Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Fehler im Arp Cache

Frage Netzwerke Netzwerkprotokolle

Mitglied: mhard666

mhard666 (Level 1) - Jetzt verbinden

10.09.2010 um 08:08 Uhr, 8476 Aufrufe, 8 Kommentare

Ich habe in unserem Netzwerk einen Arp Cache Eintrag, welcher sich auf eine MAC mit dynamischer IP bezieht. Diese Konstellation gibt es nicht mehr, jedoch verschwindet der Eintrag nicht.

Hallo allerseits.

Über folgendes Problem bin ich o.g. Problem auf die Schliche gekommen: Unser DHCP vergibt im Bereich 192.168.204.100 - 199 IP-Adressen. Immer wieder trat das Problem auf, dass Clients eine IP erhalten, diese aber angeblich schon vergeben ist. Gestern hab ich mich wieder mal der Problematik angenommen und im Arp Cache geschaut und dort wird der besagten IP Adresse (192.168.204.102) eine MAC zugeschrieben, die zu einem unserer Server gehört. Dieser hatte bei der Einrichtung vor ca. 5 oder mehr Jahren mal eine dynamische IP (der DHCP-Bereich hat sich nie geändert) ist aber auf eine feste IP umgestellt (seit ebenfalls mehreren Jahren).
Den Eintrag habe ich auf unseren DCs gelöscht, wenn ich aber die IP anpinge und dann in den Arp Cache schaue ist er wieder drin.

Wie kann soetwas passieren und vor allem wie bekomme ich diesen Eintrag übergreifend entfernt?

verwendete Systeme: Windows 3k3 Server; Windows 2k8 Server; VMware ESX/vSphere 4; Linux

Vielen Dank schonmal.

MfG. mhard666
Mitglied: 60730
10.09.2010 um 08:59 Uhr
moin,

machs dir doch einfach...


morgen in die Firma gehen
dem Server das Netzwerk abziehen
die 102 anpingen und warten was passiert.

Ich vermute der Server hat zwei Nics und eine davon hat die 102.
Oder eine Reservierung auf die Mac gibt ihm die 102.

Und wenn das nicht ist und es wirklich nur diese eine ist - dann blokiere die doch im dhcp.
(Im Zweifel sollte man eh die Adressen, die fest verdrahtet sind aus dem DHCP Bereich nehmen, denn hin und wieder "wartet" man ja auch einen Server)

Hast du managebare Switche?
Dann kannst du dort sehen, an welchem Port welche Mac angesteckt ist.

Gruß
Bitte warten ..
Mitglied: aqui
10.09.2010 um 10:08 Uhr
Ein Check mit Wireshark oder NetMonitor zeigt auch sofort ob ein aktive ARP Reply kommt also wirklich "Leben" hinter dieser IP ist. Im ARP Reply Paket kannst du dann auch die MAC Adresse sehen. Ist es die besagte ist ein Endgerät mit dieser IP/Mac Kombination ja zweifelsfrei noch aktiv, das liegt doch auf der Hand ! Von einem "Fehler" im ARP Cache kann man ja dann wohl keineswegs reden.
Dann gilt es diese zu finden und zu eliminieren.
Das wie hat Timo ja oben schon beschrieben !
Bitte warten ..
Mitglied: mhard666
10.09.2010 um 12:18 Uhr
Hallo Timo

morgen in die Firma gehen
dem Server das Netzwerk abziehen
die 102 anpingen und warten was passiert.

ich kann jetzt schon die 102 anpingen - ohne dass ich einen Ping bekomme (Zeitüberschreitung). Das Abziehen des Servers dürfte in Bezug auf das Anpingen keine allzugroßen Änderungen bringen.

Ich vermute der Server hat zwei Nics und eine davon hat die 102.
Oder eine Reservierung auf die Mac gibt ihm die 102.

Der Server nat zwei NICs, eine ist aber nur in Betrieb. Diese hat die MAC 00-0e-0c-4e-b7-56 und die IP 192.168.204.23 (statisch zugewiesen). Trotzdem wird im Arp Cache die 192.168.204.102 geführt und wenn ich die .23 anpinge natürlich auch die. Im Arp Cache ist die .102 als dynamisch eingetragen. Im DHCP ist sie definitiv nicht reserviert.
Ich frag mich ob es Sinn macht, die andere NIC zu nehmen, dort eine neue IP Adresse statisch zuzuweisen. Wenn der Eintrag aus dem Arp Cache nicht verschwindet wird sich kaum etwas ändern.

Und wenn das nicht ist und es wirklich nur diese eine ist - dann blokiere die doch im dhcp.
(Im Zweifel sollte man eh die Adressen, die fest verdrahtet sind aus dem DHCP Bereich nehmen, denn hin und wieder
"wartet" man ja auch einen Server)

Ich glaube es betraf noch ein paar andere Adressen, auf unserem alten DHCP-Server hab ich einige ausgeschlossen - momentan macht aber die .102 die Probleme. Und wie gesagt, der Server hat nur noch die feste IP, die nicht im DHCP-Adressbereich liegt.

Hast du managebare Switche?
Dann kannst du dort sehen, an welchem Port welche Mac angesteckt ist.

Ja, HP ProCurve - in dem Web-Interface bin ich aber nicht fündig geworden - muss ich mir wohl die die mitgelieferte Software installieren.

V.G. mhard666
Gruß



Bitte warten ..
Mitglied: 60730
10.09.2010 um 15:40 Uhr
Salü,
Zitat von mhard666:
Ja, HP ProCurve - in dem Web-Interface bin ich aber nicht fündig geworden - muss ich mir wohl die die mitgelieferte Software
installieren.

Geh mit Telnet oder Putty auf den/die Procurves
ping 192.168.204.102
sh arp

Dann siehst du eine Liste und den dazugehörigen Port.
Hängt an dem Port ein anderer Switch - mußt du den an"puttyen"

Gruß
Bitte warten ..
Mitglied: aqui
10.09.2010 um 18:44 Uhr
."...ich kann jetzt schon die 102 anpingen - ohne dass ich einen Ping bekomme
Mmmhh, diese Logik muss man erstmal verstehen ?? Ja was denn nun kannst du sie pingen oder nicht ?? Wasch mich aber mach mich nicht nass ?!
Bitte warten ..
Mitglied: mhard666
10.09.2010 um 18:54 Uhr
Sorry wenn ich mich unverständlich ausgedrückt hab ;) ich kann eingeben

ping 192.168.204.102
und erhalte als Ergebnis <Zeitüberschreitung>
Bitte warten ..
Mitglied: aqui
11.09.2010 um 14:03 Uhr
Also geht das Anpingen de facto nicht !! Das besagt aber erstmal rein gar nichts !
Es mag ein Endgerät sein was schlicht nicht auf ICMP Pakete (Ping) antwortet aber andere IP Dienste hat. Das beweist ja ganz klar der immer wiederkehrende ARP Cache Eintrag.
Es kann also durchaus ein Winblows Server oder Endgerät sein bei dem die interne FW per default ICMP blockt aber z.B. CIFS Shares oder was auch immer freigibt.
Ein nicht anpingen können besagt also wahrlich noch lange nicht das nicht doch Pakete mit dieser IP/Mac Kombination im Netzwerk rumgeistern !!

Wie Timo bereits gesagt hat. Schliess einen Wireshark an und dann weisst du sofort mehr. Über die Mac Forwarding Database deines Switches weisst du dann ganz genau wo und an welchem Port sich dieser böhse Buhmann befindet.
Das ist eine Sache von simplen 10 Minuten das zu klären....
Bitte warten ..
Mitglied: mhard666
13.09.2010 um 11:40 Uhr
Also, hab dem verdächtigten Server am WE mal das Netz abgeklemmt und schau an - der Arp Cache Eintrag ist verschwunden.
Heut früh hatte ich irgendwie die Eingebung: der Server hat LAN-Boot eingeschaltet - vllt. hängts damit zusammen. Also dieses im Bios deaktiviert, Server gestartet und es taucht kein entsprechender Eintrag mehr im Arp Cache auf. Muss man erstmal drauf kommen. Vielen Dank noch mal.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst BackupExec 2016 Fehler beim Backup von Windows 2016 (1)

Frage von Looser27 zum Thema Windows Server ...

Switche und Hubs
gelöst Trunk für 2xCisco Switch. Wo liegt der Fehler? (43)

Frage von JayyyH zum Thema Switche und Hubs ...

Vmware
Veeam für VM Ware Backup Fehler (2)

Frage von JoergN1968 zum Thema Vmware ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...