一个关于arp的问题

newrain · 发表于 2008-11-3 09:37:55

挺奇怪的，路由器的ip是192.168.1.1，内网所有机器都是192.168.1这个网段内的，但是用科来发现有很多来自路由器的arp请求，各位给说说是为什么？网络目前尚未发现明显变慢或断网的情况。

oldjiang · 发表于 2008-11-3 09:47:20

路由器找102，说明有从外网来的包给他
在节点浏览器看看有无102这个机器，如有，根据mac查找

newrain · 发表于 2008-11-3 09:57:04

内网中找不到102的这台机器，此情况已经有一段时间了，找的到我就不发求助的帖子了。

oldjiang · 发表于 2008-11-3 10:03:34

如果路由器做NAT，那肯定先有发包后有这个ARP
做一个地址过滤器，抓一天看看

oldjiang · 发表于 2008-11-3 10:04:20

也检查一下路由器上有无配置虚拟服务器

newrain · 发表于 2008-11-3 10:10:02

路由器是adsl的，配置了虚拟服务器，但是没有0.102这个地址，呜呜呜，虽然现在没有什麽影响，但是总觉得不太对劲

oldjiang · 发表于 2008-11-3 10:12:38

把路由器重启一次，应该就没有了

newrain · 发表于 2008-11-3 10:15:22

oh，多谢了，但是重启应该不管用，我这里昨天还停过电，上周也有这种情况，重启的办法肯定是不灵了

oldjiang · 发表于 2008-11-3 10:18:25

4#说的抓包，前提是要正确部署，参考http://www.csna.cn/forum.php?mod ... amp;page=1#pid52288
这个问题有意思，望楼主继续

pctemplar · 发表于 2008-11-3 20:33:45

要是有简单的网络拓扑以及主要设备的详细设置参数就好了！
或许是某个设备的设置问题，单就LZ这样的说，其它可能性也很大！
想尽快的解决问题，那描述问题就应该更加的详细！
这样才有利于大家的快速分析，查找故障的原因。

383519377 · 发表于 2008-11-3 22:32:51

有可能是你的交换机做了保护，IP电脑不能发广播包，所有的查找都得通过网关，如果是这样，就正常了。
至于102这台电脑，有可能是外网的也有可能是内网的在找！

oldjiang · 发表于 2008-11-3 23:15:15

“保护”指什么？
“查找都得通过网关”，不明白

383519377 · 发表于 2008-11-4 16:19:13

Protected Port 这个就是端口保护。启用它之后无论端口间的单帧多帧广播都得通过三层转发。

oldjiang · 发表于 2008-11-4 20:43:24

本地机器发包，只有不在一个子网，包才会发到网关，跟Protected Port 无关吧

只是一个神话 · 发表于 2008-11-4 21:14:39

原帖由 383519377 于 2008-11-3 22:32 发表
有可能是你的交换机做了保护，IP电脑不能发广播包，所有的查找都得通过网关，如果是这样，就正常了。
至于102这台电脑，有可能是外网的也有可能是内网的在找！

你的意思是不是可以理解成：做了保护的交换机接的所有PC机发出的广播包都不会通过2层广播，而是要通过3层转发到其它交换机端口上？

什么时候有的这个东西啊，很久没关注这方面的新技术！

只是一个神话 · 发表于 2008-11-4 21:24:40

你把路由器关闭一会儿再开启，再开启的时候抓一会儿包，如果还有这个信息，那应该不是外网有发到0.102这个IP的包，通信来自内部。

我只是觉得奇怪，LZ的掩码是多少的？如果是24的，那192.168.1.0和192.168.0.0是不在同一网段内的，那怎么会出现这样的ARP请求呢，如果有1到0去的包或是外部到内部的包，不是通过路由转发吗？路由器请求这个地址有什么用啊？

oldjiang · 发表于 2008-11-4 21:37:54

思科的交换机比如2900、2960有端口隔离功能即protected port，隔离的端口之间不能通讯，单播广播都不行，除非通过三层设备。protected port也叫vlan edge port，应该算是private vlan的一个特例。

oldjiang · 发表于 2008-11-4 21:45:39

按楼主描述，他只有一个子网，如果是该子网的机器发包，目标是102那个IP，由于不在一个子网，包发到路由器，路由器查找路由表，有route entry（没有的话包被丢弃），这个entry的exit interface应该是另外一个接口（不是进来的那个），在那个接口广播以解析102的mac，这个广播楼主能接收到的可能性很小。
楼主没有描述他的具体设备和拓扑，考虑最常见的情况，假设是一个国产宽带路由器。一年来我看过不少国产宽带路由器的手册，印象中支持vlan的不超过半数，支持vlan间路由的更少。

只是一个神话 · 发表于 2008-11-4 21:46:41

原帖由 oldjiang 于 2008-11-4 21:37 发表
思科的交换机比如2900、2960有端口隔离功能即protected port，隔离的端口之间不能通讯，单播广播都不行，除非通过三层设备。protected port也叫vlan edge port，应该算是private vlan的一个特例。

understand,thank you!

只是一个神话 · 发表于 2008-11-4 21:51:24

原帖由 oldjiang 于 2008-11-4 21:45 发表
按楼主描述，他只有一个子网，如果是该子网的机器发包，目标是102那个IP，由于不在一个子网，包发到路由器，路由器查找路由表，有route entry（没有的话包被丢弃），这个entry的exit interface应该是另外一个接口（不 ...

应该包如何到回到192.168.1.1呢？应答包里的目标IP是多少呢？

只是一个神话 · 发表于 2008-11-4 21:54:09

我的理解是如果在1中有机器A发送包到0网段中的B，那A的包到路由器后，路由器查看路由表，如果存在0这个网段，那把包转发到这个网段，再由0这个网段的网关把包发送到B那里，这个ARP请求应该是0这个网段的网关发起的。

oldjiang · 发表于 2008-11-4 21:59:26

原路返回，假设存在另外一个.0.0/24的子网
仔细看看1#的图，包还挺密集的
同意21#

[ 本帖最后由 oldjiang 于 2008-11-4 22:02 编辑 ]

只是一个神话 · 发表于 2008-11-4 22:04:11

我的意思是如果0.102应答了这个ARP请求包，那这个包如何到192.168.1.1那里呢？他们不在同一网段中啊，ARP应答包应该是在2层环境下产生的，不会被路由转发吧？如果不到192.168.1.1那里，那这个ARP请求包有什么意义呢？

只是一个神话 · 发表于 2008-11-4 22:10:09

想不通啊，这帖子难倒要颠覆我所有这方面的知识？

按我所学层面的东西去分析LZ描述的情况：路由器的ip是192.168.1.1，内网所有机器都是192.168.1这个网段内的，但是用科来发现有很多来自路由器的arp请求，

"192.168.0.102/24是谁，请告诉192.168.1.1/24"这个现象除了人为制造，还会在什么情况下出现吗？

oldjiang · 发表于 2008-11-4 22:17:25

路由器转发的不是ARP包
参考http://www.csna.cn/forum.php?mod ... amp;page=1#pid58168 The Life of a Packet
如果路由器下存在.1和.0两个子网，那路由器至少有两个不同IP的接口，发arp找102的也不应该是192.168.1.1。
所以我的推断是：
只有一个子网
内网有机器改过ip
P2P上传了什么东西

[ 本帖最后由 oldjiang 于 2008-11-4 22:24 编辑 ]

只是一个神话 · 发表于 2008-11-4 22:26:14

比较可能的是内网有机器P2P上传了什么东西。

P2P上传什么会出现这样的ARP请求包吗？怎么一种情况呢？

oldjiang · 发表于 2008-11-4 22:30:12

论坛有帖子说，路由器不断的发ARP找某个IP的机器，但是这个机器已经关机了，跟贴认为原因是P2P
如果楼主的路由器能查看NAT表项就好了

[ 本帖最后由 oldjiang 于 2008-11-4 22:32 编辑 ]

只是一个神话 · 发表于 2008-11-4 22:43:22

对，之前我也看到过类似帖子，但是他们的情况是192.168.1.102使用P2P后关机了，但是外网还有包发往102这台机器，所以路由器广播“谁是192.168.1.102，告诉192.168.1.1”这样的包，

回到这帖，如果LZ的0.102变成1.102那也没什么稀奇，奇怪的是1网段的网关去请求不是本网段IP的MAC地址，

我想得到的解释是“谁是192.168.0.102，告诉192.168.1.1”这个包有什么用？我觉得没有一点用处，因为1.1要发包给0.102肯定要到三层转发。其次，什么情况会有这种现象出现呢？

PS：背单词去了，明天再来看大家的讨论。

oldjiang · 发表于 2008-11-4 23:19:21

"1网段的网关去请求不是本网段IP的MAC地址"，这还真是一个问题

newrain · 发表于 2008-11-5 10:34:05

看了各位的说明，让我感觉有这个包不时十分的危险，至于那个p2p的请求我认为是有可能的，我的路由器就是个adsl宽带路由器，内网就是192.168.1这个网段，没有.0这个网段，没有vlan，我也试图去寻找0.102这台机器，但是未找到，所以现在造成此问题的原因还没有弄明白，请大家继续分析，需要什麽参数的我来提供

一个关于arp的问题

回复 1# 的帖子

回复 11# 的帖子

回复 20# 的帖子

回复 23# 的帖子

回复 25# 的帖子

回复 27# 的帖子