到tap0上的ARP回复 问题:为什么br0设备不转发ARP回复到tap0设备?
我工作的小大学有一些非常奇怪的networking问题。 我在这里寻找任何build议或想法。 我们在夏天过得很好,但是在秋季学生回到校园后的几天,麻烦就开始了。 症状 主要症状是,互联网接入将起作用,但速度非常缓慢,经常到达超时。 例如,Speedtest.net的典型结果将返回0.4Mbps的下载速度,但允许3到8Mbps的上传速度。 较less的症状可能包括将数据传输到我们的文件服务器或从我们的文件服务器传输数据的性能严重受限,甚至在某些情况下无法login到计算机(无法访问域控制器)。 这个问题跨越了多个vlan,并且几乎在我们运行的每个vlan上都实现了设备。 该问题不会影响networking上的所有机器。 一台不受影响的机器通常会从speedtest.net下载至less 11Mbps的数据,而且这个数字可能要远远高于当时较大的校园stream量模式。 在更大的问题上有一个变化。 我们有一个vlan,用户根本无法login几乎所有的机器。 IT人员将使用本地pipe理员帐户(或在某些情况下caching的凭据)login,并从那里释放/更新或ping通网关将使机器工作…一段时间。 使这个问题复杂化的是这个vlan覆盖了我们的计算机实验室,它使用称为Deep Freeze的软件在重新启动后完全重置硬盘。 它可能只是相同的问题,因为机器上陈旧的数据,并没有永久改变低层次的信息几个星期不同的显示不同。 然而,我们可以通过创build一个新的vlan并将实验室迁移到新的vlan批发来解决这个问题。 Instigations 最终我们注意到受影响的机器都有近期的dhcp租赁。 我们可以通过观察一个DHCP租约续约的时间来预测一台机器何时变得“慢”。 我们在设置testingvlan的租用时间非常短的时候玩过,但是所有这些都消除了我们预测机器什么时候会变慢的能力。 具有静态IP的机器几乎一直正常工作。 手动释放/更新地址不会导致机器变慢。 事实上,在某些情况下,这个过程已经固定了一台机器。 但大多数情况下,这并没有帮助。 我们也注意到像笔记本电脑这样的移动设备在跨越新的虚拟机时可能会变得很慢。 校园内的无线networking被划分为“区域”,每个区域映射到一小组build筑物。 搬到一个新的build筑可以把你放在一个区域,从而使你得到一个新的地址。 从睡眠模式恢复的机器也很可能很慢。 缓解措施 有时(但并非总是),清除受影响机器上的ARPcaching将使其再次正常工作。 如前所述,释放/更新本地机器的IP地址可以修复该机器,但不能保证。 屏蔽默认网关有时也可以帮助一台慢速机器。 似乎最有助于缓解这个问题的是清除核心三层交换机上的ARPcaching。 此交换机用于我们的dhcp系统,作为所有vlan上的默认网关,并处理vlan间路由。 该型号是3Com 4900SX。 为了缓解这个问题,我们把交换机上的高速caching超时设置到最低的时间,但是没有帮助。 我还将每隔几分钟运行一次的脚本自动连接到交换机并重置caching。 不幸的是,这并不总是奏效,甚至可能导致一些机器在很短的时间内处于缓慢的状态(尽pipe这些似乎在几分钟后自行纠正)。 我们目前有一个每10分钟运行一次的计划任务,迫使核心交换机清除它的ARPcaching,但这远非完美或可取的。 再生产 我们现在有一台可以随意强制进入缓慢状态的testing机器。 它连接到一个端口为每个vlan设置的交换机。 我们通过连接到不同的vlan来使机器变慢,并且在新的连接或两个连接之后,它会变慢。 在本节中也值得注意的是,这在之前的条件开始之前就已经发生了,但过去几天之后,这个问题已经消失了。 它在我们有机会做很多诊断工作之前就已经解决了,所以为什么我们这次把它拖到这个时候这么长时间呢? 预计这将是一个短暂的情况。 其他因素 值得一提的是,去年我们有大约六台交换机彻底失败。 这些主要是2003/2004年代的3Coms(大多是4200年代),几乎同时进行。 他们应该仍然在保修范围内,购买惠普已经使服务有些困难。 主要是在电源失败的情况下,但是在一些情况下,我们使用了主板故障的交换机的电源,使电源故障的交换机恢复正常。 我们现在有四台交换机中的三台交换机都有UPS设备,但是两年半前我就没有这种情况。 […]
自从一段时间以来,我一直在努力解决这个不容易重现的问题。 我正在使用Linux内核v3.1.0,有时路由到几个IP地址不起作用。 看来发生的事情是,内核并不是将数据包发送到网关,而是将目标地址视为本地,并尝试通过ARP获取其MAC地址。 例如,现在我的IP地址是172.16.1.104/24,网关是172.16.1.254: # ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:1B:63:97:FC:DC inet addr:172.16.1.104 Bcast:172.16.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:230772 errors:0 dropped:0 overruns:0 frame:0 TX packets:171013 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:191879370 (182.9 Mb) TX bytes:47173253 (44.9 Mb) Interrupt:17 # route -n Kernel IP routing table Destination Gateway Genmask […]
我(和一位同事)刚刚注意到并testing过,当一台Linux机器被ping通时,在最后一次ping之后,它向发起ICMP ping的机器发起一个单播 ARP请求。 对Windows机器执行ping操作时,Windows机器最终不会发出ARP请求。 有人知道这个单播ARP请求的目的是什么,为什么它发生在Linux而不是Windows? Wireshark跟踪(Linux 10.20.30.45): No.Time Source Destination Prot Info 19 10.905277 10.20.30.14 10.20.30.45 ICMP Echo (ping) request 20 10.905339 10.20.30.45 10.20.30.14 ICMP Echo (ping) reply 21 11.904141 10.20.30.14 10.20.30.45 ICMP Echo (ping) request 22 11.904173 10.20.30.45 10.20.30.14 ICMP Echo (ping) reply 23 12.904104 10.20.30.14 10.20.30.45 ICMP Echo (ping) request 24 12.904137 10.20.30.45 […]
更新如下:更新2下面:最后的解决scheme 我有一台全新的运行Windows 7 64bit的HP EliteBook笔记本电脑8560p。 我把它插入一个小型Dlink di-604路由器,目前configuration为DHCP,获取IP地址为192.168.1.100,路由器的IP地址为192.168.1.6。 我插入第二个笔记本,它得到的IP地址192.168.1.101。 这是所有插入的,路由器没有连接到广域网。 如果我去第二个笔记本(.101),并ping第一个(.100),它不响应。 如果我尝试ping 192.168.1.2(一个不存在的IP地址),我得到一个响应,我注意到在ARPcaching中,第一台机器的MAC地址列在ip 192.168.1.2和192.168.1.100。 没有在第一台机器上的192.168.1.2定义的地方,也没有过,这是一个骨头笔直的笔记本电脑。 ipconfig / all分别回应192.168.1.100和192.168.1.150。 我尝试将第一台机器设置为静态地址192.168.1.150。 再次同样的结果,不能ping .150然而ping响应.2。 .2和.150显示在.101的arpcaching中,具有相同的MAC地址。 一些观察:当对2进行响应时,它不是一致的<1ms或更less,通常是相当高的范围数,在4ms到30ms的范围内,考虑到两者都连接到相同的开关,这实际上是奇怪的。 我已经尝试了多个路由器,dlink,sonicwall和另一个dlink。 同样的结果 如果我为整个局域网使用不同的子网,比如192.168.0.x而不是192.168.1.x,那么没有什么问题可以按照预期工作。 任何人都见过这样的事情吗? 更新:我有一个连续的ping运行到这个神秘的IP地址192.168.1.2,当我重新启动有问题的机器,ping一开始BIOS启动备份。 我做了一些研究,看起来像惠普包括一些称为英特尔AMT或CIRA的英特尔工具。 这个工具有192.168.1.2硬编码到它。 没有哪里在BIOS中,我可以find一个选项,将其更改为DHCP或禁用它(我们当然不希望这个产品)。 任何人都知道如何摆脱这一点? 更新2:我不能发表答案,但这里是解决scheme:问题是由英特尔AMT或博锐。 您可以在BIOS中禁用此function,但不是简单的。 在BIOS中进入系统configuration – > AMT选项。 一旦打开Verbosity选项,那么你可以打开“在下次启动时启用AMT取消configuration”一旦你这样做,它清除所有的AMT设置(密码,等等)。 如果你想使用AMT,你可以在这里http://h10032.www1.hp.com/ctg/Manual/c01954655.pdf遵循这个指南。 感谢你的帮助。 也想说惠普的支持是无用的,他们甚至不知道该模型有AMT,也没有如何禁用/重置它。 然而,在我和他们交谈并提出他们的关注之后,他们说他们很快就会在他们的网站上发布一个文件。
我有一个机器人运行有线和无线适配器的Linux。 当我启动时,它连接到无线罚款。 当我分配IP到有线(静态或与DHCP),它看起来像它的工作。 如ifconfig所示,显示正确的IP, route显示正确的路由。 但是,当我做有线IP的ARP请求时,ARP应答包含无线MAC。 ??? 机器人上没有桥接器,为什么我不能连接有线的MAC? 当线路断开连接时,有线IP将回复ping … 为什么机器人通过无线接口回复IP上的请求? 编辑:在同一IP子网上的有线和无线适配器。 我在同一个IP子网上从一台计算机(使用不同的计算机尝试)进行ARP请求。 相关的ifconfig输出: eth0 Link encap:Ethernet HWaddr 00:01:C0:04:BD:F7 inet addr:192.168.0.110 Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) ra0 Link encap:Ethernet HWaddr 24:3C:20:06:3E:6D […]
我们有AT&T的U-Verse互联网服务,它有一个极其头脑的DSL网关。 我们有5个IP(networking掩码248),但是除了单个IP地址 – 单个MAC地址映射之外,网关是不能做任何事情的。 我们有一台防火墙机器,我们将不同的IP /端口组合redirect到DMZ内的不同地方。 我们的解决scheme到目前为止是在防火墙上有一个VMWare虚拟机,其中有4个额外的NIC,以获得其他4个IP地址…但是,我们有一个问题。 网关基本上是做一个ARP ping来查看IP是否在预期的MAC上响应。 在同一个局域网上有4个网卡,linux正在使用一个接口响应所有IP的ARP请求。 这不是门户网站所期望的,而是搞乱了其他3个网卡。 网关拒绝路由传入stream量的IP地址的ARP平果结果不是预期的MAC。 我们如何得到eth0的IP去掉eth0,eth1的IP去掉eth1等? 编辑 克里斯托弗·卡斯尔的回应在这种情况下是行不通的。 我有很大的希望阅读,但是…不。 编辑2 解决了! 看到我的答案在下面。
子网中的一些客户端使用旧的MAC地址caching了IP,我希望他们通过ARP广播来更新新的值,在Linux中是可行的吗?
希望这里的某个人对我们所面临的问题有所了解。 目前我们有思科TAC正在审视案件,但他们正在努力寻找根本原因。 虽然标题提到了ARP广播和高CPU使用率,但我们不确定这一阶段是否相关或不相关。 原始问题已发布在INE在线社区 我们已经将networking剥离到单个链路上,没有冗余设置,将其视为星形拓扑结构。 事实: 我们使用3750x交换机,一个堆叠4个。 版本15.0(1)SE3。 思科TAC确认这个特定版本的高CPU或ARP错误没有已知问题。 没有集线器/非pipe理型交换机连接 重新加载核心堆栈 我们没有默认路由“Ip路由0.0.0.0 0.0.0.0 f1 / 0”。 使用OSPF进行路由。 我们看到来自用于桌面设备的VLAN 1,VLAN 1的大型广播数据包。 我们使用192.168.0.0/20 思科TAC表示,他们没有看到使用/ 20的任何错误,否则我们会有一个大的广播域,但应该仍然运作。 Wifi,pipe理,打印机等都在不同的VLAN上 生成树已通过思科TAC&CCNP / CCIE合格人员的validation。 我们closures所有的冗余链接。 核心configuration已通过思科TACvalidation。 我们在大多数交换机上都有默认的ARP超时。 我们不实施Q&Q. 没有添加新的交换机(至less我们不知道) 在边缘交换机上不能使用dynamicARP检查,因为它们是2950 我们使用了show interfaces | 通过广播来确定广播来自哪里,但是思科TAC和其他两名工程师(CCNP&CCIE)确认这是由于networking上发生的事情而导致的正常行为(如在大量的Mac襟翼造成更大的广播)。 我们validation了STP在边缘交换机上运行正常。 networking和交换机上的症状: 大量的MAC皮瓣 ARPinput过程的高CPU使用率 大量的ARP数据包,迅速增加和可见 Wiresharks显示,100台计算机正在使用ARP广播泛滥networking 为了testing目的,我们放置了大约80台桌面机不同的vlan,但是我们testing了这一点,并没有看到高CPU或ARPinput 运行过不同的AV /恶意软件/间谍软件,但没有在networking上可见的病毒。 sh mac地址表计数,向我们展示vlan 1上大约750个不同的mac地址。 #sh processes cpu sorted | exc […]