Недавно столкнулся с очень интересной поблемой при коммутации машинки с FreeBSD и оборудованием Cisco.
Есть подсетка /26 на моей стороне стоит машинка под FreeBSD на интерфейсе выставлен IP адрес
82.148.16.1 и mac адрес 0:4:23:a5:fb:5d
82.148.16.18 at 00:11:11:e7:54:78 эта машинка тоже под FreeBSD
так же есть две цисковских железки
82.148.16.15 at 00:16:46:64:10:c4 Cisco Catalist 3750
82.148.16.19 at 00:14:f2:57:e8:bf Cisco тоже какая-тоС недавнего времени начали у меня в логах появляться записи:
Aug 4 13:50:28 border /kernel: arp: 82.148.16.18 moved from 00:11:11:e7:54:78 to 00:16:46:64:10:c4 on vlan33
Aug 4 13:50:28 border /kernel: arp: 82.148.16.18 moved from 00:16:46:64:10:c4 to 00:14:f2:57:e8:bf on vlan33
Aug 4 13:50:28 border /kernel: arp: 82.148.16.18 moved from 00:14:f2:57:e8:bf to 00:11:11:e7:54:78 on vlan33Видно что кто-то выдает себя за другого.
Начал разбираться со своей стороны с tcpdump ом и увидел в этот момент следущее:
13:50:28.027947 0:4:23:a5:fb:5d ff:ff:ff:ff:ff:ff 0806 42: arp who-has 82.148.16.18 tell 82.148.16.1
13:50:28.028696 0:16:46:64:10:c4 0:4:23:a5:fb:5d 0806 60: arp reply 82.148.16.18 is-at 0:16:46:64:10:c4
13:50:28.029204 0:14:f2:57:e8:bf 0:4:23:a5:fb:5d 0806 60: arp reply 82.148.16.18 is-at 0:14:f2:57:e8:bf
13:50:28.032427 0:11:11:e7:54:78 0:4:23:a5:fb:5d 0806 60: arp reply 82.148.16.18 is-at 0:11:11:e7:54:78Почему-то обе циски выдают себя за 82.148.16.18 но под своим маком.
если отключить от сети циску 82.148.16.15 at 00:16:46:64:10:c4, то в последующем она уже не бедет гадить в сеть:
14:20:17.001277 0:4:23:a5:fb:5d ff:ff:ff:ff:ff:ff 0806 42: arp who-has 82.148.16.18 tell 82.148.16.1
14:20:17.002171 0:14:f2:57:e8:bf 0:4:23:a5:fb:5d 0806 60: arp reply 82.148.16.18 is-at 0:14:f2:57:e8:bf
14:20:17.002177 0:11:11:e7:54:78 0:4:23:a5:fb:5d 0806 60: arp reply 82.148.16.18 is-at 0:11:11:e7:54:78
[покоцано]
14:39:58.001681 0:4:23:a5:fb:5d ff:ff:ff:ff:ff:ff 0806 42: arp who-has 82.148.16.18 tell 82.148.16.1
14:39:58.002602 0:14:f2:57:e8:bf 0:4:23:a5:fb:5d 0806 60: arp reply 82.148.16.18 is-at 0:14:f2:57:e8:bf
14:39:58.002799 0:11:11:e7:54:78 0:4:23:a5:fb:5d 0806 60: arp reply 82.148.16.18 is-at 0:11:11:e7:54:78То есть проблема как я понимаю именно в цисках. Но циски эти стоят совершенно в разных концах сети и принадлежат разным компаниям.
Вот и возникает вопрос: "Почему они себя так ведут?".
Админы цисок пребывают в недоумении...
Приветствуются любые идеи на этот счет!
Может быть на этих цисках включен зачем то proxy-arp?
>Может быть на этих цисках включен зачем то proxy-arp?
По заверениям админов не включено.
Да и как прокси арп может отвечать на запросы своим маком? Этож от куда руки должны расти...PS Я думал на эту тему и общался с админами.
>>Может быть на этих цисках включен зачем то proxy-arp?
>По заверениям админов не включено.
>Да и как прокси арп может отвечать на запросы своим маком? Этож
>от куда руки должны расти...
>
>PS Я думал на эту тему и общался с админами.А Циски между собой никак не связаны ?
Похоже работает "ARP с представителем"
proxy-arp включено на всех интерфейсах маршрутизаторов cisco
Надо выключить эту фичу на конкретном интерфейсе(ах) командой
no ip proxy-arp
>proxy-arp включено на всех интерфейсах маршрутизаторов cisco
>Надо выключить эту фичу на конкретном интерфейсе(ах) командой
>
>no ip proxy-arpДействительно это и было решеинем проблемы!
Я потрясен! Зачем на маршрутизаторах Cisco по умолчанию оставлять включенным arp proxy???? По моему это не очень правильно... =(Остался не понятным момент чем им не понравился имено один из ипов? В этой подсети около 20 машин.
И вторй непонятный момент, что когда мы отключили proxy arp на одной машине через несколько минут перестала выдавать ложные ответы и вторая машина без выключения proxy на ней...Огромное спасибо за ответ!