Что делает DAI, если у коммутатора нет записи о соответствии ip-mac? Т.е. включили DHCP-snooping, потом сразу DAI. Коммутатор будет сразу отбрасывать все arp пакеты, так как не будет находить соответствия? В документации Cisco не нашел.
> Что делает DAI, если у коммутатора нет записи о соответствии ip-mac? Т.е.
> включили DHCP-snooping, потом сразу DAI. Коммутатор будет сразу отбрасывать все arp
> пакеты, так как не будет находить соответствия? В документации Cisco не
> нашел.Маршрутизатор после включения DAI будет блокировать arp трафик от хостов которых не будет в таблице ip source binding, ее можно посмотреть соответсвующей командой 'show ip source binding', таблица ip dhcp snooping binding моментально реплицируется в таблицу ip source binding. В ip source binding можно вносить статические записи.
Есть также не большая фича работы DAI - после ее включения часть хостов arp-записи которых были внесены в арп-таблицу маршрутизатора до включения DAI будут успешно продолжать работать до истечения жизни arp-записи на маршутизаторе, чтобы мгновенно запретить работу таких хостов через маршрутизатор нужно очистить arp-таблицу (clear arp), у всех хостов пропадет на пару секунд связь так как на маршрутизаторе начнет отрабатывать arp-протокол по всем активным хостам, если маршрутизатор обслуживает много клиентов, лучше точечно почистите arp-таблицы ip-интерфейсов на которых вы включили DAI (для vlan-а будет выглядеть так 'clear arp int vlan XX').
Если хотите использовать DAI в связке c dhcp snooping-ом, для обеспечения более мягкой интеграции DAI дайте dhcp-snooping-у поработать сутки (в идеале должен работать чуть больше времени аренды (lease time) ip адресов выдываемых ваших DHCP-сервером).
Периодически возникают следующие ошибки:
Jan 31 13:13:34.861: %SW_DAI-4-PACKET_RATE_EXCEEDED: 90 packets received in 25 milliseconds on Fa3/0/8.
Jan 31 13:13:34.861: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa3/0/8, putting Fa3/0/8 in err-disable stateТ.е. от произвольного компьютера в сети идет больше 15 arp-пакетов в секунду (15 - это дефолтный параметр для untrusted порта). Кто это может быть? Грешу на работу Computer Browser в Windows. От этих же компьютеров идут следующие arp запросы:
002803: Jan 31 13:06:24.872: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa3/0/8, vlan 200.([001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222/13:06:24 msk Mon Jan 31 2011])>[оверквотинг удален]
> маршутизаторе, чтобы мгновенно запретить работу таких хостов через маршрутизатор нужно
> очистить arp-таблицу (clear arp), у всех хостов пропадет на пару секунд
> связь так как на маршрутизаторе начнет отрабатывать arp-протокол по всем активным
> хостам, если маршрутизатор обслуживает много клиентов, лучше точечно почистите arp-таблицы
> ip-интерфейсов на которых вы включили DAI (для vlan-а будет выглядеть так
> 'clear arp int vlan XX').
> Если хотите использовать DAI в связке c dhcp snooping-ом, для
> обеспечения более мягкой интеграции DAI дайте dhcp-snooping-у поработать сутки (в идеале
> должен работать чуть больше времени аренды (lease time) ip адресов выдываемых
> ваших DHCP-сервером).
>[оверквотинг удален]
>> хостам, если маршрутизатор обслуживает много клиентов, лучше точечно почистите arp-таблицы
>> ip-интерфейсов на которых вы включили DAI (для vlan-а будет выглядеть так
>> 'clear arp int vlan XX').
>> Если хотите использовать DAI в связке c dhcp snooping-ом, для
>> обеспечения более мягкой интеграции DAI дайте dhcp-snooping-у поработать сутки (в идеале
>> должен работать чуть больше времени аренды (lease time) ip адресов выдываемых
>> ваших DHCP-сервером).
> Т.е. от произвольного компьютера в сети идет больше 15 arp-пакетов в секунду
> (15 - это дефолтный параметр для untrusted порта). Кто это может
> быть?На физическем интерфейсе работает ОБЩИЙ счетчик arp-пакетов, а не отдельно по каждому хосту сети. В вашем случае правильно сделать вывод: "На сегменте сети подкюченной к интерфейсу Fa3/0/8 превышен установленный лимит arp-трафика и составляет более 15 пакетов в секунду". Сколько хостов подключено к интерфейсу Fa3/0/8 ? Установите на физическом интерфейсе лимит исходя от колличества хостов в сети.
> 002803: Jan 31 13:06:24.872: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa3/0/8,
> vlan 200.([001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222/13:06:24 msk Mon
> Jan 31 2011])Технология DAI дропнула пакет от хоста которого нет в таблице dhcp snooping binding, ничего криминального, в худшем случае кто-то пытается провернуть атаку man-in-middle (что вряд ли), а скорее всего кто-то просто сидит со статически установленным ip/mask
> На физическем интерфейсе работает ОБЩИЙ счетчик arp-пакетов, а не отдельно по
> каждому хосту сети. В вашем случае правильно сделать вывод: "На сегменте
> сети подкюченной к интерфейсу Fa3/0/8 превышен установленный лимит arp-трафика и составляет
> более 15 пакетов в секунду". Сколько хостов подключено к интерфейсу Fa3/0/8
> ? Установите на физическом интерфейсе лимит исходя от колличества хостов в
> сети.В том то и оно, что на этом порту висит один хост, такое возникает время от времени на некоторых портах, хотя компьютеры у нас внутри сегмента между собой теоретически общаться не должны. Во всяком случае не должны разрешать по 20-20 хостов в секунду.
> Технология DAI дропнула пакет от хоста которого нет в таблице dhcp
> snooping binding, ничего криминального, в худшем случае кто-то пытается провернуть атаку
> man-in-middle (что вряд ли), а скорее всего кто-то просто сидит со
> статически установленным ip/maskМеня смущает нулевой ip-адрес и нулевой мак-адрес. При этом на порту коммутатора виден реальный мак-адрес компьютера.
>[оверквотинг удален]
>> Технология DAI дропнула пакет от хоста которого нет в таблице dhcp
>> snooping binding, ничего криминального, в худшем случае кто-то пытается провернуть атаку
>> man-in-middle (что вряд ли), а скорее всего кто-то просто сидит со
>> статически установленным ip/mask
> Меня смущает нулевой ip-адрес и нулевой мак-адрес. При этом на порту коммутатора
> виден реальный мак-адрес компьютера.
> В том то и оно, что на этом порту висит один хост,
> такое возникает время от времени на некоторых портах, хотя компьютеры у
> нас внутри сегмента между собой теоретически общаться не должны. Во всяком
> случае не должны разрешать по 20-20 хостов в секунду.Скорее всего компьютер заражен вирусом который генерирует паразитный arp-трафик, или с компьютера пользуются специфичным софтом (например сетевой сканер). И почему вы решили что компьютеры теоретически общаться не должны внутри сети, чем заблокировали такую возможность ?
> Меня смущает нулевой ip-адрес и нулевой мак-адрес. При этом на порту коммутатора
> виден реальный мак-адрес компьютера.001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222 Поля обозначают следующее (слева-направо): sender mac, sender ip, target mac, target ip. Т.е. Хост с MAC-адресом 001c.2536.bbfc послал arp-запрос на хост 172.16.134.222, этот запрос дропнул DAI так как связки mac-ip для mac=001c.2536.bbfc в таблице ip source binding (ip dhcp snooping binding) нет.
> Скорее всего компьютер заражен вирусом который генерирует паразитный arp-трафик, или
> с компьютера пользуются специфичным софтом (например сетевой сканер). И почему вы
> решили что компьютеры теоретически общаться не должны внутри сети, чем заблокировали
> такую возможность ?Начинаю подозревать работу модных фишек на win 7, скорее всего поиск UPNP устройств в сети, но пока не уверен.
> 001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222 Поля обозначают следующее (слева-направо):
> sender mac, sender ip, target mac, target ip. Т.е. Хост с
> MAC-адресом 001c.2536.bbfc послал arp-запрос на хост 172.16.134.222, этот запрос дропнул
> DAI так как связки mac-ip для mac=001c.2536.bbfc в таблице ip source
> binding (ip dhcp snooping binding) нет.Значение полей в арп-запросе понятно, в том то и оно, что привязка из DHCP-snooping есть, он его блочит именно за нулевой ip-адрес видимо.
>[оверквотинг удален]
>> такую возможность ?
> Начинаю подозревать работу модных фишек на win 7, скорее всего поиск UPNP
> устройств в сети, но пока не уверен.
>> 001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222 Поля обозначают следующее (слева-направо):
>> sender mac, sender ip, target mac, target ip. Т.е. Хост с
>> MAC-адресом 001c.2536.bbfc послал arp-запрос на хост 172.16.134.222, этот запрос дропнул
>> DAI так как связки mac-ip для mac=001c.2536.bbfc в таблице ip source
>> binding (ip dhcp snooping binding) нет.
> Значение полей в арп-запросе понятно, в том то и оно, что привязка
> из DHCP-snooping есть, он его блочит именно за нулевой ip-адрес видимо.Вообще согласно протоколу арп в арп-запросе хост обязан указывать свой ip адрес (чтобы хост на который направлен арп-запрос знал на какой ip отправить арп-ответ). ARP протокол находится на сетевом уровне моделей OSI/Internet, и идеологически не должен отрабатывать если на сетевом адаптере не установлен ip-адрес (работа arp становится бессмысленной).
Мое виденье данной ситуации - это не каноническая реализация стэка протоколов TCP/IP на Windows, может быть Windows отправляет такого рода арп-запросы (когда в ip sender указано 0.0.0.0) в момент времени когда хост еще на получил ip-адрес от dhcp сервера (либо не установлен вообще), тогда такие сообщения на маршрутизаторе теоретически могут появляться 1-2 раза в день на каждый хост (по кол-ву перезагрузок), либо опять же специфичный софт генерирует такого рода arp-запросы или вирус пытается досить arp-запросами хосты в сети, ведь мы знаем, что работа arp-протокола полностью ложится на центральный процессор ;) в этом случае arp-request's rate должен быть достаточно большим.
> Мое виденье данной ситуации - это не каноническая реализация стэка
> протоколов TCP/IP на Windows, может быть Windows отправляет такого рода арп-запросы
> (когда в ip sender указано 0.0.0.0) в момент времени когда хост
> еще на получил ip-адрес от dhcp сервера (либо не установлен вообще),
> тогда такие сообщения на маршрутизаторе теоретически могут появляться 1-2 раза в
> день на каждый хост (по кол-ву перезагрузок), либо опять же специфичный
> софт генерирует такого рода arp-запросы или вирус пытается досить arp-запросами хосты
> в сети, ведь мы знаем, что работа arp-протокола полностью ложится на
> центральный процессор ;) в этом случае arp-request's rate должен быть достаточно
> большим.С нулевым адресом разобрался - это Win при выходе из сна или включении опрашивает сеть, чтобы исключить конфликт адресов:
003669: Feb 3 13:02:46.154: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa2/0/26, vlan 200.([001d.6074.fb17/0.0.0.0/0000.0000.0000/172.16.129.62/13:02:45 msk Thu Feb 3 2011])
003670: Feb 3 13:02:47.177: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa2/0/26, vlan 200.([001d.6074.fb17/0.0.0.0/0000.0000.0000/172.16.129.62/13:02:46 msk Thu Feb 3 2011])
003671: Feb 3 13:02:47.177: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa2/0/26, vlan 200.([001d.6074.fb17/0.0.0.0/0000.0000.0000/169.254.97.237/13:02:46 msk Thu Feb 3 2011])
msk-3fl-003-sw#
003672: Feb 3 13:02:48.192: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa2/0/26, vlan 200.([001d.6074.fb17/0.0.0.0/0000.0000.0000/172.16.129.62/13:02:47 msk Thu Feb 3 2011])
003673: Feb 3 13:02:48.192: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa2/0/26, vlan 200.([001d.6074.fb17/0.0.0.0/0000.0000.0000/169.254.97.237/13:02:47 msk Thu Feb 3 2011])Вот это сгенерил по АРП компьютер с адресом 172.16.129.62. А вот исполнение кривое, в поле адрес отправителя стоят нули, поэтому DAI и блочит этот пакет, т.к. в DHCP Snooping-е есть привязка этого адреса к его 001d.6074.fb17 В итоге компьютер все равно оставил себе этот ip-адрес, т.к. ответов не получил))