https://mobile.opennet.me/openforum/vsluhforumID6/22177.html Что делает DAI, если у коммутатора нет записи о соответствии ip-mac? Т.е. включили DHCP-snooping, потом сразу DAI. Коммутатор будет сразу отбрасывать все arp пакеты, так как не будет находить соответствия? В документации Cisco не нашел.<br> https://mobile.opennet.me/openforum/vsluhforumID6/22177.html#8 Thu, 03 Feb 2011 10:17:49 GMT &gt; Мое виденье данной ситуации - это не каноническая реализация стэка <br>&gt; протоколов TCP/IP на Windows, может быть Windows отправляет такого рода арп-запросы <br>&gt; (когда в ip sender указано 0.0.0.0) в момент времени когда хост <br>&gt; еще на получил ip-адрес от dhcp сервера (либо не установлен вообще), <br>&gt; тогда такие сообщения на маршрутизаторе теоретически могут появляться 1-2 раза в <br>&gt; день на каждый хост (по кол-ву перезагрузок), либо опять же специфичный <br>&gt; софт генерирует такого рода arp-запросы или вирус пытается досить arp-запросами хосты <br>&gt; в сети, ведь мы знаем, что работа arp-протокола полностью ложится на <br>&gt; центральный процессор ;) в этом случае arp-request's rate должен быть достаточно <br>&gt; большим.<br><br>С нулевым адресом разобрался - это Win при выходе из сна или включении опрашивает сеть, чтобы исключить конфликт адресов:<br>003669: Feb 3 13:02:46.154: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa2/0/26, vlan 200.([001d.6074.fb17/0.0.0.0/0000.0000.0000/172.16.129.62/13:02:45 msk Thu Feb https://mobile.opennet.me/openforum/vsluhforumID6/22177.html#7 Tue, 01 Feb 2011 09:21:32 GMT &gt;[оверквотинг удален]<br>&gt;&gt; такую возможность ?<br>&gt; Начинаю подозревать работу модных фишек на win 7, скорее всего поиск UPNP <br>&gt; устройств в сети, но пока не уверен.<br>&gt;&gt; 001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222 Поля обозначают следующее (слева-направо): <br>&gt;&gt; sender mac, sender ip, target mac, target ip. Т.е. Хост с <br>&gt;&gt; MAC-адресом 001c.2536.bbfc послал arp-запрос на хост 172.16.134.222, этот запрос дропнул <br>&gt;&gt; DAI так как связки mac-ip для mac=001c.2536.bbfc в таблице ip source <br>&gt;&gt; binding (ip dhcp snooping binding) нет.<br>&gt; Значение полей в арп-запросе понятно, в том то и оно, что привязка <br>&gt; из DHCP-snooping есть, он его блочит именно за нулевой ip-адрес видимо. <br><br>Вообще согласно протоколу арп в арп-запросе хост обязан указывать свой ip адрес (чтобы хост на который направлен арп-запрос знал на какой ip отправить арп-ответ). ARP протокол находится на сетевом уровне моделей OSI/Internet, и идеологически не должен отрабатывать если на сетевом адаптере не установлен ip-адрес (работа arp становит https://mobile.opennet.me/openforum/vsluhforumID6/22177.html#6 Tue, 01 Feb 2011 08:50:47 GMT &gt; Скорее всего компьютер заражен вирусом который генерирует паразитный arp-трафик, или <br>&gt; с компьютера пользуются специфичным софтом (например сетевой сканер). И почему вы <br>&gt; решили что компьютеры теоретически общаться не должны внутри сети, чем заблокировали <br>&gt; такую возможность ?<br><br>Начинаю подозревать работу модных фишек на win 7, скорее всего поиск UPNP устройств в сети, но пока не уверен.<br><br>&gt; 001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222 Поля обозначают следующее (слева-направо): <br>&gt; sender mac, sender ip, target mac, target ip. Т.е. Хост с <br>&gt; MAC-адресом 001c.2536.bbfc послал arp-запрос на хост 172.16.134.222, этот запрос дропнул <br>&gt; DAI так как связки mac-ip для mac=001c.2536.bbfc в таблице ip source <br>&gt; binding (ip dhcp snooping binding) нет.<br><br>Значение полей в арп-запросе понятно, в том то и оно, что привязка из DHCP-snooping есть, он его блочит именно за нулевой ip-адрес видимо.<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID6/22177.html#5 Tue, 01 Feb 2011 08:28:22 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Технология DAI дропнула пакет от хоста которого нет в таблице dhcp <br>&gt;&gt; snooping binding, ничего криминального, в худшем случае кто-то пытается провернуть атаку <br>&gt;&gt; man-in-middle (что вряд ли), а скорее всего кто-то просто сидит со <br>&gt;&gt; статически установленным ip/mask <br>&gt; Меня смущает нулевой ip-адрес и нулевой мак-адрес. При этом на порту коммутатора <br>&gt; виден реальный мак-адрес компьютера.<br>&gt; В том то и оно, что на этом порту висит один хост, <br>&gt; такое возникает время от времени на некоторых портах, хотя компьютеры у <br>&gt; нас внутри сегмента между собой теоретически общаться не должны. Во всяком <br>&gt; случае не должны разрешать по 20-20 хостов в секунду.<br><br> Скорее всего компьютер заражен вирусом который генерирует паразитный arp-трафик, или с компьютера пользуются специфичным софтом (например сетевой сканер). И почему вы решили что компьютеры теоретически общаться не должны внутри сети, чем заблокировали такую возможность ? <br><br><br><br>&gt; Меня смущает нулевой ip-адрес и нулевой мак-а https://mobile.opennet.me/openforum/vsluhforumID6/22177.html#4 Mon, 31 Jan 2011 12:47:09 GMT &gt; На физическем интерфейсе работает ОБЩИЙ счетчик arp-пакетов, а не отдельно по <br>&gt; каждому хосту сети. В вашем случае правильно сделать вывод: "На сегменте <br>&gt; сети подкюченной к интерфейсу Fa3/0/8 превышен установленный лимит arp-трафика и составляет <br>&gt; более 15 пакетов в секунду". Сколько хостов подключено к интерфейсу Fa3/0/8 <br>&gt; ? Установите на физическом интерфейсе лимит исходя от колличества хостов в <br>&gt; сети.<br><br>В том то и оно, что на этом порту висит один хост, такое возникает время от времени на некоторых портах, хотя компьютеры у нас внутри сегмента между собой теоретически общаться не должны. Во всяком случае не должны разрешать по 20-20 хостов в секунду.<br><br>&gt; Технология DAI дропнула пакет от хоста которого нет в таблице dhcp <br>&gt; snooping binding, ничего криминального, в худшем случае кто-то пытается провернуть атаку <br>&gt; man-in-middle (что вряд ли), а скорее всего кто-то просто сидит со <br>&gt; статически установленным ip/mask <br><br>Меня смущает нулевой ip-адрес и нулевой мак-адрес. При этом на порту к https://mobile.opennet.me/openforum/vsluhforumID6/22177.html#3 Mon, 31 Jan 2011 11:39:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt; хостам, если маршрутизатор обслуживает много клиентов, лучше точечно почистите arp-таблицы <br>&gt;&gt; ip-интерфейсов на которых вы включили DAI (для vlan-а будет выглядеть так <br>&gt;&gt; 'clear arp int vlan XX').<br>&gt;&gt; Если хотите использовать DAI в связке c dhcp snooping-ом, для <br>&gt;&gt; обеспечения более мягкой интеграции DAI дайте dhcp-snooping-у поработать сутки (в идеале <br>&gt;&gt; должен работать чуть больше времени аренды (lease time) ip адресов выдываемых <br>&gt;&gt; ваших DHCP-сервером).<br>&gt; Т.е. от произвольного компьютера в сети идет больше 15 arp-пакетов в секунду <br>&gt; (15 - это дефолтный параметр для untrusted порта). Кто это может <br>&gt; быть? <br><br> На физическем интерфейсе работает ОБЩИЙ счетчик arp-пакетов, а не отдельно по каждому хосту сети. В вашем случае правильно сделать вывод: "На сегменте сети подкюченной к интерфейсу Fa3/0/8 превышен установленный лимит arp-трафика и составляет более 15 пакетов в секунду". Сколько хостов подключено к интерфейсу Fa3/0/8 ? Установите на физическом интерфейсе лим https://mobile.opennet.me/openforum/vsluhforumID6/22177.html#2 Mon, 31 Jan 2011 10:58:34 GMT Периодически возникают следующие ошибки:<br>Jan 31 13:13:34.861: %SW_DAI-4-PACKET_RATE_EXCEEDED: 90 packets received in 25 milliseconds on Fa3/0/8. <br>Jan 31 13:13:34.861: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa3/0/8, putting Fa3/0/8 in err-disable state<br><br>Т.е. от произвольного компьютера в сети идет больше 15 arp-пакетов в секунду (15 - это дефолтный параметр для untrusted порта). Кто это может быть? Грешу на работу Computer Browser в Windows. От этих же компьютеров идут следующие arp запросы:<br>002803: Jan 31 13:06:24.872: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa3/0/8, vlan 200.([001c.2536.bbfc/0.0.0.0/0000.0000.0000/172.16.134.222/13:06:24 msk Mon Jan 31 2011])<br><br>&gt;[оверквотинг удален]<br>&gt; маршутизаторе, чтобы мгновенно запретить работу таких хостов через маршрутизатор нужно <br>&gt; очистить arp-таблицу (clear arp), у всех хостов пропадет на пару секунд <br>&gt; связь так как на маршрутизаторе начнет отрабатывать arp-протокол по всем активным <br>&gt; хостам, если маршрутизатор обслуживает м https://mobile.opennet.me/openforum/vsluhforumID6/22177.html#1 Thu, 27 Jan 2011 08:30:26 GMT &gt; Что делает DAI, если у коммутатора нет записи о соответствии ip-mac? Т.е. <br>&gt; включили DHCP-snooping, потом сразу DAI. Коммутатор будет сразу отбрасывать все arp <br>&gt; пакеты, так как не будет находить соответствия? В документации Cisco не <br>&gt; нашел.<br><br> Маршрутизатор после включения DAI будет блокировать arp трафик от хостов которых не будет в таблице ip source binding, ее можно посмотреть соответсвующей командой 'show ip source binding', таблица ip dhcp snooping binding моментально реплицируется в таблицу ip source binding. В ip source binding можно вносить статические записи.<br> Есть также не большая фича работы DAI - после ее включения часть хостов arp-записи которых были внесены в арп-таблицу маршрутизатора до включения DAI будут успешно продолжать работать до истечения жизни arp-записи на маршутизаторе, чтобы мгновенно запретить работу таких хостов через маршрутизатор нужно очистить arp-таблицу (clear arp), у всех хостов пропадет на пару секунд связь так как на маршрутизаторе начнет отрабатывать arp-про