客户端配置静态地址后交换机学习不到arp 信息

发布时间:  2014-09-12 浏览次数:  577 下载次数:  0
问题描述
1.S9700(网关)-------S5700(二层)--------服务器/笔记本,服务器修改地址后S97上学不到地址,显示为Incomplete
10.3.2.70       02bf-0a03-0246        S/302     GE3/0/0       
10.3.2.1        200b-c72b-d704        I         Vlanif302       
10.3.2.51       bc16-650b-2089   20   D/302     GE3/0/5       
10.3.2.53       0015-5d02-4013   19   D/302     GE3/0/4       
10.3.2.59       Incomplete        1   D         Vlanif302

修改地址后,运行ipconfig可以看到,更换的地址状态为Duplicate,而默认的169.254.x.x成了preferred的,如下图

禁用笔记本DHCP Client服务,还是这个问题,效仿笔记本重启服务器(该服务器为虚拟服务器),禁用/启用网卡等措施都没用。

插拔服务器与交换机接口后,该接口GE 1/0/5学不到任何MAC了。

客户一台正常上网的服务器修改为其他未使用地址,再修改回原来的地址,也不能上网了。


告警信息
此时S97上有提示(这个source是另外一台笔记本的IP和MAC,我们用多台笔记本进行过测试):
Dec 11 2013 22:34:42+04:00 TB4_GF_R4_S97 %%01ARP/4/ARP_PKT_CHECK(l):CID=0x807703fb;Invalid packet. (SourceInterface=Vlanif302, SourceIP=169.254.189.164, SourceMAC=88ae-1db5-5573, VLAN=302, INNER-VLAN=0)
Dec 11 2013 22:29:10+04:00 TB4_GF_R4_S97 %%01ARP/4/ARP_PKT_CHECK(l):CID=0x807703fb;Invalid packet. (SourceInterface=Vlanif302, SourceIP=169.254.43.147, SourceMAC=0015-5d03-3305, VLAN=302, INNER-VLAN=0)


处理过程
通过排查发现客户环境中确实存ARP攻击,导致客户端发出arp request 被ARP攻击服务器响应,导致S97设备上无法学习到ARP信息。
根因
169.254.x.x是一个本地地址,类似于IPV6的link local地址,一般出现这个IP地址,如果出现了那么最大的可能性是:

1.无法从DHCP服务器获取到IP地址;

2.手动指定了IP地址,但是该地址却和其它设备冲突了;

3.有ARP攻击,无论你的IP地址修改成什么,在你发免费ARP探测是否有冲突IP地址的时候,它总会给你回复IP地址已经被它占用。

建议与总结
建议在网络设计的时候注意ARP防攻击部署。

END