iT邦幫忙

0

請教網管大神搶arp窒礙問題

  • 分享至 

  • xImage

請問各位網管大神們以下問題,架構如下

https://ithelp.ithome.com.tw/upload/images/20220930/20153377iaMNBDcRfH.png

白色是我們的設備,黑色是User的設備
ips mgmt ip 尾碼141
sw vlan 1 ip 尾碼142
win server 網卡ip 尾碼145
win server遠端服務(dell idrac) ip 尾碼146
(所有白色設備port都沒有設ip)

窒礙情境是(不考慮攻擊事件):
1.整個架構對外連線正常,但我ping自己的ips、sw會有掉包現象
2.當我arp -a時,我的ips或遠端服務的那個mac(dell idrac)會不定時跟一個User的尾碼202設備一樣(聽起來很詭異,但真的長這樣)

也就是說,可能在這時段下arp -a → .202和.146都顯示1a:2b:3c:4d的mac
下一個時段.146mac被還回來,換成.202和.141都顯示1a:2b:3c:4d的mac
(兩者事件間隔無規律)

黑色User設備因對方網管人不再,不知道L3上面有什麼設定或者另外兩台設備是什麼
但沒有迴圈問題,對外可連通網路(只是會掉包,網速異常)

我試過bypass掉對方的L3(ips線路直接對接我的sw,我自己的sw上無任何設定,只有寫vlan1 ip),一切就都恢復正常,也不會有網速異常或arp異常的問題(當然也就ping不到.202)

想請問各位大神,是L3有什麼misconfig或有什麼設備會造成這種問題嗎?

會不會是中了ARP病毒呢?
我找到的文章中有跟你類似的情況,連結如下:
https://virus.dyu.edu.tw/arpvir.html
我第一眼也覺得很像ARP Spoofing
但因為我的客戶是軍網環境,所以我沒有往那邊想
想請問還有沒有別的可能 (除非他們自己內部亂插筆電之類的orz)
那請問一下,就如同一樓雷大的疑問
ips跟sw相連的那條MGMT,是一直都在的嗎?
可以把那條MGMT的線路先暫時拔掉來測試嗎?
因為感覺上會形成loop之類的...

另外請教一下,這些設備大概都使用多久了?網路線的線材品質如何?
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
Ray
iT邦大神 1 級 ‧ 2022-09-30 21:24:43

你如果把右邊那條, IPS 連到 SW 的 MGMT 網路線完全拔掉, arp -a 還會有重複 MAC 嗎?

我要發表回答

立即登入回答