Incomplete Arp Entries

[kurđ]

Mam bardzo dziwną sytuację jest sobie HSRP, Vlan60 i ciągle albo na jednym albo na drugim routerze pojawiają się wpisy z IP z tego vlanu "incomplete"

Kod: Zaznacz cały

Internet  10.5.15.124             0   Incomplete      ARPA   
Internet  10.5.15.125             0   Incomplete      ARPA   
Internet  10.5.15.126             0   Incomplete      ARPA   
Internet  10.5.15.127             0   Incomplete      ARPA   
Internet  10.5.15.128             0   Incomplete      ARPA   
Internet  10.5.15.129             0   Incomplete      ARPA   
Internet  10.5.15.130             0   Incomplete      ARPA   
Internet  10.5.15.131             0   Incomplete      ARPA   
Internet  10.5.15.132             0   Incomplete      ARPA   
Internet  10.5.15.133             0   Incomplete      ARPA   
Internet  10.5.15.134             0   Incomplete      ARPA   
Internet  10.5.15.135             0   Incomplete      ARPA   
Internet  10.5.15.136             0   Incomplete      ARPA   
Internet  10.5.15.137             0   Incomplete      ARPA   
Internet  10.5.15.138             0   Incomplete      ARPA   
Internet  10.5.15.139             0   Incomplete      ARPA   
Internet  10.5.15.140             0   Incomplete      ARPA   
Internet  10.5.15.141             0   Incomplete      ARPA   
Internet  10.5.15.142             0   Incomplete      ARPA   
Internet  10.5.15.143             0   Incomplete      ARPA   
Internet  10.5.15.144             0   Incomplete      ARPA   
Internet  10.5.15.145             0   Incomplete      ARPA   

Debug ARP podaje coś takiego:

Kod: Zaznacz cały

Nov  6 15:55:05.364: IP ARP: sent req src 10.5.15.3 4403.a746.854c,
                 dst 10.5.15.155 0000.0000.0000 Vlan60
Nov  6 15:55:05.364: IP ARP: sent req src 10.5.15.3 4403.a746.854c,
                 dst 10.5.15.58 0000.0000.0000 Vlan60
Nov  6 15:55:05.364: IP ARP: sent req src 10.5.15.3 4403.a746.854c,
                 dst 10.5.15.54 0000.0000.0000 Vlan60
Nov  6 15:55:05.364: IP ARP: sent req src 10.5.15.3 4403.a746.854c,
                 dst 10.5.15.159 0000.0000.0000 Vlan60
Nov  6 15:55:05.373: IP ARP: sent req src 10.5.15.3 4403.a746.854c,
                 dst 10.5.15.153 0000.0000.0000 Vlan60
Nov  6 15:55:05.373: IP ARP: sent req src 10.5.4.3 4403.a746.8546,
                 dst 10.5.4.127 0000.0000.0000 Vlan54
Nov  6 15:55:05.373: IP ARP: sent req src 10.5.15.3 4403.a746.854c,
                 dst 10.5.15.66 0000.0000.0000 Vlan60
Nov  6 15:55:05.373: IP ARP: sent req src 10.5.15.3 4403.a746.854c,
                 dst 10.5.15.60 0000.0000.0000 Vlan60
Nov  6 15:55:05.373: IP ARP: sent req src 10.5.15.3 4403.a746.854c,
                 dst 10.5.15.69 0000.0000.0000 Vlan60
Nov  6 15:55:05.373: IP ARP: creating incomplete entry for IP address: 10.5.15.68 interface Vlan60
Nov  6 15:55:05.373: IP ARP: sent req src 10.5.15.3 4403.a746.854c,
                 dst 10.5.15.68 0000.0000.0000 Vlan60
Nov  6 15:55:05.373: IP ARP: creating incomplete entry for IP address: 10.5.15.71 interface Vlan60
Nov  6 15:55:05.373: IP ARP: sent req src 10.5.15.3 4403.a746.854c,
                 dst 10.5.15.71 0000.0000.0000 Vlan60
Nov  6 15:55:05.373: IP ARP: creating incomplete entry for IP address: 10.5.15.75 interface Vlan60
Nov  6 15:55:05.373: IP ARP: sent req src 10.5.15.3 4403.a746.854c,
                 dst 10.5.15.75 0000.0000.0000 Vlan60
Nov  6 15:55:05.373: IP ARP: creating incomplete entry for IP address: 10.5.15.74 interface Vlan60
Nov  6 15:55:05.373: IP ARP: sent req src 10.5.15.3 4403.a746.854c,
                 dst 10.5.15.74 0000.0000.0000 Vlan60
Nov  6 15:55:05.373: IP ARP: creating incomplete entry for IP address: 10.5.15.72 interface Vlan60
Nov  6 15:55:05.373: IP ARP: sent req src 10.5.15.3 4403.a746.854c,
                 dst 10.5.15.72 0000.0000.0000 Vlan60
Nov  6 15:55:05.373: IP ARP: creating incomplete entry for IP address: 10.5.15.62 interface Vlan60
Nov  6 15:55:05.381: IP ARP: sent req src 10.5.15.3 4403.a746.854c,
                 dst 10.5.15.62 0000.0000.0000 Vlan60

Adres 10.5.15.3 to adres lokalny jednego routera HSRP.

Vlan Interface jest skonfigurowany tak:
description WiFi
ip address 10.5.15.3 255.255.255.0
ip helper-address 10.5.0.40
ip helper-address 10.5.0.41
standby 60 ip 10.5.15.2
standby 60 priority 110
standby 60 preempt

Nie mogę dojść co jest nie tak, jaki jeszcze debugging włączyć by coś więcej się dowiedzieć?
Platforma to stack
WS-C3750X-48P 15.0(2)SE4 C3750E-UNIVERSALK9-M

[martino76]

Z debugu wyglada na to, ze nie otrzymujesz odpowiedzi na wyslany ARP req. Zerknij na ten link link moze pomoze w troubleshootingu.

Mozesz pingac wogole z GW np. taki IP 10.5.15.127?

Pozdro,

[Piotrek]

Wystarczy zrobic skan danej podsieci nmap aby uzyskac taki efekt.

A teraz pytanie dlaczego nie warto wystawiac svi w vlan z maska /16

[kurđ]

Dzięki za linka. Poczytam.

Problem w tym, że te IP nie istnieją, nie są też pingowalne. Ogólnie zauważyłem, że pojawia się w tablicy cały zakres DHCP, natomiast te które są w sieci i mają adres prawidłowy z DHCP, są też poprawnie widziane np.

Kod: Zaznacz cały

(...)
Internet  10.5.15.145             0   Incomplete      ARPA   
Internet  10.5.15.146             0   Incomplete      ARPA   
Internet  10.5.15.147             0   Incomplete      ARPA   
Internet  10.5.15.148             0   Incomplete      ARPA   
Internet  10.5.15.149             0   Incomplete      ARPA   
Internet  10.5.15.150             0   Incomplete      ARPA   
Internet  10.5.15.151             0   Incomplete      ARPA   
Internet  10.5.15.152             0   0c77.1ab9.06d4  ARPA   Vlan60
Internet  10.5.15.153             0   Incomplete      ARPA   
Internet  10.5.15.154             0   Incomplete      ARPA   
Internet  10.5.15.155             0   Incomplete      ARPA   
Internet  10.5.15.156             0   Incomplete      ARPA   
Internet  10.5.15.157             0   Incomplete      ARPA   
Internet  10.5.15.158             0   Incomplete      ARPA
(...)   

.152 jest pingowalny i działa prawidłowo.

Ogólnie jest to Vlan dla WLANu, klienci podłączający się do sieci otrzymują IP z DHCP, sieć WLAN oparta na starych WLC 4404 i starych LAP-ach.
Kontroler WLC podłączony do tych samych switchy przez management interface (trunk) posiada też dynamiczny interface z vlan identifier 60.


Pewnie wystarczy Nmap ale nie jest nigdzie użyty w tej sytuacji.

[lxs]

Jest dokładnie tak jak napisał martino76. Twoje urządzenie otrzymuje zapytanie ARP, tworzy w pamięci cache wpis dla tego zapytania (incomplete), forwarduje je na całą domenę broadcastową, czeka na ARP reply, i.... nie otrzymuje odpowiedzi.
Jeżeli masz rozwiązanie bazujące na HSRP i L2, to sprawdź czy urządzenie aktywne hsrp jest równocześnie root bridgem dla spanning tree.

[krisiasty]

Adres 10.5.15.3 to adres lokalny jednego routera HSRP.

Vlan Interface jest skonfigurowany tak:
description WiFi
ip address 10.5.15.3 255.255.255.0
ip helper-address 10.5.0.40
ip helper-address 10.5.0.41
standby 60 ip 10.5.15.2
standby 60 priority 110
standby 60 preempt

pokaż jeszcze konfig z drugiego switcha dla tego samego vlanu...

[kurđ]

No więc tak,

A teraz pytanie dlaczego nie warto wystawiac svi w vlan z maska /16

No nie bądź taki, napisz dlaczego?:)
Ten trop okazał się pomocny o tyle, że wyszło na jaw, iż interface SVI providera miał właśnie IP 10.5.0.x/16 przez co pakiety z innej lokalizacji zamiast routować do 10.5.15.x przez domyślną bramę próbował rozwiązywać przy pomocy arp-ów. W większości dostawał adres MAC interface vlan-u 60 i działało ale po czasie, nie wiem z jakiego powodu, otrzymywał adres MAC właściwego hosta w 10.5.15.0 i wtedy połączenie ze zdalnej lokalizacji przestawało działać. Problem z połączeniami rozwiązany ale incomplete arps nadal pojawiają się na moich routerach.

Jeżeli masz rozwiązanie bazujące na HSRP i L2, to sprawdź czy urządzenie aktywne hsrp jest równocześnie root bridgem dla spanning tree.

Tak, rzeczywiście nie było prawidłowo skonfigurowane, poprawiłem. Dzięki. Problem z incomplete arps nadal jest, choć nie objawia się to żadnymi uciążliwościami dla użytkowników, bo punkt 1 został rozwiązany.

pokaż jeszcze konfig z drugiego switcha dla tego samego vlanu...

Kod: Zaznacz cały

interface Vlan60
 description WiFi
 ip address 10.5.15.4 255.255.255.0
 standby 60 ip 10.5.15.2
 standby 60 priority 90
 standby 60 preempt
end

ip helper usunąłem na obu bo jako relay funkcjonuje WLC a klientów LAN-owych w tym Vlanie nie ma.

Nadal w debug arp pojawia się

Kod: Zaznacz cały

Nov  7 19:45:16.427: IP ARP throttled out the ARP Request for 10.5.15.61
Nov  7 19:45:16.427: IP ARP throttled out the ARP Request for 10.5.15.61
Nov  7 19:45:16.427: IP ARP: creating incomplete entry for IP address: 10.5.15.65 interface Vlan60
Nov  7 19:45:16.427: IP ARP: sent req src 10.5.15.3 4403.a746.854c,
                 dst 10.5.15.65 0000.0000.0000 Vlan60
Nov  7 19:45:16.427: IP ARP throttled out the ARP Request for 10.5.15.65
Nov  7 19:45:16.427: IP ARP throttled out the ARP Request for 10.5.15.65
Nov  7 19:45:16.427: IP ARP: creating incomplete entry for IP address: 10.5.15.64 interface Vlan60
Nov  7 19:45:16.427: IP ARP: sent req src 10.5.15.3 4403.a746.854c,
                 dst 10.5.15.64 0000.0000.0000 Vlan60
Nov  7 19:45:16.435: IP ARP throttled out the ARP Request for 10.5.15.64
Nov  7 19:45:16.435: IP ARP throttled out the ARP Request for 10.5.15.64

i nie dotyczy to tylko tego vlanu, nie wiem co za proces każe wysyłać te zapytania, jeśli nie pochodzi to z routera to muszę pewnie załączyć jakiś sniffer. Mac 4403.a746.854c należy do Int Vlan60 na jednym z nodów HSRP.

[Piotrek]

Czesc moglbys przedstawic jakis prosty diagram jak wyglada podpiecie tego switcha.
Czy masz dwa vlan 60 z klientami oraz 54 gdzie znajduje sie provider ?

Z jakiego vlan przychodzi ruch na ten switch ?

Na szybko moze tu pomyslem jest zalozenie na chwile ACL permit z opcja log na vlan skad przychodzi ruch na switcha. Wtedy w logu switcha nalezalo by poszukac wpisow odnoszacych sie do ip dla ktorych nie ma powiazan arp.

[pogrom]

(...)Nadal w debug arp pojawia się(...)

Możliwe masz w sieci jakiegoś "power usera", który lubi wiedzieć co w sieci piszczy, albo ktoś ma komputer zainfekowany jakimś ścierwem.
Same wpisy Incomplete nie są niczym złym. Przecież tak działa arp.

[kurđ]

Też podejrzewałem jakiegoś "PowerUsera" i faktycznie taki istnieje w centrali...
Tropem było to że te incompletes bardzo pokrywały się z DHCP Range, ale zmiana DHCP Range nie wpłynęła na zmianę zachowania Switchy.

Co się okazało, źródło to phpIPAM z włączoną funkcją "Check Hosts Status", w tym narzędziu też można zaznaczyć DHCP Range i IPAM traktuje ten zakres jako aktywne hosty i ciągle wysyła zapytania ARP.

Same wpisy Incomplete nie są niczym złym. Przecież tak działa arp.

Z reguły tak jest, masz rację. Ale np w sytuacji gdzie jest Unicast IP przypisany do Multicast MAC, na switchu też będzie incomplete Arp a w tym wypadku będzie to już źródłem problemów.