Les paquets ARP avec IP dupliquée sont reçus fréquemment

15 0 0 0

Bonjour, aujourd'hui, je voudrais partager avec vous un cas dans lequel l'interface du commutateur reçoit fréquemment des paquets ARP avec des adresses IP en double.

Description du problème

Le client voit périodiquement ce message dans les journaux:

20 août 2019 12:05:09 DS-HUAWEI-L3-stack %% 01ARP / 4 / ARP_DUPLICATE_IPADDR (l) [795]: Reçu un paquet ARP avec une adresse IP en double de l'interface. (IpAddress = 10.xx.41.100, InterfaceName = Vlanif114, MacAddress = f84f-xxxx-9289)

Quelle est la cause de cela?

Processus de manipulation

Causes possibles:

1. L'adresse IP source du paquet ARP était la même que l'adresse IP de l'interface qui a reçu le paquet ARP.

2. L'appareil reçoit un paquet ARP de sonde.

L'adresse IP source est 0.0.0.0, l'adresse IP de destination est la même que l'adresse IP de l'interface entrante qui reçoit le paquet, mais l'adresse MAC source est différente de l'adresse MAC de l'interface entrante.

Le processus est le suivant:

1. Vérifiez et confirmez qu'aucune autre interface du réseau n'est configurée avec la même adresse IP.

2. Confirmez que l'interface n'est pas attaquée.

3. Vérifiez l'adresse mac du terminal f84f-xxxx-9289, il est constaté que l'adresse MAC appartient à l'interface Cisco Sw3 gig0 / 1.

4. Selon les paquets capturés, le commutateur Cisco envoie un grand nombre de paquets de sonde ARP (l'adresse IP source est 0.0.0.0).

Le commutateur Cisco envoie gratuitement-arp pour détecter la liaison physique, et l'IP source est 0.0.0.0. L'IP source n'est pas utilisée, le commutateur Huawei affiche donc des alarmes.

Cause première

Lorsque le commutateur Huawei reçoit les paquets de sondes ARP en conflit, il enregistre les journaux et informe l'administrateur ( en signalant des alarmes) . Cela répond aux exigences de la RFC 5227 .

1


Et selon la RFC, l'appareil n'est pas autorisé à envoyer périodiquement des messages de détection. Les commutateurs Cisco envoient fréquemment des paquets de détection, ce qui ne répond pas aux exigences RFC.


2

Nous pensons donc que le périphérique Cisco ne doit pas utiliser les paquets de sonde comme les paquets keepalive.

Le lien RFC:

http://www.ietf.org/rfc/rfc5227.txt

Solution

1. Si vlanif1 est utilisé pour communiquer avec le périphérique Cisco, refusez vlan 1 sur l'interface qui se connecte au cisco.

interface XGigabitEthernetx / x / x

annuler le tronc du port allow-pass vlan 1

2. Si vlanif1 communique avec le périphérique Cisco, désactivez l'alarme sur le commutateur Huawei comme suit.

3
3. Cela peut être dû à des commandes spéciales sur les appareils Cisco. Il est recommandé au client de vérifier le périphérique Cisco ultérieurement.


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier