8
Fehler im Arp Cache
Ich habe in unserem Netzwerk einen Arp Cache Eintrag, welcher sich auf eine MAC mit dynamischer IP bezieht. Diese Konstellation gibt es nicht mehr, jedoch verschwindet der Eintrag nicht.
Hallo allerseits.
Über folgendes Problem bin ich o.g. Problem auf die Schliche gekommen: Unser DHCP vergibt im Bereich 192.168.204.100 - 199 IP-Adressen. Immer wieder trat das Problem auf, dass Clients eine IP erhalten, diese aber angeblich schon vergeben ist. Gestern hab ich mich wieder mal der Problematik angenommen und im Arp Cache geschaut und dort wird der besagten IP Adresse (192.168.204.102) eine MAC zugeschrieben, die zu einem unserer Server gehört. Dieser hatte bei der Einrichtung vor ca. 5 oder mehr Jahren mal eine dynamische IP (der DHCP-Bereich hat sich nie geändert) ist aber auf eine feste IP umgestellt (seit ebenfalls mehreren Jahren).
Den Eintrag habe ich auf unseren DCs gelöscht, wenn ich aber die IP anpinge und dann in den Arp Cache schaue ist er wieder drin.
Wie kann soetwas passieren und vor allem wie bekomme ich diesen Eintrag übergreifend entfernt?
verwendete Systeme: Windows 3k3 Server; Windows 2k8 Server; VMware ESX/vSphere 4; Linux
Vielen Dank schonmal.
MfG. mhard666
Über folgendes Problem bin ich o.g. Problem auf die Schliche gekommen: Unser DHCP vergibt im Bereich 192.168.204.100 - 199 IP-Adressen. Immer wieder trat das Problem auf, dass Clients eine IP erhalten, diese aber angeblich schon vergeben ist. Gestern hab ich mich wieder mal der Problematik angenommen und im Arp Cache geschaut und dort wird der besagten IP Adresse (192.168.204.102) eine MAC zugeschrieben, die zu einem unserer Server gehört. Dieser hatte bei der Einrichtung vor ca. 5 oder mehr Jahren mal eine dynamische IP (der DHCP-Bereich hat sich nie geändert) ist aber auf eine feste IP umgestellt (seit ebenfalls mehreren Jahren).
Den Eintrag habe ich auf unseren DCs gelöscht, wenn ich aber die IP anpinge und dann in den Arp Cache schaue ist er wieder drin.
Wie kann soetwas passieren und vor allem wie bekomme ich diesen Eintrag übergreifend entfernt?
verwendete Systeme: Windows 3k3 Server; Windows 2k8 Server; VMware ESX/vSphere 4; Linux
Vielen Dank schonmal.
MfG. mhard666
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 150765
Url: https://administrator.de/contentid/150765
Printed on: April 25, 2024 at 04:04 o'clock
8 Comments
Latest comment
moin,
machs dir doch einfach...
morgen in die Firma gehen
dem Server das Netzwerk abziehen
die 102 anpingen und warten was passiert.
Ich vermute der Server hat zwei Nics und eine davon hat die 102.
Oder eine Reservierung auf die Mac gibt ihm die 102.
Und wenn das nicht ist und es wirklich nur diese eine ist - dann blokiere die doch im dhcp.
(Im Zweifel sollte man eh die Adressen, die fest verdrahtet sind aus dem DHCP Bereich nehmen, denn hin und wieder "wartet" man ja auch einen Server)
Hast du managebare Switche?
Dann kannst du dort sehen, an welchem Port welche Mac angesteckt ist.
Gruß
machs dir doch einfach...
morgen in die Firma gehen
dem Server das Netzwerk abziehen
die 102 anpingen und warten was passiert.
Ich vermute der Server hat zwei Nics und eine davon hat die 102.
Oder eine Reservierung auf die Mac gibt ihm die 102.
Und wenn das nicht ist und es wirklich nur diese eine ist - dann blokiere die doch im dhcp.
(Im Zweifel sollte man eh die Adressen, die fest verdrahtet sind aus dem DHCP Bereich nehmen, denn hin und wieder "wartet" man ja auch einen Server)
Hast du managebare Switche?
Dann kannst du dort sehen, an welchem Port welche Mac angesteckt ist.
Gruß
Ein Check mit Wireshark oder NetMonitor zeigt auch sofort ob ein aktive ARP Reply kommt also wirklich "Leben" hinter dieser IP ist. Im ARP Reply Paket kannst du dann auch die MAC Adresse sehen. Ist es die besagte ist ein Endgerät mit dieser IP/Mac Kombination ja zweifelsfrei noch aktiv, das liegt doch auf der Hand ! Von einem "Fehler" im ARP Cache kann man ja dann wohl keineswegs reden.
Dann gilt es diese zu finden und zu eliminieren.
Das wie hat Timo ja oben schon beschrieben !
Dann gilt es diese zu finden und zu eliminieren.
Das wie hat Timo ja oben schon beschrieben !
Hallo Timo
ich kann jetzt schon die 102 anpingen - ohne dass ich einen Ping bekomme (Zeitüberschreitung). Das Abziehen des Servers dürfte in Bezug auf das Anpingen keine allzugroßen Änderungen bringen.
Der Server nat zwei NICs, eine ist aber nur in Betrieb. Diese hat die MAC 00-0e-0c-4e-b7-56 und die IP 192.168.204.23 (statisch zugewiesen). Trotzdem wird im Arp Cache die 192.168.204.102 geführt und wenn ich die .23 anpinge natürlich auch die. Im Arp Cache ist die .102 als dynamisch eingetragen. Im DHCP ist sie definitiv nicht reserviert.
Ich frag mich ob es Sinn macht, die andere NIC zu nehmen, dort eine neue IP Adresse statisch zuzuweisen. Wenn der Eintrag aus dem Arp Cache nicht verschwindet wird sich kaum etwas ändern.
Ich glaube es betraf noch ein paar andere Adressen, auf unserem alten DHCP-Server hab ich einige ausgeschlossen - momentan macht aber die .102 die Probleme. Und wie gesagt, der Server hat nur noch die feste IP, die nicht im DHCP-Adressbereich liegt.
Ja, HP ProCurve - in dem Web-Interface bin ich aber nicht fündig geworden - muss ich mir wohl die die mitgelieferte Software installieren.
V.G. mhard666
morgen in die Firma gehen
dem Server das Netzwerk abziehen
die 102 anpingen und warten was passiert.
dem Server das Netzwerk abziehen
die 102 anpingen und warten was passiert.
ich kann jetzt schon die 102 anpingen - ohne dass ich einen Ping bekomme (Zeitüberschreitung). Das Abziehen des Servers dürfte in Bezug auf das Anpingen keine allzugroßen Änderungen bringen.
Ich vermute der Server hat zwei Nics und eine davon hat die 102.
Oder eine Reservierung auf die Mac gibt ihm die 102.
Oder eine Reservierung auf die Mac gibt ihm die 102.
Der Server nat zwei NICs, eine ist aber nur in Betrieb. Diese hat die MAC 00-0e-0c-4e-b7-56 und die IP 192.168.204.23 (statisch zugewiesen). Trotzdem wird im Arp Cache die 192.168.204.102 geführt und wenn ich die .23 anpinge natürlich auch die. Im Arp Cache ist die .102 als dynamisch eingetragen. Im DHCP ist sie definitiv nicht reserviert.
Ich frag mich ob es Sinn macht, die andere NIC zu nehmen, dort eine neue IP Adresse statisch zuzuweisen. Wenn der Eintrag aus dem Arp Cache nicht verschwindet wird sich kaum etwas ändern.
Und wenn das nicht ist und es wirklich nur diese eine ist - dann blokiere die doch im dhcp.
(Im Zweifel sollte man eh die Adressen, die fest verdrahtet sind aus dem DHCP Bereich nehmen, denn hin und wieder
"wartet" man ja auch einen Server)
(Im Zweifel sollte man eh die Adressen, die fest verdrahtet sind aus dem DHCP Bereich nehmen, denn hin und wieder
"wartet" man ja auch einen Server)
Ich glaube es betraf noch ein paar andere Adressen, auf unserem alten DHCP-Server hab ich einige ausgeschlossen - momentan macht aber die .102 die Probleme. Und wie gesagt, der Server hat nur noch die feste IP, die nicht im DHCP-Adressbereich liegt.
Hast du managebare Switche?
Dann kannst du dort sehen, an welchem Port welche Mac angesteckt ist.
Dann kannst du dort sehen, an welchem Port welche Mac angesteckt ist.
Ja, HP ProCurve - in dem Web-Interface bin ich aber nicht fündig geworden - muss ich mir wohl die die mitgelieferte Software installieren.
V.G. mhard666
Gruß
Salü,
Geh mit Telnet oder Putty auf den/die Procurves
Dann siehst du eine Liste und den dazugehörigen Port.
Hängt an dem Port ein anderer Switch - mußt du den an"puttyen"
Gruß
Zitat von @mhard666:
Ja, HP ProCurve - in dem Web-Interface bin ich aber nicht fündig geworden - muss ich mir wohl die die mitgelieferte Software
installieren.
Ja, HP ProCurve - in dem Web-Interface bin ich aber nicht fündig geworden - muss ich mir wohl die die mitgelieferte Software
installieren.
Geh mit Telnet oder Putty auf den/die Procurves
ping 192.168.204.102
sh arp
sh arp
Dann siehst du eine Liste und den dazugehörigen Port.
Hängt an dem Port ein anderer Switch - mußt du den an"puttyen"
Gruß
."...ich kann jetzt schon die 102 anpingen - ohne dass ich einen Ping bekomme
Mmmhh, diese Logik muss man erstmal verstehen ?? Ja was denn nun kannst du sie pingen oder nicht ?? Wasch mich aber mach mich nicht nass ?!
Mmmhh, diese Logik muss man erstmal verstehen ?? Ja was denn nun kannst du sie pingen oder nicht ?? Wasch mich aber mach mich nicht nass ?!
Sorry wenn ich mich unverständlich ausgedrückt hab ;) ich kann eingeben
und erhalte als Ergebnis <Zeitüberschreitung>
ping 192.168.204.102und erhalte als Ergebnis <Zeitüberschreitung>
Also geht das Anpingen de facto nicht !! Das besagt aber erstmal rein gar nichts !
Es mag ein Endgerät sein was schlicht nicht auf ICMP Pakete (Ping) antwortet aber andere IP Dienste hat. Das beweist ja ganz klar der immer wiederkehrende ARP Cache Eintrag.
Es kann also durchaus ein Winblows Server oder Endgerät sein bei dem die interne FW per default ICMP blockt aber z.B. CIFS Shares oder was auch immer freigibt.
Ein nicht anpingen können besagt also wahrlich noch lange nicht das nicht doch Pakete mit dieser IP/Mac Kombination im Netzwerk rumgeistern !!
Wie Timo bereits gesagt hat. Schliess einen Wireshark an und dann weisst du sofort mehr. Über die Mac Forwarding Database deines Switches weisst du dann ganz genau wo und an welchem Port sich dieser böhse Buhmann befindet.
Das ist eine Sache von simplen 10 Minuten das zu klären....
Es mag ein Endgerät sein was schlicht nicht auf ICMP Pakete (Ping) antwortet aber andere IP Dienste hat. Das beweist ja ganz klar der immer wiederkehrende ARP Cache Eintrag.
Es kann also durchaus ein Winblows Server oder Endgerät sein bei dem die interne FW per default ICMP blockt aber z.B. CIFS Shares oder was auch immer freigibt.
Ein nicht anpingen können besagt also wahrlich noch lange nicht das nicht doch Pakete mit dieser IP/Mac Kombination im Netzwerk rumgeistern !!
Wie Timo bereits gesagt hat. Schliess einen Wireshark an und dann weisst du sofort mehr. Über die Mac Forwarding Database deines Switches weisst du dann ganz genau wo und an welchem Port sich dieser böhse Buhmann befindet.
Das ist eine Sache von simplen 10 Minuten das zu klären....
Also, hab dem verdächtigten Server am WE mal das Netz abgeklemmt und schau an - der Arp Cache Eintrag ist verschwunden.
Heut früh hatte ich irgendwie die Eingebung: der Server hat LAN-Boot eingeschaltet - vllt. hängts damit zusammen. Also dieses im Bios deaktiviert, Server gestartet und es taucht kein entsprechender Eintrag mehr im Arp Cache auf. Muss man erstmal drauf kommen. Vielen Dank noch mal.
Heut früh hatte ich irgendwie die Eingebung: der Server hat LAN-Boot eingeschaltet - vllt. hängts damit zusammen. Also dieses im Bios deaktiviert, Server gestartet und es taucht kein entsprechender Eintrag mehr im Arp Cache auf. Muss man erstmal drauf kommen. Vielen Dank noch mal.
