forum.opennet.ru - "dynamic arp inspection" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"dynamic arp inspection"

Форум Маршрутизаторы CISCO и др. оборудование. (Cisco Catalyst коммутаторы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"dynamic arp inspection"	+/–
Сообщение от puffnutty (ok) on 26-Янв-11, 14:47
Что делает DAI, если у коммутатора нет записи о соответствии ip-mac? Т.е. включили DHCP-snooping, потом сразу DAI. Коммутатор будет сразу отбрасывать все arp пакеты, так как не будет находить соответствия? В документации Cisco не нашел.
Ответить \| Правка \| Cообщить модератору

Оглавление

dynamic arp inspection, Sybertuk, 11:30 , 27-Янв-11, (1)

dynamic arp inspection, puffnutty, 13:58 , 31-Янв-11, (2)

dynamic arp inspection, Sybertuk, 14:39 , 31-Янв-11, (3)

dynamic arp inspection, puffnutty, 15:47 , 31-Янв-11, (4)

dynamic arp inspection, Sybertuk, 11:28 , 01-Фев-11, (5)

dynamic arp inspection, puffnutty, 11:50 , 01-Фев-11, (6)

dynamic arp inspection, Sybertuk, 12:21 , 01-Фев-11, (7)

dynamic arp inspection, puffnutty, 13:17 , 03-Фев-11, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "dynamic arp inspection" +/–

Сообщение от Sybertuk (ok) on 27-Янв-11, 11:30

> Что делает DAI, если у коммутатора нет записи о соответствии ip-mac? Т.е.
> включили DHCP-snooping, потом сразу DAI. Коммутатор будет сразу отбрасывать все arp
> пакеты, так как не будет находить соответствия? В документации Cisco не
> нашел.
  Маршрутизатор после включения DAI будет блокировать arp трафик от хостов которых не будет в таблице ip source binding, ее можно посмотреть соответсвующей командой 'show ip source binding', таблица ip dhcp snooping binding моментально реплицируется в таблицу ip source binding. В ip source binding можно вносить статические записи.
  Есть также не большая фича работы DAI - после ее включения часть хостов arp-записи которых были внесены в арп-таблицу маршрутизатора до включения DAI будут успешно продолжать работать до истечения жизни arp-записи на маршутизаторе, чтобы мгновенно запретить работу таких хостов через маршрутизатор нужно очистить arp-таблицу (clear arp), у всех хостов пропадет на пару секунд связь так как на маршрутизаторе начнет отрабатывать arp-протокол по всем активным хостам, если маршрутизатор обслуживает много клиентов, лучше точечно почистите arp-таблицы ip-интерфейсов на которых вы включили DAI (для vlan-а будет выглядеть так 'clear arp int vlan XX').
  Если хотите использовать DAI в связке c dhcp snooping-ом, для обеспечения более мягкой интеграции DAI дайте dhcp-snooping-у поработать сутки (в идеале должен работать чуть больше времени аренды (lease time) ip адресов выдываемых ваших DHCP-сервером).

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "dynamic arp inspection" +/–

Сообщение от puffnutty (ok) on 31-Янв-11, 13:58

Периодически возникают следующие ошибки:
Jan 31 13:13:34.861: %SW_DAI-4-PACKET_RATE_EXCEEDED: 90 packets received in 25 milliseconds on Fa3/0/8.
Jan 31 13:13:34.861: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa3/0/8, putting Fa3/0/8 in err-disable state
Т.е. от произвольного компьютера в сети идет больше 15 arp-пакетов в секунду (15 - это дефолтный параметр для untrusted порта). Кто это может быть? Грешу на работу Computer Browser в Windows. От этих же компьютеров идут следующие arp запросы:
002803: Jan 31 13:06:24.872: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa3/0/8, vlan 200.([001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222/13:06:24 msk Mon Jan 31 2011])
>[оверквотинг удален]
> маршутизаторе, чтобы мгновенно запретить работу таких хостов через маршрутизатор нужно
> очистить arp-таблицу (clear arp), у всех хостов пропадет на пару секунд
> связь так как на маршрутизаторе начнет отрабатывать arp-протокол по всем активным
> хостам, если маршрутизатор обслуживает много клиентов, лучше точечно почистите arp-таблицы
> ip-интерфейсов на которых вы включили DAI (для vlan-а будет выглядеть так
> 'clear arp int vlan XX').
>   Если хотите использовать DAI в связке c dhcp snooping-ом, для
> обеспечения более мягкой интеграции DAI дайте dhcp-snooping-у поработать сутки (в идеале
> должен работать чуть больше времени аренды (lease time) ip адресов выдываемых
> ваших DHCP-сервером).

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "dynamic arp inspection" +/–

Сообщение от Sybertuk (ok) on 31-Янв-11, 14:39

>[оверквотинг удален]
>> хостам, если маршрутизатор обслуживает много клиентов, лучше точечно почистите arp-таблицы
>> ip-интерфейсов на которых вы включили DAI (для vlan-а будет выглядеть так
>> 'clear arp int vlan XX').
>>   Если хотите использовать DAI в связке c dhcp snooping-ом, для
>> обеспечения более мягкой интеграции DAI дайте dhcp-snooping-у поработать сутки (в идеале
>> должен работать чуть больше времени аренды (lease time) ip адресов выдываемых
>> ваших DHCP-сервером).
> Т.е. от произвольного компьютера в сети идет больше 15 arp-пакетов в секунду
> (15 - это дефолтный параметр для untrusted порта). Кто это может
> быть?
На физическем интерфейсе работает ОБЩИЙ счетчик arp-пакетов, а не отдельно по каждому хосту сети. В вашем случае правильно сделать вывод: "На сегменте сети подкюченной к интерфейсу Fa3/0/8 превышен установленный лимит arp-трафика и составляет более 15 пакетов в секунду". Сколько хостов подключено к интерфейсу Fa3/0/8 ? Установите на физическом интерфейсе лимит исходя от колличества хостов в сети.

> 002803: Jan 31 13:06:24.872: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa3/0/8,
> vlan 200.([001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222/13:06:24 msk Mon
> Jan 31 2011])
Технология DAI дропнула пакет от хоста которого нет в таблице dhcp snooping binding, ничего криминального, в худшем случае кто-то пытается провернуть атаку man-in-middle (что вряд ли), а скорее всего кто-то просто сидит со статически установленным ip/mask

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "dynamic arp inspection" +/–

Сообщение от puffnutty (ok) on 31-Янв-11, 15:47

>  На физическем интерфейсе работает ОБЩИЙ счетчик arp-пакетов, а не отдельно по
> каждому хосту сети. В вашем случае правильно сделать вывод: "На сегменте
> сети подкюченной к интерфейсу Fa3/0/8 превышен установленный лимит arp-трафика и составляет
> более 15 пакетов в секунду". Сколько хостов подключено к интерфейсу Fa3/0/8
> ? Установите на физическом интерфейсе лимит исходя от колличества хостов в
> сети.
В том то и оно, что на этом порту висит один хост, такое возникает время от времени на некоторых портах, хотя компьютеры у нас внутри сегмента между собой теоретически общаться не должны. Во всяком случае не должны разрешать по 20-20 хостов в секунду.
>  Технология DAI дропнула пакет от хоста которого нет в таблице dhcp
> snooping binding, ничего криминального, в худшем случае кто-то пытается провернуть атаку
> man-in-middle (что вряд ли), а скорее всего кто-то просто сидит со
> статически установленным ip/mask
Меня смущает нулевой ip-адрес и нулевой мак-адрес. При этом на порту коммутатора виден реальный мак-адрес компьютера.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "dynamic arp inspection" +/–

Сообщение от Sybertuk (ok) on 01-Фев-11, 11:28

>[оверквотинг удален]
>>  Технология DAI дропнула пакет от хоста которого нет в таблице dhcp
>> snooping binding, ничего криминального, в худшем случае кто-то пытается провернуть атаку
>> man-in-middle (что вряд ли), а скорее всего кто-то просто сидит со
>> статически установленным ip/mask
> Меня смущает нулевой ip-адрес и нулевой мак-адрес. При этом на порту коммутатора
> виден реальный мак-адрес компьютера.
> В том то и оно, что на этом порту висит один хост,
> такое возникает время от времени на некоторых портах, хотя компьютеры у
> нас внутри сегмента между собой теоретически общаться не должны. Во всяком
> случае не должны разрешать по 20-20 хостов в секунду.
  Скорее всего компьютер заражен вирусом который генерирует паразитный arp-трафик, или с компьютера пользуются специфичным софтом (например сетевой сканер). И почему вы решили что компьютеры теоретически общаться не должны внутри сети, чем заблокировали такую возможность ?
> Меня смущает нулевой ip-адрес и нулевой мак-адрес. При этом на порту коммутатора
> виден реальный мак-адрес компьютера.
001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222 Поля обозначают следующее (слева-направо): sender mac, sender ip, target mac, target ip. Т.е. Хост с MAC-адресом 001c.2536.bbfc послал arp-запрос на хост 172.16.134.222, этот запрос дропнул DAI так как связки mac-ip для mac=001c.2536.bbfc в таблице ip source binding (ip dhcp snooping binding) нет.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "dynamic arp inspection" +/–

Сообщение от puffnutty (ok) on 01-Фев-11, 11:50

>   Скорее всего компьютер заражен вирусом который генерирует паразитный arp-трафик, или
> с компьютера пользуются специфичным софтом (например сетевой сканер). И почему вы
> решили что компьютеры теоретически общаться не должны внутри сети, чем заблокировали
> такую возможность ?
Начинаю подозревать работу модных фишек на win 7, скорее всего поиск UPNP устройств в сети, но пока не уверен.
> 001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222 Поля обозначают следующее (слева-направо):
> sender mac, sender ip, target mac, target ip. Т.е. Хост с
> MAC-адресом 001c.2536.bbfc послал arp-запрос на хост 172.16.134.222, этот запрос дропнул
> DAI так как связки mac-ip для mac=001c.2536.bbfc в таблице ip source
> binding (ip dhcp snooping binding) нет.
Значение полей в арп-запросе понятно, в том то и оно, что привязка из DHCP-snooping есть, он его блочит именно за нулевой ip-адрес видимо.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "dynamic arp inspection" +/–

Сообщение от Sybertuk (ok) on 01-Фев-11, 12:21

>[оверквотинг удален]
>> такую возможность ?
> Начинаю подозревать работу модных фишек на win 7, скорее всего поиск UPNP
> устройств в сети, но пока не уверен.
>> 001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222 Поля обозначают следующее (слева-направо):
>> sender mac, sender ip, target mac, target ip. Т.е. Хост с
>> MAC-адресом 001c.2536.bbfc послал arp-запрос на хост 172.16.134.222, этот запрос дропнул
>> DAI так как связки mac-ip для mac=001c.2536.bbfc в таблице ip source
>> binding (ip dhcp snooping binding) нет.
> Значение полей в арп-запросе понятно, в том то и оно, что привязка
> из DHCP-snooping есть, он его блочит именно за нулевой ip-адрес видимо.
Вообще согласно протоколу арп в арп-запросе хост обязан указывать свой ip адрес (чтобы хост на который направлен арп-запрос знал на какой ip отправить арп-ответ). ARP протокол находится на сетевом уровне моделей OSI/Internet, и идеологически не должен отрабатывать если на сетевом адаптере не установлен ip-адрес (работа arp становится бессмысленной).
  Мое виденье данной ситуации - это не каноническая реализация стэка протоколов TCP/IP на Windows, может быть Windows отправляет такого рода арп-запросы (когда в ip sender указано 0.0.0.0) в момент времени когда хост еще на получил ip-адрес от dhcp сервера (либо не установлен вообще), тогда такие сообщения на маршрутизаторе теоретически могут появляться 1-2 раза в день на каждый хост (по кол-ву перезагрузок), либо опять же специфичный софт генерирует такого рода arp-запросы или вирус пытается досить arp-запросами хосты в сети, ведь мы знаем, что работа arp-протокола полностью ложится на центральный процессор ;) в этом случае arp-request's rate должен быть достаточно большим.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "dynamic arp inspection" +/–

Сообщение от puffnutty (ok) on 03-Фев-11, 13:17

>   Мое виденье данной ситуации - это не каноническая реализация стэка
> протоколов TCP/IP на Windows, может быть Windows отправляет такого рода арп-запросы
> (когда в ip sender указано 0.0.0.0) в момент времени когда хост
> еще на получил ip-адрес от dhcp сервера (либо не установлен вообще),
> тогда такие сообщения на маршрутизаторе теоретически могут появляться 1-2 раза в
> день на каждый хост (по кол-ву перезагрузок), либо опять же специфичный
> софт генерирует такого рода arp-запросы или вирус пытается досить arp-запросами хосты
> в сети, ведь мы знаем, что работа arp-протокола полностью ложится на
> центральный процессор ;) в этом случае arp-request's rate должен быть достаточно
> большим.
С нулевым адресом разобрался - это Win при выходе из сна или включении опрашивает сеть, чтобы исключить конфликт адресов:
003669: Feb  3 13:02:46.154: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa2/0/26, vlan 200.([001d.6074.fb17/0.0.0.0/0000.0000.0000/172.16.129.62/13:02:45 msk Thu Feb 3 2011])
003670: Feb  3 13:02:47.177: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa2/0/26, vlan 200.([001d.6074.fb17/0.0.0.0/0000.0000.0000/172.16.129.62/13:02:46 msk Thu Feb 3 2011])
003671: Feb  3 13:02:47.177: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa2/0/26, vlan 200.([001d.6074.fb17/0.0.0.0/0000.0000.0000/169.254.97.237/13:02:46 msk Thu Feb 3 2011])
msk-3fl-003-sw#
003672: Feb  3 13:02:48.192: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa2/0/26, vlan 200.([001d.6074.fb17/0.0.0.0/0000.0000.0000/172.16.129.62/13:02:47 msk Thu Feb 3 2011])
003673: Feb  3 13:02:48.192: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa2/0/26, vlan 200.([001d.6074.fb17/0.0.0.0/0000.0000.0000/169.254.97.237/13:02:47 msk Thu Feb 3 2011])
Вот это сгенерил по АРП компьютер с адресом 172.16.129.62. А вот исполнение кривое, в поле адрес отправителя стоят нули, поэтому DAI и блочит этот пакет, т.к. в DHCP Snooping-е есть привязка этого адреса к его 001d.6074.fb17 В итоге компьютер все равно оставил себе этот ip-адрес, т.к. ответов не получил))

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "dynamic arp inspection"	+/–
Сообщение от Sybertuk (ok) on 27-Янв-11, 11:30
> Что делает DAI, если у коммутатора нет записи о соответствии ip-mac? Т.е. > включили DHCP-snooping, потом сразу DAI. Коммутатор будет сразу отбрасывать все arp > пакеты, так как не будет находить соответствия? В документации Cisco не > нашел. Маршрутизатор после включения DAI будет блокировать arp трафик от хостов которых не будет в таблице ip source binding, ее можно посмотреть соответсвующей командой 'show ip source binding', таблица ip dhcp snooping binding моментально реплицируется в таблицу ip source binding. В ip source binding можно вносить статические записи. Есть также не большая фича работы DAI - после ее включения часть хостов arp-записи которых были внесены в арп-таблицу маршрутизатора до включения DAI будут успешно продолжать работать до истечения жизни arp-записи на маршутизаторе, чтобы мгновенно запретить работу таких хостов через маршрутизатор нужно очистить arp-таблицу (clear arp), у всех хостов пропадет на пару секунд связь так как на маршрутизаторе начнет отрабатывать arp-протокол по всем активным хостам, если маршрутизатор обслуживает много клиентов, лучше точечно почистите arp-таблицы ip-интерфейсов на которых вы включили DAI (для vlan-а будет выглядеть так 'clear arp int vlan XX'). Если хотите использовать DAI в связке c dhcp snooping-ом, для обеспечения более мягкой интеграции DAI дайте dhcp-snooping-у поработать сутки (в идеале должен работать чуть больше времени аренды (lease time) ip адресов выдываемых ваших DHCP-сервером).
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "dynamic arp inspection"	+/–
	Сообщение от puffnutty (ok) on 31-Янв-11, 13:58
	Периодически возникают следующие ошибки: Jan 31 13:13:34.861: %SW_DAI-4-PACKET_RATE_EXCEEDED: 90 packets received in 25 milliseconds on Fa3/0/8. Jan 31 13:13:34.861: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa3/0/8, putting Fa3/0/8 in err-disable state Т.е. от произвольного компьютера в сети идет больше 15 arp-пакетов в секунду (15 - это дефолтный параметр для untrusted порта). Кто это может быть? Грешу на работу Computer Browser в Windows. От этих же компьютеров идут следующие arp запросы: 002803: Jan 31 13:06:24.872: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa3/0/8, vlan 200.([001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222/13:06:24 msk Mon Jan 31 2011]) >[оверквотинг удален] > маршутизаторе, чтобы мгновенно запретить работу таких хостов через маршрутизатор нужно > очистить arp-таблицу (clear arp), у всех хостов пропадет на пару секунд > связь так как на маршрутизаторе начнет отрабатывать arp-протокол по всем активным > хостам, если маршрутизатор обслуживает много клиентов, лучше точечно почистите arp-таблицы > ip-интерфейсов на которых вы включили DAI (для vlan-а будет выглядеть так > 'clear arp int vlan XX'). > Если хотите использовать DAI в связке c dhcp snooping-ом, для > обеспечения более мягкой интеграции DAI дайте dhcp-snooping-у поработать сутки (в идеале > должен работать чуть больше времени аренды (lease time) ip адресов выдываемых > ваших DHCP-сервером).
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "dynamic arp inspection"	+/–
	Сообщение от Sybertuk (ok) on 31-Янв-11, 14:39
	>[оверквотинг удален] >> хостам, если маршрутизатор обслуживает много клиентов, лучше точечно почистите arp-таблицы >> ip-интерфейсов на которых вы включили DAI (для vlan-а будет выглядеть так >> 'clear arp int vlan XX'). >> Если хотите использовать DAI в связке c dhcp snooping-ом, для >> обеспечения более мягкой интеграции DAI дайте dhcp-snooping-у поработать сутки (в идеале >> должен работать чуть больше времени аренды (lease time) ip адресов выдываемых >> ваших DHCP-сервером). > Т.е. от произвольного компьютера в сети идет больше 15 arp-пакетов в секунду > (15 - это дефолтный параметр для untrusted порта). Кто это может > быть? На физическем интерфейсе работает ОБЩИЙ счетчик arp-пакетов, а не отдельно по каждому хосту сети. В вашем случае правильно сделать вывод: "На сегменте сети подкюченной к интерфейсу Fa3/0/8 превышен установленный лимит arp-трафика и составляет более 15 пакетов в секунду". Сколько хостов подключено к интерфейсу Fa3/0/8 ? Установите на физическом интерфейсе лимит исходя от колличества хостов в сети. > 002803: Jan 31 13:06:24.872: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa3/0/8, > vlan 200.([001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222/13:06:24 msk Mon > Jan 31 2011]) Технология DAI дропнула пакет от хоста которого нет в таблице dhcp snooping binding, ничего криминального, в худшем случае кто-то пытается провернуть атаку man-in-middle (что вряд ли), а скорее всего кто-то просто сидит со статически установленным ip/mask
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "dynamic arp inspection"	+/–
	Сообщение от puffnutty (ok) on 31-Янв-11, 15:47
	> На физическем интерфейсе работает ОБЩИЙ счетчик arp-пакетов, а не отдельно по > каждому хосту сети. В вашем случае правильно сделать вывод: "На сегменте > сети подкюченной к интерфейсу Fa3/0/8 превышен установленный лимит arp-трафика и составляет > более 15 пакетов в секунду". Сколько хостов подключено к интерфейсу Fa3/0/8 > ? Установите на физическом интерфейсе лимит исходя от колличества хостов в > сети. В том то и оно, что на этом порту висит один хост, такое возникает время от времени на некоторых портах, хотя компьютеры у нас внутри сегмента между собой теоретически общаться не должны. Во всяком случае не должны разрешать по 20-20 хостов в секунду. > Технология DAI дропнула пакет от хоста которого нет в таблице dhcp > snooping binding, ничего криминального, в худшем случае кто-то пытается провернуть атаку > man-in-middle (что вряд ли), а скорее всего кто-то просто сидит со > статически установленным ip/mask Меня смущает нулевой ip-адрес и нулевой мак-адрес. При этом на порту коммутатора виден реальный мак-адрес компьютера.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "dynamic arp inspection"	+/–
	Сообщение от Sybertuk (ok) on 01-Фев-11, 11:28
	>[оверквотинг удален] >> Технология DAI дропнула пакет от хоста которого нет в таблице dhcp >> snooping binding, ничего криминального, в худшем случае кто-то пытается провернуть атаку >> man-in-middle (что вряд ли), а скорее всего кто-то просто сидит со >> статически установленным ip/mask > Меня смущает нулевой ip-адрес и нулевой мак-адрес. При этом на порту коммутатора > виден реальный мак-адрес компьютера. > В том то и оно, что на этом порту висит один хост, > такое возникает время от времени на некоторых портах, хотя компьютеры у > нас внутри сегмента между собой теоретически общаться не должны. Во всяком > случае не должны разрешать по 20-20 хостов в секунду. Скорее всего компьютер заражен вирусом который генерирует паразитный arp-трафик, или с компьютера пользуются специфичным софтом (например сетевой сканер). И почему вы решили что компьютеры теоретически общаться не должны внутри сети, чем заблокировали такую возможность ? > Меня смущает нулевой ip-адрес и нулевой мак-адрес. При этом на порту коммутатора > виден реальный мак-адрес компьютера. 001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222 Поля обозначают следующее (слева-направо): sender mac, sender ip, target mac, target ip. Т.е. Хост с MAC-адресом 001c.2536.bbfc послал arp-запрос на хост 172.16.134.222, этот запрос дропнул DAI так как связки mac-ip для mac=001c.2536.bbfc в таблице ip source binding (ip dhcp snooping binding) нет.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "dynamic arp inspection"	+/–
	Сообщение от puffnutty (ok) on 01-Фев-11, 11:50
	> Скорее всего компьютер заражен вирусом который генерирует паразитный arp-трафик, или > с компьютера пользуются специфичным софтом (например сетевой сканер). И почему вы > решили что компьютеры теоретически общаться не должны внутри сети, чем заблокировали > такую возможность ? Начинаю подозревать работу модных фишек на win 7, скорее всего поиск UPNP устройств в сети, но пока не уверен. > 001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222 Поля обозначают следующее (слева-направо): > sender mac, sender ip, target mac, target ip. Т.е. Хост с > MAC-адресом 001c.2536.bbfc послал arp-запрос на хост 172.16.134.222, этот запрос дропнул > DAI так как связки mac-ip для mac=001c.2536.bbfc в таблице ip source > binding (ip dhcp snooping binding) нет. Значение полей в арп-запросе понятно, в том то и оно, что привязка из DHCP-snooping есть, он его блочит именно за нулевой ip-адрес видимо.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "dynamic arp inspection"	+/–
	Сообщение от Sybertuk (ok) on 01-Фев-11, 12:21
	>[оверквотинг удален] >> такую возможность ? > Начинаю подозревать работу модных фишек на win 7, скорее всего поиск UPNP > устройств в сети, но пока не уверен. >> 001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222 Поля обозначают следующее (слева-направо): >> sender mac, sender ip, target mac, target ip. Т.е. Хост с >> MAC-адресом 001c.2536.bbfc послал arp-запрос на хост 172.16.134.222, этот запрос дропнул >> DAI так как связки mac-ip для mac=001c.2536.bbfc в таблице ip source >> binding (ip dhcp snooping binding) нет. > Значение полей в арп-запросе понятно, в том то и оно, что привязка > из DHCP-snooping есть, он его блочит именно за нулевой ip-адрес видимо. Вообще согласно протоколу арп в арп-запросе хост обязан указывать свой ip адрес (чтобы хост на который направлен арп-запрос знал на какой ip отправить арп-ответ). ARP протокол находится на сетевом уровне моделей OSI/Internet, и идеологически не должен отрабатывать если на сетевом адаптере не установлен ip-адрес (работа arp становится бессмысленной). Мое виденье данной ситуации - это не каноническая реализация стэка протоколов TCP/IP на Windows, может быть Windows отправляет такого рода арп-запросы (когда в ip sender указано 0.0.0.0) в момент времени когда хост еще на получил ip-адрес от dhcp сервера (либо не установлен вообще), тогда такие сообщения на маршрутизаторе теоретически могут появляться 1-2 раза в день на каждый хост (по кол-ву перезагрузок), либо опять же специфичный софт генерирует такого рода arp-запросы или вирус пытается досить arp-запросами хосты в сети, ведь мы знаем, что работа arp-протокола полностью ложится на центральный процессор ;) в этом случае arp-request's rate должен быть достаточно большим.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "dynamic arp inspection"	+/–
	Сообщение от puffnutty (ok) on 03-Фев-11, 13:17
	> Мое виденье данной ситуации - это не каноническая реализация стэка > протоколов TCP/IP на Windows, может быть Windows отправляет такого рода арп-запросы > (когда в ip sender указано 0.0.0.0) в момент времени когда хост > еще на получил ip-адрес от dhcp сервера (либо не установлен вообще), > тогда такие сообщения на маршрутизаторе теоретически могут появляться 1-2 раза в > день на каждый хост (по кол-ву перезагрузок), либо опять же специфичный > софт генерирует такого рода arp-запросы или вирус пытается досить arp-запросами хосты > в сети, ведь мы знаем, что работа arp-протокола полностью ложится на > центральный процессор ;) в этом случае arp-request's rate должен быть достаточно > большим. С нулевым адресом разобрался - это Win при выходе из сна или включении опрашивает сеть, чтобы исключить конфликт адресов: 003669: Feb 3 13:02:46.154: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa2/0/26, vlan 200.([001d.6074.fb17/0.0.0.0/0000.0000.0000/172.16.129.62/13:02:45 msk Thu Feb 3 2011]) 003670: Feb 3 13:02:47.177: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa2/0/26, vlan 200.([001d.6074.fb17/0.0.0.0/0000.0000.0000/172.16.129.62/13:02:46 msk Thu Feb 3 2011]) 003671: Feb 3 13:02:47.177: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa2/0/26, vlan 200.([001d.6074.fb17/0.0.0.0/0000.0000.0000/169.254.97.237/13:02:46 msk Thu Feb 3 2011]) msk-3fl-003-sw# 003672: Feb 3 13:02:48.192: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa2/0/26, vlan 200.([001d.6074.fb17/0.0.0.0/0000.0000.0000/172.16.129.62/13:02:47 msk Thu Feb 3 2011]) 003673: Feb 3 13:02:48.192: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa2/0/26, vlan 200.([001d.6074.fb17/0.0.0.0/0000.0000.0000/169.254.97.237/13:02:47 msk Thu Feb 3 2011]) Вот это сгенерил по АРП компьютер с адресом 172.16.129.62. А вот исполнение кривое, в поле адрес отправителя стоят нули, поэтому DAI и блочит этот пакет, т.к. в DHCP Snooping-е есть привязка этого адреса к его 001d.6074.fb17 В итоге компьютер все равно оставил себе этот ip-адрес, т.к. ответов не получил))
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору