10 votos

Sin internet después de la concesión de dhcp renueva

Hoy hemos tenido un número de máquinas dejar de tener acceso a internet. Después de un montón de solución de problemas, el hilo común es que todos ellos tenían su concesión dhcp renueva hoy (estamos a día 8 de arrendamientos aquí).

Todo lo que usted esperaría ve bien después de la renovación de la concesión: tienen una dirección IP válida, el servidor dns y puerta de enlace. Ellos tienen acceso a los recursos internos (recursos compartidos de archivos, intranet, impresoras, etc). Un poco más de solución de problemas, revela que ellos son incapaces de hacer ping o tracert a nuestra puerta de enlace, pero que pueden llegar a nuestras núcleo layer3 interruptor justo en frente de la puerta de enlace. Asignar una IP estática a la máquina funciona como una solución temporal.

Una última arruga es que hasta ahora los informes han venido sólo para los clientes en la misma vlan como la puerta de entrada. Nuestro personal administrativo y docente en la misma vlan como los servidores e impresoras, pero los teléfonos, llavero/cámaras, los alumnos/wifi, laboratorios y cada uno tiene su propia vlan y como he visto nada en ninguna de las otras vlan ha tenido un problema todavía.

Tengo un boleto por separado con el proveedor de puerta de enlace, pero sospecho que va a tomar la salida fácil y me dicen que el problema está en otro lugar en la red, por lo que yo estoy pidiendo aquí. He borrado almacena en caché de arp en la puerta de entrada y conmutador central. Las ideas de la recepción.

Actualización:
He probado a hacer ping desde la puerta de entrada a algunos afectados los ejércitos, y la cosa rara es que me hizo llegar una respuesta: de una forma completamente diferente de la dirección IP. He intentado un par más al azar y al final conseguimos esto:

Vie Sep 02 de 2011 13:08:51 GMT-0500 (Hora de verano Central)
PING 10.1.1.97 (10.1.1.97) 56(84) bytes of data.
64 bytes from 10.1.1.105: icmp_seq=1 ttl=255 time=1.35 ms
64 bytes from 10.1.1.97: icmp_seq=1 ttl=255 time=39.9 ms (DUP!)

10.1.1.97 es el objetivo real del ping. 10.1.1.105 se supone para ser una impresora en otro edificio. He nunca visto una DUP en una respuesta de ping antes.

Mi mejor conjetura en el momento es un pícaro router wifi en uno de nuestros dormitorios en la subred 10.1.1.0/24, con una puerta de enlace incorrecta.

...continuación. Ahora he apagado el infractor de la impresora, y hace ping a un host de la puerta de enlace acaba de fallar por completo.

Actualización 2:
Puedo comprobar tablas arp en un efectúa la máquina, la puerta de entrada, y cada interruptor entre ellos. En cada punto, las entradas para los dispositivos fueron del todo correcta. Yo no verificar cada entrada en la tabla, pero cada entrada que podría impacto en el tráfico de datos entre el host y la puerta de entrada estaba bien. ARP no es el problema.

Actualización 3:
Están funcionando las cosas en el momento, pero no puedo ver nada de lo que hizo para solucionarlo y por eso no tengo idea de si esto podría ser sólo un parón temporal. De todos modos, no hay mucho que puede hacer para diagnosticar o solucionar los problemas de ahora, pero voy a actualizar más si se rompe de nuevo.

3voto

dmourati Puntos 9454

"Mi mejor conjetura en el momento es un pícaro router wifi en uno de nuestros dormitorios en la subred 10.1.1.0/24, con una puerta de enlace incorrecta."

Esto sucedió en mi oficina. El dispositivo problemático resultó ser un pícaro dispositivo android:

http://code.google.com/p/android/issues/detail?id=11236

Si el dispositivo android se pone la IP de la pasarela de otra red a través de DHCP, puede unirse a la red y empezar a responder a las peticiones ARP para la puerta de enlace IP con la MAC. El uso de la común 10.1.1.0/24 red aumenta la probabilidad de que este pícaro escenario.

Yo era capaz de verificar la caché de ARP en una estación de trabajo afectado en la red. Allí, observé un ARP de flujo de problema en el que la estación de trabajo sería el flip-flop entre la MAC correcta y la dirección MAC de algún dispositivo no autorizado. Cuando me miró a los sospechosos MAC de la estación de trabajo tenía por la puerta, se volvió con un Samsung prefijo. El astuto usuario con la problemática de la estación de trabajo respondió que él sabía que había un dispositivo de Samsung en nuestra red. Resultó para ser el CEO.

1voto

user48838 Puntos 7140

Una forma rápida de detectar el típico pícaro servidores DHCP es hacer ping a la puerta de enlace a la que sirve y, a continuación, examine la de su MAC en la correspondiente tabla ARP. Si la infraestructura de conmutación es una gestión de uno, entonces el MAC también pueden ser rastreados hasta el puerto de hosting y el puerto se puede apagar o remontarse a la ubicación del dispositivo problemático para su posterior reparación.

El uso de DHCP Snooping en los conmutadores que el apoyo también puede ser una opción efectiva en la protección de una red de rogue DHCP servidores a la vez.

-1voto

polynomial Puntos 3284

Como ya se ha discutido en la sección de comentarios de obtener una captura de paquetes es realmente crítico. Sin embargo, hay también una gran herramienta llamada arpwatch:

http://ee.lbl.gov/

(o http://sid.rstack.org/arp-sk/ para windows)

Esta herramienta le enviaremos un correo electrónico o simplemente mantener un registro de todas las nuevas Direcciones MAC visto en la red, así como cualquier cambio de direcciones MAC para las direcciones ip en una subred determinada(flip-flops). Para este problema se habían habría detectado tanto las teorías actuales por cualquiera de los informes que había flip-flops pasando IPs para el cambio de Mac, o usted podría ver un nuevo MAC para el rogue DHCP del router cuando primero comenzó a comunicarse con otros hosts. El lado de abajo con la herramienta que usted necesita para tener el host conectado a todas las redes de su monitor, pero es un precio pequeño por la gran información que puede proporcionar para ayudar a diagnosticar este tipo de problemas.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: