Bonjour, aujourd'hui, je voudrais partager avec vous un cas dans lequel l'interface du commutateur reçoit fréquemment des paquets ARP avec des adresses IP en double.
Description du problème
Le client voit périodiquement ce message dans les journaux:
20 août 2019 12:05:09 DS-HUAWEI-L3-stack %% 01ARP / 4 / ARP_DUPLICATE_IPADDR (l) [795]: Reçu un paquet ARP avec une adresse IP en double de l'interface. (IpAddress = 10.xx.41.100, InterfaceName = Vlanif114, MacAddress = f84f-xxxx-9289)
Quelle est la cause de cela?
Processus de manipulation
Causes possibles:
1. L'adresse IP source du paquet ARP était la même que l'adresse IP de l'interface qui a reçu le paquet ARP.
2. L'appareil reçoit un paquet ARP de sonde.
L'adresse IP source est 0.0.0.0, l'adresse IP de destination est la même que l'adresse IP de l'interface entrante qui reçoit le paquet, mais l'adresse MAC source est différente de l'adresse MAC de l'interface entrante.
Le processus est le suivant:
1. Vérifiez et confirmez qu'aucune autre interface du réseau n'est configurée avec la même adresse IP.
2. Confirmez que l'interface n'est pas attaquée.
3. Vérifiez l'adresse mac du terminal f84f-xxxx-9289, il est constaté que l'adresse MAC appartient à l'interface Cisco Sw3 gig0 / 1.
4. Selon les paquets capturés, le commutateur Cisco envoie un grand nombre de paquets de sonde ARP (l'adresse IP source est 0.0.0.0).
Le commutateur Cisco envoie gratuitement-arp pour détecter la liaison physique, et l'IP source est 0.0.0.0. L'IP source n'est pas utilisée, le commutateur Huawei affiche donc des alarmes.
Cause première
Lorsque le commutateur Huawei reçoit les paquets de sondes ARP en conflit, il enregistre les journaux et informe l'administrateur ( en signalant des alarmes) . Cela répond aux exigences de la RFC 5227 .
Et selon la RFC, l'appareil n'est pas autorisé à envoyer périodiquement des messages de détection. Les commutateurs Cisco envoient fréquemment des paquets de détection, ce qui ne répond pas aux exigences RFC.
Nous pensons donc que le périphérique Cisco ne doit pas utiliser les paquets de sonde comme les paquets keepalive.
Le lien RFC:
http://www.ietf.org/rfc/rfc5227.txt
Solution
1. Si vlanif1 est utilisé pour communiquer avec le périphérique Cisco, refusez vlan 1 sur l'interface qui se connecte au cisco.
interface XGigabitEthernetx / x / x
annuler le tronc du port allow-pass vlan 1
2. Si vlanif1 communique avec le périphérique Cisco, désactivez l'alarme sur le commutateur Huawei comme suit.
3. Cela peut être dû à des commandes spéciales sur les appareils Cisco. Il est recommandé au client de vérifier le périphérique Cisco ultérieurement.
