Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Gerät identifizieren, welches die MAC-Adresse 000000-000000 benutzt

Frage Netzwerke Netzwerkmanagement

Mitglied: weltstar

weltstar (Level 1) - Jetzt verbinden

18.12.2014 um 12:22 Uhr, 2298 Aufrufe, 17 Kommentare, 2 Danke

In unserem Netzwerk haben wir einige Probleme, die ich derzeit beseitigen möchte und eines ist, dass immer wieder
Meldungen in den Switch-Protokollen angezeigt werden, dass Frames von der MAC-Adresse 000000-000000 gesendet werden.
Die Meldungen kommen nicht regelmäßig und nur auf Ports, auf denen Uplinks zu anderen Switchen konfiguriert sind.

Es handelt sich um ein Netzwerk mit HP Procurve Switchen. In dem Netzwerk befinden sich 2 Core-Switche des Typs 5412,
die das Routing übernehmen und ca. 70 Edge-Switche der Typen 2520, 2530 und 2920. Insgesamt gibt es ca. 30 Verteilerräume,
die durch LWL miteinander verbunden sind.
20 VLANs werden aktiv auf den Switchen genutzt und MSTP ist eingerichtet.
Über die Switche und auch über Wireshark und IP-Scans mit MAC-Adressen Erkennung habe ich bisher nicht herausfinden können,
welches Device diese MAC nutzt.

Habt ihr eine Idee, wie ich das herausfinden kann?

Vielen Dank im Voraus!!
Mitglied: killtec
18.12.2014 um 12:42 Uhr
Hi,
hier kannst du den Hersteller finden...
http://standards.ieee.org/develop/regauth/oui/public.html

000000 ist Xerox.

Gruß
Bitte warten ..
Mitglied: weltstar
18.12.2014, aktualisiert um 12:55 Uhr
Die MAC-Adresse 000000-000000 ist keine gültige MAC-Adresse. Bei Treiberproblemen oder schlecht programmierter Software wird z.B. diese MAC angegeben.
Dafür gibt es etliche Diskussionen im Netz. Die Netzwerkkommunikation dürfte bei dieser MAC auch nicht funktionieren. Und wie gesagt, die Switche zeigen ja auch
die Warnung an, dass Frames mit dieser MAC gesendet wurden
Bitte warten ..
Mitglied: BernhardMeierrose
18.12.2014, aktualisiert um 13:55 Uhr
Moin,

wenn auf Deinen Core-Switchen der Port angezeigt wird, bekommst Du darüber ja den Edge-Switch heraus. Dort kannst Du in der CLI den MAC-Speicher auslesen und den Port bestimmen. ( show mac-address )
Allerdings bin ich mir nicht sicher, ob die Switche auch ungültige MACs in den Speicher schreiben

Gruß
Bernhard
Bitte warten ..
Mitglied: weltstar
18.12.2014 um 15:15 Uhr
Hallo Bernhard, genau das ist leider mein Problem. Diese Information gibt es nicht mit show mac-adress. Es gibt nur die Information, dass es Frames von der MAC gab und bisher habe ich die Meldung nur auf Uplink Ports gesehen. Da wir hier recht viele Switche haben und dafür auch keine Zeit übrig ist, kann ich nicht jedes Log im Detail durchgehen, um zu gucken, ob ein Edge-Port dabei ist... Ehrlich gesagt habe ich auch im Moment nicht das Gefühl, dass ich dann die 0er MAC finde...
Sollte es eine fehlerhafte Software sein, wüsste ich derzeit nicht, wie ich das herausfinden soll...
Bitte warten ..
Mitglied: aqui
18.12.2014, aktualisiert um 18:39 Uhr
Diese Information gibt es nicht mit show mac-adress.
Das ist normalerwiese Unsinn. Sorry, aber wenn du einen managebaren Switch hast, dann gibt dieses Kommando in der regel die L2 Forwarding Database aus. Es mag aber sien das das Kommando bei deiner Switch HW anders lautet. Dann siehst du halt im Handbuch nach wie die korrekte Syntax dazu ist um die Forwarding Database (FDB) anzuzeigen.
Dort steht immer zu welchem Port welche Mac Adresse korrespondiert.
Syntaktisch ist diese Mac sicher nicht falsch aber nicht normal. Das sieht irgendwie so aus als ob dort ein Enfgerät seine BIA (Burned in Address) vergessen hat oder einer hat am Treiber rumgespielt um sich eine Mac zu Faken und hat einen Fehler gemacht.
Fazit: Stichpunkt ist die Forwarding Database auszulesen.
Übrigens kannst du das auch über SNMP machen sofern dein Switch SNMP fähig ist !! Net-SNMP ist dein Freund dafür :http://www.net-snmp.org
Bitte warten ..
Mitglied: weltstar
19.12.2014 um 13:14 Uhr
Hallo,

dann habe ich mich ungenau ausgedrückt. Natürlich gibt es die Syntax bei den Switchen und diese habe ich schon längst ausgeführt. Es gibt aber keinen Eintrag mit der 000000-000000.
Außerdem haben wir das IMC von HP hier laufen. Auch keine MAC 000000-000000.
Zur Info: ich bin kein Laie, Ich weiß schon, was ich hier mache.
Bitte warten ..
Mitglied: aqui
19.12.2014, aktualisiert um 18:53 Uhr
Es gibt aber keinen Eintrag mit der 000000-000000
Dann gibt es diese Mac Adressen auch nicht in deinem Netzwerk, was aber sicher nicht der Fall ist denn sonst würde solche Meldung nicht im Syslog auftauchen ! Oder.... für den Switch ist das keine gültige Mac Adresse die er damit nicht in seine Forwarding Database übernimmt.
Bedeutet dann auch das das Endgerät mit der 00.00.00.00.00.00 isoliert ist und nicht kommunizieren kann über den Switch oder der Switch sie einfach flutet also wie einen Hub behandelt.
Möglich aber auch das der Switch sie nur blockt und eine Error Meldung im Syslog generiert.
Wenn er sie nicht in die Forwarding Database übernimmt hast du natürlich Pech....denn dann hilft nur sukzessive Abziehen der Endgeräte und Suchen.
Wenn die Error Meldung nur an bestimmten Switches auftaucht kann man davon ausgehen das der Switch diese Mac NICHT forwardet und man isoliert nur an diesem Switch suchen muss.
Würde er sie forwarden würde die Fehlermeldung in jedem Switch im Netz synchron auftauchen. Leider sagst du dazu nichts ob das vereinzelte Systeme sind oder alle, deshalb kann man jetzt mal nur raten....
Bitte warten ..
Mitglied: franky303
20.12.2014 um 17:04 Uhr
Vielleicht hast Du Glück und es ist im ARP cache, dann würde er dir die zugehörige IP Adresse anzeigen. Folgendes rennt z.B. auf OSX oder auch auf Linux:

Frank-5:~ axel$ sudo arp -a
Password:
? (192.168.99.1) at e0:cb:4e:9d:6f:f6 on en1 ifscope [ethernet]
? (192.168.99.84) at 68:a8:6d:53:cd:9e on en1 ifscope permanent [ethernet]
? (192.168.99.255) at ff:ff:ff:ff:ff:ff on en1 ifscope [ethernet]
Frank-5:~ axel$
Bitte warten ..
Mitglied: aqui
20.12.2014 um 19:08 Uhr
Vielleicht hast Du Glück und es ist im ARP cache
Wohl eher nicht, denn dort ist es ja logischerweise NUR wenn dieses Endgerät irgendwie geroutet wird. Wei reinem Switching ist kein ARP involviert wie jeder Netzwerker weiss.
Wenn der Switch es also schon auf L2 Ebene in der FDB blockiert mit einer Error Meldung kann es niemals zum ARP und damit zur Ausnahme in den ARP Cache kommen.
Die Chancen sind also vermutlich nur sehr sehr minimal !
Bitte warten ..
Mitglied: aqui
20.12.2014 um 23:59 Uhr
Uuuuhhhh... ein übler HP Firmware Bug im 5400er !!
Das könnte es natürlich auch sein !! Da heissts dann schnell die Firmware der grauslichen 5400er HP Gurke updaten !
Das fixt vermutlich das "Problem"
Bitte warten ..
Mitglied: weltstar
16.01.2015 um 09:52 Uhr
So, es wurden die 0er MAC-Adressen im ARP Cache jetzt gefunden. Entweder ein fehlerhafter Intel-NIC Treiber (was ich nicht glaube) oder eine schlecht programmierte Software, die auf diesen Systemen läuft! (was ich glaube!!). Die Firmware vom 5412er ist derzeit die K.15.09.0009. Das Problem dürfte also nicht durch den Switch entstehen. Auffällig ist auch, dass es nur ein bestimmtes VLAN und bestimmte Devices betrifft.
Wenn ich genau weiß, was die 0er MAC Adressen verursacht und wie es gelöst wurde, schreib ich hier noch mal einen Kommentar!!
Bitte warten ..
Mitglied: aqui
16.01.2015 um 20:37 Uhr
Danke fürs Feedback. Wir sind dann weiter gespannt...
Bitte warten ..
Mitglied: franky303
16.01.2015, aktualisiert um 20:50 Uhr
/me grinst. Also genau wie ich sagte, die Einträge waren im ARP-Cache, ...
Bitte warten ..
Mitglied: aqui
17.01.2015 um 12:22 Uhr
...was dann nur erstmal bedeutet das von dem Endgerät dediziert über den Switch geroutet wurde oder er direkt per Telnet, SSH, SNMP etc. angesprochen wurde von dem Endgerät !
Bitte warten ..
Mitglied: franky303
17.01.2015 um 13:10 Uhr
Genau, und ich somit goldrichtig lag. Fällt Dir schwer zuzgeben dass ich doch recht hatte, was? ;)
Bitte warten ..
Mitglied: aqui
17.01.2015 um 20:53 Uhr
Hab ich nie angezweifelt !!
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Netzwerke
Clientname anhand MAC Adresse herausfinden (13)

Frage von VerruecktesPferd zum Thema Netzwerke ...

Windows Mobile
MAC-Adresse in Windows CE per Befehl ermitteln? (1)

Frage von timemaster zum Thema Windows Mobile ...

Netzwerkmanagement
DHCP Mac Adresse einer IP zuweisen (8)

Frage von vikozo zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (29)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (20)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...