Joe*_*oel 10 networking dhcp routing internet
今天,我们有许多机器停止访问互联网。经过大量故障排除后,共同点是他们今天都更新了 dhcp 租约(我们在这里租用 8 天)。
续租后,您所期望的一切看起来都不错:它们具有有效的 IP 地址、DNS 服务器和网关。他们可以访问内部资源(文件共享、内联网、打印机等)。更多的故障排除表明他们无法 ping 或跟踪到我们的网关,但他们可以到达网关前面的核心第 3 层交换机。为机器分配静态 IP 作为临时解决方案。
最后一个问题是,到目前为止,报告只针对与网关位于同一 vlan 的客户端。我们的管理人员和教职员工与服务器和打印机在同一个 vlan 中,但是电话、密钥卡/相机、学生/wifi 和实验室都有自己的 vlan,据我所知,其他 vlan 上什么都没有已经有问题了。
我与网关供应商有单独的票证,但我怀疑他们会轻松地告诉我问题出在网络的其他地方,所以我也在这里问。我已经清除了网关和核心交换机上的 arp 缓存。欢迎任何想法。
更新:
我尝试从网关 ping 回一些受影响的主机,奇怪的是我确实得到了响应:来自一个完全不同的 IP 地址。我随机尝试了一些,最终得到了这个:
2011 年 9 月 2 日星期五 13:08:51 GMT-0500(中部夏令时) PING 10.1.1.97 (10.1.1.97) 56(84) 字节数据。 来自 10.1.1.105 的 64 个字节:icmp_seq=1 ttl=255 time=1.35 ms 来自 10.1.1.97 的 64 个字节:icmp_seq=1 ttl=255 时间=39.9 ms(DUP!)
10.1.1.97 是 ping 的实际预期目标。10.1.1.105 应该是另一栋楼的打印机。我以前从未在 ping 响应中看到过 DUP。
我目前最好的猜测是在我们 10.1.1.0/24 子网上的一个宿舍里有一个流氓 wifi 路由器,网关坏了。
...继续。我现在已经关闭了有问题的打印机,并且从网关 ping 到受影响的主机完全失败。
更新 2:
我在受影响的机器、网关以及它们之间的每个交换机上检查 arp 表。在每一点上,这些设备的条目都是正确的。我没有验证表中的每个条目,但每个可能影响主机和网关之间流量的条目都没有问题。ARP 不是问题。
更新 3:目前
一切正常,但我看不到我为修复它们所做的任何事情,所以我不知道这是否可能只是暂时的平静。无论如何,我现在无法进行诊断或故障排除,但如果它再次中断,我会更新更多。
“我目前最好的猜测是,我们一间宿舍的 10.1.1.0/24 子网上有一个恶意 WiFi 路由器,网关有问题。”
这件事发生在我的办公室。问题设备原来是一个流氓 Android 设备:
http://code.google.com/p/android/issues/detail?id=11236
如果 Android 设备通过 DHCP 从另一个网络获取网关的 IP,它可能会加入您的网络并开始使用其 MAC 响应网关 IP 的 ARP 请求。您使用通用 10.1.1.0/24 网络会增加出现这种恶意场景的可能性。
我能够检查网络上受影响的工作站上的 ARP 缓存。在那里,我观察到一个 ARP 流量问题,即工作站会在正确的 MAC 和来自某些恶意设备的 MAC 地址之间翻转。当我查找工作站的网关的可疑 MAC 时,它返回了一个 Samsung 前缀。遇到问题的工作站的精明用户回答说,他知道谁在我们的网络上拥有三星设备。原来是CEO。
| 归档时间: |
|
| 查看次数: |
2604 次 |
| 最近记录: |