标签: arp

我开始管理一个小型但混乱且记录不完整的本地异构网络（主要是 Windows 工作站、打印机、实验室设备等和一个 Linux/Samba 服务器）（192.168.1.0/24），占地数百平方米的办公室和厂区分两层。原则上我可以访问所有密码和房间。实际上，有些办公室是锁着的，业主不在，可能有一些隐藏的设备，我无法联系到的人已连接到 LAN 或插入并完全忘记了这些设备。

在配置打印机时（我们有很多），我有时会收到碰撞警告。大多数设备通过 DHCP 获取 IP，但不是全部。某些设备使用防火墙阻止端口和/或出于其他原因不响应 ping。

我想扫描网络以查找使用过的 IP - 现在手动，稍后可能会自动扫描几次，以捕获在第一次扫描期间关闭的固定 IP 设备。

执行此类扫描的最佳方法是什么，我应该使用什么工具？由于预算有限，而且这项任务可能不需要定期完成，我更喜欢免费的开源解决方案。

我正在设置一个具有两个 NIC 的 SUSE 11 机器：

eth0 - 192.168.10.150/24 - 00.0C.29.DC.10.CA (MAC)
eth1 - 192.168.10.151/24 - 00.0C.29.DC.10.DE (MAC)

我需要在同一个子网中，因为它们将 ne 连接到另一个设备（存储）点对点。但是我在安装时发现了一些东西；从工作站做 ARPs 我发现下面的行为

[root@workstation ~]# arp -n
地址 HWtype HWaddress Flags 掩码接口
192.168.10.151 以太 00:0C:29:DC:10:CA C eth0
192.168.10.150 以太 00:0C:29:DC:10:CA C eth0

如您所见，它就像eth0获取了所有请求。事实上，如果我断开电缆与eth1IP的连接，.151仍然可以 ping 通；这不是我想要的。如果我断开与eth0所有 IP.150 - .151都无法 ping的电缆的连接，那么何时.151仍然可以访问。

为什么会这样？我eth0只需要绑定到.150和eth1只绑定到.151. 似乎 eth0 拥有这些 IP。

这不起作用：

net.ipv4.conf.all.arp_ignore=1
net.ipv4.conf.all.arp_announce=2

这也不是

net.ipv4.conf.default.arp_filter=1
net.ipv4.conf.all.arp_filter=1 …

我通过 Wireshark 发现我的子网扫描网络中的一台计算机（为我子网中的每个 IP 地址发送 ARP。即使没有具有此类地址的计算机）。

它无限重复。这台计算机每秒大约有 200 个 ARP。

10.162.4.41 广播 ARP 60 谁有 10.162.118.186？告诉 10.162.4.41

我们已经用多种杀毒软件扫描了这台计算机，但没有发现恶意软件。
电脑上有什么软件可以无限扫描？

我有一个接口，我可以通过它的 IP 来 arping，但不能通过它的 MAC 地址：

# arping -i eth2 10.10.0.153
ARPING 10.10.0.153
60 bytes from 02:68:b3:29:da:98 (10.10.0.153): index=0 time=81.062 usec
60 bytes from 02:68:b3:29:da:98 (10.10.0.153): index=1 time=46.968 usec
60 bytes from 02:68:b3:29:da:98 (10.10.0.153): index=2 time=73.910 usec
60 bytes from 02:68:b3:29:da:98 (10.10.0.153): index=3 time=46.968 usec

# arping -i eth2 02:68:b3:29:da:98
ARPING 02:68:b3:29:da:98
(no reply)

我的网络上的其他接口没有这个问题。导致这种情况的可能问题是什么？

我在 Ubuntu 12.04 上运行。

我在 ISP 提供的 LAN 上。我的电脑有它的 IP 地址、子网掩码、默认网关、DNS 服务器（使用 DHCP）。

我只想查看局域网上所有计算机的 MAC 地址。

1. 应用子网掩码/18或255.255.192.0在我的 IP 上应用后，我得到：182.3.64.0
2. 这给了我 16384 个 IP 地址，范围从182.3.64.0到182.3.127.255
3. 不能使用第一个和最后一个 IP 地址，因为它们分别是网络地址和广播地址。
4. 因此，我的子网或本地网络包含 16382 台主机/计算机。对？换句话说，这些 16382 台主机位于单个路由器之后。

我想看看这些主机的mac地址。所以，我 ping 了所有这些，图片显示了结果：

我的想法：

我不明白为什么他们都有相同的 Mac 地址。但现在，如果我想多一点。单个路由器后面的 16382 台主机意味着过多的广播流量（ARP 广播）。这是不可取的。同时，它们不能连接到不同的路由器，因为这意味着它们位于不同的网络上。可能它们在不同的 VLAN 上（我对 VLAN 了解不多，但我只知道它有助于减少广播流量）。

我不明白我的问题是什么。请确定我出了什么问题？

编辑：我收到的 MAC 地址是我的默认网关的 MAC。

我正在评估使用第 2 层交换机和 VLAN 对我们的网络进行子网划分。据我所知，VLAN 只在广播域工作，如果我知道同一台交换机上远程计算机的 MAC 地址，我可以通过将 MAC 地址映射到我自己的 ARP 表来完全绕过 VLAN 安全。那是对的吗？

谢谢

在 Solaris 10 中，我可以使用以下命令配置（和审计） arp_cleanup_interval 变量：

$ ndd -get /dev/arp arp_cleanup_interval
300000

在 Solaris 11（速成版和发行版）中，相同的命令返回“未知属性”错误：

$ ndd -get /dev/arp arp_cleanup_interval
operation failed: Unknown property

有谁知道此变量是否已更改或已从 Solaris 11 中删除？

我正在运行 Linux，我知道我的网关将始终为 192.168.1.254，MAC 地址为 aa:aa:aa:aa:aa:aa。

有什么方法可以指示我的机器只将此 MAC 地址用于网关并忽略此 IP 地址的所有 ARP 响应？

请让我先说我不是网络专家，我是一名程序员，做了大量的 L3/4 编程。

我的问题是，当交换机接收到目标 MAC 的数据包时，无论出于何种原因，在其表 arp 表中都找不到。执行的动作是什么？他们发送arp吗？在所有输出接口上发送数据包？

据我所知，地址解析协议（ARP），是将本地网络中计算机的IP地址转换为等效的第2层地址（MAC地址），例如使用2级交换机将数据包从机器A发送到B .

因此，所有相关方都必须在同一个 LAN 上，不是吗？

ARP 广播查询包必须包含目标节点的 MAC 地址吗？

也许只有IP地址就足够了？