故障現(xiàn)象:某局點(diǎn)整棟樓�,每個(gè)樓層都有部分用戶反饋,開機(jī)或者休眠后,電腦提示IP地址沖突等一會(huì)兒����,又可以正常入網(wǎng)��。
第一:查看電腦上提示ip沖突�,是什么ip發(fā)生的沖突,從下圖可以看出是0.0.0.0的ip地址與某硬件設(shè)備發(fā)送了沖突
第二步:查找組網(wǎng)中該mac地址所對(duì)應(yīng)的硬件設(shè)備�,排查后,沖突地址均為S5130-52S-PWR-EI的mac地址
第三步對(duì)現(xiàn)象分析: 通過分析出現(xiàn)問題的用戶電腦系統(tǒng)日志���,所有日志顯示都是為: 系統(tǒng)檢測(cè)到IP地址為0.0.0.0和硬件地址沖突(硬件地址是S5130 H3C交換機(jī)的MAC地址) 0.0.0.0較特殊的一個(gè)ip地址 普通windows的PC電腦���,在電腦未正式入網(wǎng)以前或者拿不到IP時(shí)��,系統(tǒng)的IP地址一般是會(huì)就是0.0.0.0或者169.254地址�。
第四步抓包對(duì)流量進(jìn)行分析:
第一次抓包
192.168.100.70/69 兩臺(tái) S5130-28S/52S交換機(jī)發(fā)出的第一次ARP包�����,定向發(fā)至192.168.244.239 和28 (239 IP在1小時(shí)以前���,就已經(jīng)手動(dòng)移除��。 28為領(lǐng)導(dǎo)的IP���,持續(xù)時(shí)間10多分鐘左右)
分析:S5130交換機(jī)向網(wǎng)絡(luò)通告,我的0.0.0.0 IP地址��,定向向192.168.244.28.請(qǐng)求��。 但是244.28主機(jī)是不會(huì)回復(fù)“這種不合規(guī)”的報(bào)文��。
第二次抓包
(192.168.100.69的5130交換機(jī)此時(shí)已經(jīng)被替換為5120交換機(jī)��,100.70交換機(jī)已經(jīng)升級(jí)至較新版本)
192.168.100.70 S5130-28S交換機(jī)發(fā)出的第一個(gè)包����,后面持續(xù)定向發(fā)至192.168.244.238 (但是此IP在30分鐘以前,就已經(jīng)被手動(dòng)刪除���。改為了192.168.236.238了)���,持續(xù)13分鐘。
192.168.236.238向192.168.236.254發(fā)送arp包是正常的��,當(dāng)254不通��。會(huì)一直發(fā)����。
解決方法初步定位:
通過分析判斷原因?yàn)椋谟脩綦娔X開機(jī)或者休眠恢復(fù)時(shí)�,準(zhǔn)備重新加入網(wǎng)的時(shí)候,電腦的IP為系統(tǒng)保留地址IP 0.0.0.0/169.254.XX����,但在電腦入網(wǎng)之前,立即就收到“H3C交換機(jī)”定向發(fā)送的ARP報(bào)文(源:交換機(jī)MAC+源IP:0.0.0.0)����,此時(shí)電腦檢測(cè)到0.0.0.0 IP地址和系統(tǒng)的保留地址一樣�,產(chǎn)生沖突提示����。
因此需要看為什么設(shè)備會(huì)發(fā)出這樣的arp報(bào)文
終端都是配置的靜態(tài)ip地址,沒有dhcp的配置����,走的dot1x認(rèn)證
上文中的ip移除與現(xiàn)場(chǎng)確認(rèn)過是ip直接手動(dòng)修改掉
進(jìn)一步定位:
針對(duì)報(bào)告進(jìn)行了配置的查看,配置比較干凈��,也沒有查到日志中有異常��,關(guān)于arp的配置有以下兩個(gè)
vlan 244
description youxian-yewu
arp snooping enable
#
arp source-suppression enable
arp source-suppression limit 20
#
確認(rèn)vlan244是用戶vlan
也和代理商確認(rèn)過s5120沒有開啟arp snooping
懷疑是arp snooping開啟的緣故��,但是查看配置指導(dǎo)并未指出arp snooping會(huì)主動(dòng)發(fā)出arp報(bào)文����,因此找產(chǎn)品線進(jìn)行確認(rèn)
較終定位:
現(xiàn)場(chǎng)5130上vlan224配置了arp snooping:
ARP Snooping表項(xiàng)的老化時(shí)間為25分鐘,有效時(shí)間為15分鐘����。
如果一個(gè)ARP Snooping表項(xiàng)自較后一次更新后12分鐘內(nèi)沒有收到ARP更新報(bào)文,設(shè)備會(huì)向外主動(dòng)發(fā)送一個(gè)ARP請(qǐng)求進(jìn)行探測(cè);
但現(xiàn)場(chǎng)5130做二層交換機(jī)��,vlan224并沒有配置地址,因此發(fā)送這個(gè)arp探測(cè)時(shí)����,使用的源地址只能填充0.0.0.0���,實(shí)驗(yàn)室用三臺(tái)交換機(jī)復(fù)現(xiàn)出來(lái)了類似的現(xiàn)象:
Sw1(100.100.100.101)---sw2(只二層透?jìng)?���,配置arp snooping)---sw3(100.100.100.102)
在正常情況下在sw2上查看arp snooping表項(xiàng)為:
[2074-S7500E]dis arp snooping vlan 100
IP address MAC address VLAN ID Interface Aging Status
100.100.100.102 84d9-3123-a801 100 GE1/4/0/4 15 Valid
100.100.100.101 84d9-3123-b801 100 GE1/4/0/1 15 Valid
當(dāng)老化時(shí)間到了12分鐘�,在SW1和SW2上可以收到如下arp報(bào)文:
<2032-s10504>*May 30 21:01:59:597 2021 2032-s10504 ARP/7/ARP_RCV: -MDC=1-Chassis=1-Slot=4; Received an ARP message, operation: 1, sender MAC: 3c8c-40c6-7e00, sender IP: 0.0.0.0, target MAC: 84d9-3123-b801, target IP: 100.100.100.101
源IP為全0,源mac為SW2的mac地址��,目的ip目的mac均為SW1上的地址���。
與現(xiàn)場(chǎng)不同的是���,交換機(jī)SW1收到這個(gè)arp請(qǐng)求后會(huì)回復(fù),PC的機(jī)制不太清楚����,應(yīng)該會(huì)認(rèn)為IP沖突不會(huì)回復(fù)。
<2032-s10504>*May 30 21:01:59:597 2021 2032-s10504 ARP/7/ARP_RCV: -MDC=1-Chassis=1-Slot=4; Received an ARP message, operation: 1, sender MAC: 3c8c-40c6-7e00, sender IP: 0.0.0.0, target MAC: 84d9-3123-b801, target IP: 100.100.100.101
*May 30 21:01:59:597 2021 2032-s10504 ARP/7/ARP_SEND: -MDC=1-Chassis=1-Slot=4; Sent an ARP message, operation: 2, sender MAC: 84d9-3123-b801, sender IP: 100.100.100.101, target MAC: 3c8c-40c6-7e00, target IP: 100.100.100.101
綜上��,現(xiàn)場(chǎng)PC收到源IP全0的arp請(qǐng)求的原因是�,在二層交換機(jī)上開啟了arp snooping���,設(shè)備在12分鐘內(nèi)沒有收到arp更新就會(huì)發(fā)出源IP全0的arp探測(cè)報(bào)文,如果在12分鐘內(nèi)�����,有arp更新則不會(huì)發(fā)���。
因此建議現(xiàn)場(chǎng)關(guān)閉arp snooping�。后問題未復(fù)現(xiàn)��。
