Networking

dhcp 租約續訂後無法上網

  • January 30, 2013

今天我們有許多機器停止訪問網際網路。經過大量故障排除後,共同點是他們今天都更新了 dhcp 租約(我們這裡是 8 天租約)。

續租後您所期望的一切看起來都不錯:它們具有有效的 IP 地址、dns 伺服器和網關。他們可以訪問內部資源(文件共享、內部網、列印機等)。更多故障排除顯示他們無法 ping 或跟踪到我們的網關,但他們可以到達網關前面的核心 layer3 交換機。為機器分配靜態 IP 作為臨時解決方案。

最後一個問題是,到目前為止,只有與網關在同一個 vlan 上的客戶端收到報告。我們的行政人員和教職員工與伺服器和列印機在同一個 vlan 上,但電話、遙控鑰匙/相機、學生/wifi 和實驗室都有自己的 vlan,據我所知,其他任何 vlan 上都沒有一直有問題。

我在網關供應商那裡有一張單獨的票,但我懷疑他們會輕而易舉地告訴我問題出在網路的其他地方,所以我也在這裡問。我已經清除了網關和核心交換機上的 arp 記憶體。歡迎任何想法。

更新:

我嘗試從網關 ping 回一些受影響的主機,但奇怪的是我確實得到了響應:來自完全不同的 IP 地址。我隨機嘗試了一些,最終得到了這個:

2011 年 9 月 2 日星期五 13:08:51 GMT-0500(中部夏令時間)
PING 10.1.1.97 (10.1.1.97) 56(84) 字節數據。
來自 10.1.1.105 的 64 個字節:icmp_seq=1 ttl=255 time=1.35 ms
來自 10.1.1.97 的 64 個字節:icmp_seq=1 ttl=255 time=39.9 ms (DUP!)

10.1.1.97 是 ping 的實際預期目標。10.1.1.105 應該是另一棟樓的列印機。我以前從未在 ping 響應中看到過 DUP。

目前我最好的猜測是在我們的 10.1.1.0/24 子網上的一個宿舍房間裡有一個流氓 wifi 路由器,它的網關壞了。

…繼續。我現在已經關閉了有問題的列印機,並且從網關 ping 到受影響的主機完全失敗了。

更新 2:

我在受影響的機器、網關以及它們之間的每個交換機上檢查 arp 表。在每一點上,這些設備的條目都是正確的。我沒有驗證表中的每個條目,但每個可能影響主機和網關之間流量的條目都沒有問題。ARP不是問題。

更新 3:

目前一切正常,但我看不到我為修復它們所做的任何事情,所以我不知道這是否只是暫時的平靜。無論如何,我現在無法診斷或排除故障,但如果它再次中斷,我會更新更多。

“目前我最好的猜測是,在我們位於 10.1.1.0/24 子網上的一個宿舍房間裡有一個惡意 wifi 路由器,網關有問題。”

這發生在我的辦公室。違規設備原來是流氓安卓設備:

http://code.google.com/p/android/issues/detail?id=11236

如果 android 設備通過 DHCP 從另一個網路獲取網關的 IP,它可能會加入您的網路並開始使用其 MAC 響應網關 IP 的 ARP 請求。您使用常見的 10.1.1.0/24 網路會增加這種流氓場景的可能性。

我能夠檢查網路上受影響工作站上的 ARP 記憶體。在那裡,我觀察到一個 ARP 通量問題,工作站會在正確的 MAC 和來自某個惡意設備的 MAC 地址之間切換。當我查看工作站用於網關的可疑 MAC 時,它帶有三星前綴。使用問題工作站的精明使用者回答說,他知道誰在我們的網路上擁有三星設備。原來是CEO。

引用自:https://serverfault.com/questions/307691