Leo*_*opd 5 ip arp tcpdump ubuntu-12.04
我们最近在我们的网络上设置了一个新的 Ubuntu 12.04LTS 服务器。它没有完全配置所以它没有做太多超出sshd和默认值apache2安装的。但今天晚上它似乎坠毁了。它没有响应网络或键盘。但最糟糕的是,它关闭了整个网络。
我对 OSI 第 3 层之下的网络堆栈的了解非常有限,所以其余的让我感到困惑。当这台机器物理连接到网络时,没有其他机器可以连接到外部互联网。当事情出问题时,运行arp显示我们网关的 IP 地址 ( 10.0.1.1) 被列为“无效”。将服务器从网络上拔下可以解决问题,然后重新插上又会破坏它。那么崩溃的服务器是在宣传自己拥有网关的 IP 地址吗?
有什么都在syslog期间,当这是造成问题的时间。关于如何找出出了什么问题或我们可以做些什么来防止它再次发生的任何想法?我什至犹豫是否现在将机器重新连接到网络上。
**** 更新 ****
它再次崩溃,我跑tcpdump -penn arp了几分钟(感谢巴哈马特!)并得到了这个......(删除了时间戳和重复的行)
00:1e:65:f8:dc:24 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 10.0.1.1 tell 10.0.2.191, length 46
00:1e:65:f8:dc:24 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 10.0.1.44 tell 10.0.2.191, length 46
60:d8:19:d4:71:d6 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 10.0.1.1 tell 10.0.2.125, length 46
d4:9a:20:04:e9:78 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 192.168.1.1 tell 192.168.1.100, length 28
**** 更新 2 ****
当网络正常运行时,arping -c4 10.0.1.1返回:
ARPING 10.0.1.1
60 bytes from c0:c1:c0:77:25:8e (10.0.1.1): index=0 time=267.982 usec
60 bytes from c0:c1:c0:77:25:8e (10.0.1.1): index=1 time=422.955 usec
60 bytes from c0:c1:c0:77:25:8e (10.0.1.1): index=2 time=299.215 usec
60 bytes from c0:c1:c0:77:25:8e (10.0.1.1): index=3 time=366.926 usec
--- 10.0.1.1 statistics ---
4 packets transmitted, 4 packets received, 0% unanswered (0 extra)
当坏服务器插入时,arping -c4 10.0.1.1返回:
ARPING 10.0.1.1
--- 10.0.1.1 statistics ---
4 packets transmitted, 0 packets received, 100% unanswered (0 extra)
**** 语境 ****
10.0.x.x 是主子网。 10.0.1.1 是主要的互联网网关10.0.1.44 是打印机10.0.2.* 设备都是笔记本电脑/工作站192.168.x.x子网——你的猜测至少和我的一样好。工作站上的虚拟机?错误配置的 WAP?有人重新分享wifi吗?DHCP 失败的机器?cd:80因此未在转储中列出。它应该 DHCP 到10.0.3.3谢谢你的帮助。这些 ARP 的东西对我来说都是巫术。数据包只发送到 IP 地址,对吗?;)
小智 0
嗯,我可以告诉你,192.168.1.x上的机器是发给Apple的MAC地址。
您是否在网关本身上收到 ARP 请求?从交换机转储流量怎么样?听起来 Ubuntu 机器可能会收到不应该发送的 ARP,并且可能会混淆交换机。