17
Gerät identifizieren, welches die MAC-Adresse 000000-000000 benutzt
In unserem Netzwerk haben wir einige Probleme, die ich derzeit beseitigen möchte und eines ist, dass immer wieder
Meldungen in den Switch-Protokollen angezeigt werden, dass Frames von der MAC-Adresse 000000-000000 gesendet werden.
Die Meldungen kommen nicht regelmäßig und nur auf Ports, auf denen Uplinks zu anderen Switchen konfiguriert sind.
Es handelt sich um ein Netzwerk mit HP Procurve Switchen. In dem Netzwerk befinden sich 2 Core-Switche des Typs 5412,
die das Routing übernehmen und ca. 70 Edge-Switche der Typen 2520, 2530 und 2920. Insgesamt gibt es ca. 30 Verteilerräume,
die durch LWL miteinander verbunden sind.
20 VLANs werden aktiv auf den Switchen genutzt und MSTP ist eingerichtet.
Über die Switche und auch über Wireshark und IP-Scans mit MAC-Adressen Erkennung habe ich bisher nicht herausfinden können,
welches Device diese MAC nutzt.
Habt ihr eine Idee, wie ich das herausfinden kann?
Vielen Dank im Voraus!!
Meldungen in den Switch-Protokollen angezeigt werden, dass Frames von der MAC-Adresse 000000-000000 gesendet werden.
Die Meldungen kommen nicht regelmäßig und nur auf Ports, auf denen Uplinks zu anderen Switchen konfiguriert sind.
Es handelt sich um ein Netzwerk mit HP Procurve Switchen. In dem Netzwerk befinden sich 2 Core-Switche des Typs 5412,
die das Routing übernehmen und ca. 70 Edge-Switche der Typen 2520, 2530 und 2920. Insgesamt gibt es ca. 30 Verteilerräume,
die durch LWL miteinander verbunden sind.
20 VLANs werden aktiv auf den Switchen genutzt und MSTP ist eingerichtet.
Über die Switche und auch über Wireshark und IP-Scans mit MAC-Adressen Erkennung habe ich bisher nicht herausfinden können,
welches Device diese MAC nutzt.
Habt ihr eine Idee, wie ich das herausfinden kann?
Vielen Dank im Voraus!!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 258008
Url: https://administrator.de/contentid/258008
Printed on: April 19, 2024 at 21:04 o'clock
17 Comments
Latest comment
Hi,
hier kannst du den Hersteller finden...
http://standards.ieee.org/develop/regauth/oui/public.html
000000 ist Xerox.
Gruß
hier kannst du den Hersteller finden...
http://standards.ieee.org/develop/regauth/oui/public.html
000000 ist Xerox.
Gruß
Die MAC-Adresse 000000-000000 ist keine gültige MAC-Adresse. Bei Treiberproblemen oder schlecht programmierter Software wird z.B. diese MAC angegeben.
Dafür gibt es etliche Diskussionen im Netz. Die Netzwerkkommunikation dürfte bei dieser MAC auch nicht funktionieren. Und wie gesagt, die Switche zeigen ja auch
die Warnung an, dass Frames mit dieser MAC gesendet wurden
Dafür gibt es etliche Diskussionen im Netz. Die Netzwerkkommunikation dürfte bei dieser MAC auch nicht funktionieren. Und wie gesagt, die Switche zeigen ja auch
die Warnung an, dass Frames mit dieser MAC gesendet wurden
Moin,
wenn auf Deinen Core-Switchen der Port angezeigt wird, bekommst Du darüber ja den Edge-Switch heraus. Dort kannst Du in der CLI den MAC-Speicher auslesen und den Port bestimmen. ( show mac-address )
Allerdings bin ich mir nicht sicher, ob die Switche auch ungültige MACs in den Speicher schreiben
Gruß
Bernhard
wenn auf Deinen Core-Switchen der Port angezeigt wird, bekommst Du darüber ja den Edge-Switch heraus. Dort kannst Du in der CLI den MAC-Speicher auslesen und den Port bestimmen. ( show mac-address )
Allerdings bin ich mir nicht sicher, ob die Switche auch ungültige MACs in den Speicher schreiben
Gruß
Bernhard
Hallo Bernhard, genau das ist leider mein Problem. Diese Information gibt es nicht mit show mac-adress. Es gibt nur die Information, dass es Frames von der MAC gab und bisher habe ich die Meldung nur auf Uplink Ports gesehen. Da wir hier recht viele Switche haben und dafür auch keine Zeit übrig ist, kann ich nicht jedes Log im Detail durchgehen, um zu gucken, ob ein Edge-Port dabei ist... Ehrlich gesagt habe ich auch im Moment nicht das Gefühl, dass ich dann die 0er MAC finde...
Sollte es eine fehlerhafte Software sein, wüsste ich derzeit nicht, wie ich das herausfinden soll...
Sollte es eine fehlerhafte Software sein, wüsste ich derzeit nicht, wie ich das herausfinden soll...
Diese Information gibt es nicht mit show mac-adress.
Das ist normalerwiese Unsinn. Sorry, aber wenn du einen managebaren Switch hast, dann gibt dieses Kommando in der regel die L2 Forwarding Database aus. Es mag aber sien das das Kommando bei deiner Switch HW anders lautet. Dann siehst du halt im Handbuch nach wie die korrekte Syntax dazu ist um die Forwarding Database (FDB) anzuzeigen.Dort steht immer zu welchem Port welche Mac Adresse korrespondiert.
Syntaktisch ist diese Mac sicher nicht falsch aber nicht normal. Das sieht irgendwie so aus als ob dort ein Enfgerät seine BIA (Burned in Address) vergessen hat oder einer hat am Treiber rumgespielt um sich eine Mac zu Faken und hat einen Fehler gemacht.
Fazit: Stichpunkt ist die Forwarding Database auszulesen.
Übrigens kannst du das auch über SNMP machen sofern dein Switch SNMP fähig ist !! Net-SNMP ist dein Freund dafür :http://www.net-snmp.org
Hallo,
dann habe ich mich ungenau ausgedrückt. Natürlich gibt es die Syntax bei den Switchen und diese habe ich schon längst ausgeführt. Es gibt aber keinen Eintrag mit der 000000-000000.
Außerdem haben wir das IMC von HP hier laufen. Auch keine MAC 000000-000000.
Zur Info: ich bin kein Laie, Ich weiß schon, was ich hier mache.
dann habe ich mich ungenau ausgedrückt. Natürlich gibt es die Syntax bei den Switchen und diese habe ich schon längst ausgeführt. Es gibt aber keinen Eintrag mit der 000000-000000.
Außerdem haben wir das IMC von HP hier laufen. Auch keine MAC 000000-000000.
Zur Info: ich bin kein Laie, Ich weiß schon, was ich hier mache.
Es gibt aber keinen Eintrag mit der 000000-000000
Dann gibt es diese Mac Adressen auch nicht in deinem Netzwerk, was aber sicher nicht der Fall ist denn sonst würde solche Meldung nicht im Syslog auftauchen ! Oder.... für den Switch ist das keine gültige Mac Adresse die er damit nicht in seine Forwarding Database übernimmt.Bedeutet dann auch das das Endgerät mit der 00.00.00.00.00.00 isoliert ist und nicht kommunizieren kann über den Switch oder der Switch sie einfach flutet also wie einen Hub behandelt.
Möglich aber auch das der Switch sie nur blockt und eine Error Meldung im Syslog generiert.
Wenn er sie nicht in die Forwarding Database übernimmt hast du natürlich Pech....denn dann hilft nur sukzessive Abziehen der Endgeräte und Suchen.
Wenn die Error Meldung nur an bestimmten Switches auftaucht kann man davon ausgehen das der Switch diese Mac NICHT forwardet und man isoliert nur an diesem Switch suchen muss.
Würde er sie forwarden würde die Fehlermeldung in jedem Switch im Netz synchron auftauchen. Leider sagst du dazu nichts ob das vereinzelte Systeme sind oder alle, deshalb kann man jetzt mal nur raten....
Vielleicht hast Du Glück und es ist im ARP cache, dann würde er dir die zugehörige IP Adresse anzeigen. Folgendes rennt z.B. auf OSX oder auch auf Linux:
Frank-5:~ axel$ sudo arp -a
Password:
? (192.168.99.1) at e0:cb:4e:9d:6f:f6 on en1 ifscope [ethernet]
? (192.168.99.84) at 68:a8:6d:53:cd:9e on en1 ifscope permanent [ethernet]
? (192.168.99.255) at ff:ff:ff:ff:ff:ff on en1 ifscope [ethernet]
Frank-5:~ axel$
Frank-5:~ axel$ sudo arp -a
Password:
? (192.168.99.1) at e0:cb:4e:9d:6f:f6 on en1 ifscope [ethernet]
? (192.168.99.84) at 68:a8:6d:53:cd:9e on en1 ifscope permanent [ethernet]
? (192.168.99.255) at ff:ff:ff:ff:ff:ff on en1 ifscope [ethernet]
Frank-5:~ axel$
Vielleicht hast Du Glück und es ist im ARP cache
Wohl eher nicht, denn dort ist es ja logischerweise NUR wenn dieses Endgerät irgendwie geroutet wird. Wei reinem Switching ist kein ARP involviert wie jeder Netzwerker weiss.Wenn der Switch es also schon auf L2 Ebene in der FDB blockiert mit einer Error Meldung kann es niemals zum ARP und damit zur Ausnahme in den ARP Cache kommen.
Die Chancen sind also vermutlich nur sehr sehr minimal !
Uuuuhhhh... ein übler HP Firmware Bug im 5400er !!
Das könnte es natürlich auch sein !! Da heissts dann schnell die Firmware der grauslichen 5400er HP Gurke updaten !
Das fixt vermutlich das "Problem"
Das könnte es natürlich auch sein !! Da heissts dann schnell die Firmware der grauslichen 5400er HP Gurke updaten !
Das fixt vermutlich das "Problem"
So, es wurden die 0er MAC-Adressen im ARP Cache jetzt gefunden. Entweder ein fehlerhafter Intel-NIC Treiber (was ich nicht glaube) oder eine schlecht programmierte Software, die auf diesen Systemen läuft! (was ich glaube!!). Die Firmware vom 5412er ist derzeit die K.15.09.0009. Das Problem dürfte also nicht durch den Switch entstehen. Auffällig ist auch, dass es nur ein bestimmtes VLAN und bestimmte Devices betrifft.
Wenn ich genau weiß, was die 0er MAC Adressen verursacht und wie es gelöst wurde, schreib ich hier noch mal einen Kommentar!!
Wenn ich genau weiß, was die 0er MAC Adressen verursacht und wie es gelöst wurde, schreib ich hier noch mal einen Kommentar!!
1
Danke fürs Feedback. Wir sind dann weiter gespannt...
/me grinst. Also genau wie ich sagte, die Einträge waren im ARP-Cache, ...
...was dann nur erstmal bedeutet das von dem Endgerät dediziert über den Switch geroutet wurde oder er direkt per Telnet, SSH, SNMP etc. angesprochen wurde von dem Endgerät !
Genau, und ich somit goldrichtig lag. Fällt Dir schwer zuzgeben dass ich doch recht hatte, was? ;)
Fällt Dir schwer zuzgeben dass ich doch recht hatte, was? ;)
Hab ich nie angezweifelt !!
1
