Зачем Cisco-router шлет gratuitous ARP-Reply?

Discussion:

(слишком старое сообщение для ответа)

Dmitry V. Golov

2008-11-19 17:56:41 UTC

Приветствую.

Обнаружил странное поведение своей циски 7206
(c7200p-advipservicesk9-mz.124-4.XD10.bin).

Hа циске терминируется N-е количество вланов, некоторые используются для
PPPOE, некоторые используются просто со статически прописанными IP-адресами.
Так вот, при любой успешной авторизации PPPOE (а так же еще такая вещь
обнаружилась при успешных авторизациях PPTP) циска по ВСЕМ своим
субинтерфейсам всех своих Ethernet-интерфейсов рассылает ARP-ответ
(широковещательный), в котором говорится, что IP-адрес, только что выданный по
PPPOE или PPTP соединению, находится на MAC-адресе ее (циски) соответствующих
езернет-интерфейсов.

Вопрос, зачем она вообще это делает? В глобальном конфиге ip arp proxy
disabled, да и не нормальный это ответ на ARP-запрос, а самостоятельная
инициатива циски. Позже аналогичное обнаружил на циске 2650 ip base, там
arp-proxy тоже отключен, да и похоже не влияет.

Заранее спасибо.
Dmitry

Eugene Grosbein

2008-11-20 10:34:46 UTC

Permalink

19 ноя 2008, среда, в 20:56 KRAT, Dmitry V. Golov написал(а):

DVG> Hа циске терминируется N-е количество вланов, некоторые используются для
DVG> PPPOE, некоторые используются просто со статически прописанными
DVG> IP-адресами.
DVG> Так вот, при любой успешной авторизации PPPOE (а так же еще такая вещь
DVG> обнаружилась при успешных авторизациях PPTP) циска по ВСЕМ своим
DVG> субинтерфейсам всех своих Ethernet-интерфейсов рассылает ARP-ответ
DVG> (широковещательный), в котором говорится, что IP-адрес, только что
DVG> выданный по
DVG> PPPOE или PPTP соединению, находится на MAC-адресе ее (циски)
DVG> соответствующих
DVG> езернет-интерфейсов.
DVG> Вопрос, зачем она вообще это делает?

Hа этих соединениях используешь маску /32?

Eugene

--
А ученый уподобляется обученному слону, которого погонщик поставил перед
преградой. Он пользуется силой разума, как слон --- силой мышц, подчиняясь
приказу. Это необычайно удобно: ученый отныне готов на все, так как ни за
что уже не отвечает.

Dmitry V. Golov

2008-11-21 20:33:44 UTC

Permalink

Thu Nov 20 2008 13:34, Eugene Grosbein wrote to Dmitry V. Golov:
EG> Hа этих соединениях используешь маску /32?

Hу в общем то да. Это стандартное назначение одного адреса по PPP, того, что
радиус-сервер указывыет серверу доступа в атрибуте адреса.

Thu Nov 20 2008 12:13, Slawa Olhovchenkov wrote to Dmitry V. Golov:
SO> Сообщи. Только сначала придумай как это вредит бизнесу.

Прямо может быть и нет, а моему бизнесу вредило где-то на полчаса, пока не
выявил причину. Причина оказалась в связке с одним из PPPOE клиентов - он
похоже устроил "драку" в фазе IPCP за назначение адреса (либо еще что-то, я
так выяснить не успел), но за это время его сессии пробежало несколько
десятков мегабайт (судя по radius-accounting), хотя по IP-accounting он
потребил на свой IP-адрес и отправил с него за эту сессию всего несколько
килобайт. Суть в том, что все это время циска во ВСЕ СВОИ ИHТЕРФЕЙСЫ неистово
кидала этот злополучный gratuitous ARP, говорящий о том, что как раз этот
самый IP-адрес этого клиента находится на ее (циски) MAC-е.

В результате, пока прямо в езернет не подрубились ноутом с Ethereal и не
увидели, что там все зафлужено этим gratuitous ARP, медленные сегменты сети
практически лежали. Естественно, на стандартных механизмах сбора информации
(ip accounting, NetFlow) я ничего этого увидеть не мог.

Конечно, вредителя PPPOE после этого сразу отрубили и все нормализовалось, но
суть то в том, что сам он не являлся причиной неработостособности сети -
причиной была сама циска, он же только ее "пощекотал". HЕсмотря на то, что
gratuitous ARP является вполне нормальной вещью (известить других - "я только
что подключился, я здесь с таким IP на таком MAC"), остается непонятным,
почему циска так поступала, - ведь этот IP-адрес не был прописан на ее
интерфейсе, а находился у клиента. А даже если она и считает, что адрес,
выданный по PPPOE вс равно принадлежит ей, то почему она все это кидала во все
интерфейсы и даже в другие физические Ethernet, которые к этому IP не имеют ни
малейшего отношения.

Вот такая детективная история...

Slawa Olhovchenkov

2008-11-21 20:47:22 UTC

Permalink

Hello Dmitry!

21 Nov 08, Dmitry V. Golov writes to Eugene Grosbein:

DVG> Thu Nov 20 2008 12:13, Slawa Olhovchenkov wrote to Dmitry V. Golov:
SO>> Сообщи. Только сначала придумай как это вредит бизнесу.

DVG> Прямо может быть и нет, а моему бизнесу вредило где-то на полчаса, пока
DVG> не
DVG> выявил причину. Причина оказалась в связке с одним из PPPOE клиентов - он
DVG> похоже устроил "драку" в фазе IPCP за назначение адреса (либо еще что-то,
DVG> я
DVG> так выяснить не успел), но за это время его сессии пробежало несколько
DVG> десятков мегабайт (судя по radius-accounting), хотя по IP-accounting он
DVG> потребил на свой IP-адрес и отправил с него за эту сессию всего несколько
DVG> килобайт. Суть в том, что все это время циска во ВСЕ СВОИ ИHТЕРФЕЙСЫ
DVG> неистово
DVG> кидала этот злополучный gratuitous ARP, говорящий о том, что как раз этот
DVG> самый IP-адрес этого клиента находится на ее (циски) MAC-е.

DVG> В результате, пока прямо в езернет не подрубились ноутом с Ethereal и не
DVG> увидели, что там все зафлужено этим gratuitous ARP, медленные сегменты
DVG> сети
DVG> практически лежали.

это аргумент. почти. надо еще обосновать почему нельзя отключить (что там ты
отключил?) proxy arp?
теперь осталось купить смартнет и открывать кейс.
ну или найти кого со смартнетом и воспроизвести там.

... 95, 98 - это количество багов. В пpоцентах.

Eugene Grosbein

2008-11-22 13:40:13 UTC

Permalink

21 ноя 2008, пятница, в 23:33 KRAT, Dmitry V. Golov написал(а):

EG>> Hа этих соединениях используешь маску /32?
DVG> Hу в общем то да. Это стандартное назначение одного адреса по PPP, того,
DVG> что
DVG> радиус-сервер указывыет серверу доступа в атрибуте адреса.

Hу вот поэтому оно и слало. Была бы маска /30 - почти наверняка
слать бы не стало. Afaik, требование рассылать такие arp-ы
включается командой ip host-routing.

Eugene

Andrew Lutov

2008-11-20 09:12:36 UTC

Permalink

Hello, Dmitry!

DVG> Обнаружил странное поведение своей циски 7206
DVG> (c7200p-advipservicesk9-mz.124-4.XD10.bin).

DVG> Hа циске терминируется N-е количество вланов, некоторые используются
DVG> для
DVG> PPPOE, некоторые используются просто со статически прописанными
DVG> IP-адресами. Так вот, при любой успешной авторизации PPPOE (а так же
DVG> еще такая вещь обнаружилась при успешных авторизациях PPTP) циска по
DVG> ВСЕМ своим субинтерфейсам всех своих Ethernet-интерфейсов рассылает
DVG> ARP-ответ (широковещательный), в котором говорится, что IP-адрес,
DVG> только что выданный по
DVG> PPPOE или PPTP соединению, находится на MAC-адресе ее (циски)
DVG> соответствующих езернет-интерфейсов.

DVG> Вопрос, зачем она вообще это делает? В глобальном конфиге ip arp proxy
DVG> disabled, да и не нормальный это ответ на ARP-запрос, а
DVG> самостоятельная инициатива циски. Позже аналогичное обнаружил на циске
DVG> 2650 ip base, там arp-proxy тоже отключен, да и похоже не влияет.

http://system-administrators.info/?p=875

"
Самопроизвольный ARP - такое поведение ARP, когда ARP-ответ присылается,
когда в этом (с точки зрения получателя) нет особой необходимости.
Самопроизвольный ARP-ответ это пакет-ответ ARP, присланный без запроса. Он
применяется для определения конфликтов IP-адресов в сети: как только станция
получает адрес по DHCP или адрес присваивается вручную, рассылается
ARP-ответ gratuitous ARP.
"

--
А5 увидимся е2 ли

Dmitry V. Golov

2008-11-20 08:32:22 UTC

Permalink

Все, сами нашли. Решается командой в глобале no ip gratuitous-arps.
Hо вообще все равно в IOS-ах с gratuitous arp косяк - если ip arp proxy
выключен, она не должна слать эти arp в какие попало интерфейсы, а должна
ограничиваться только соответствующими адресами на соответствующих интерфейсах
и субинтерфейсах. Сообщить бы цискоделам...

Wed Nov 19 2008 20:56, Dmitry V. Golov wrote to All:

DVG> From: "Dmitry V. Golov" <***@bancorp.ru>

DVG> Приветствую.

DVG> Обнаружил странное поведение своей циски 7206
DVG> (c7200p-advipservicesk9-mz.124-4.XD10.bin).

DVG> Hа циске терминируется N-е количество вланов, некоторые используются для
DVG> PPPOE, некоторые используются просто со статически прописанными
DVG> IP-адресами.
DVG> Так вот, при любой успешной авторизации PPPOE (а так же еще такая вещь
DVG> обнаружилась при успешных авторизациях PPTP) циска по ВСЕМ своим
DVG> субинтерфейсам всех своих Ethernet-интерфейсов рассылает ARP-ответ
DVG> (широковещательный), в котором говорится, что IP-адрес, только что
DVG> выданный по PPPOE или PPTP соединению, находится на MAC-адресе ее
DVG> (циски) соответствующих езернет-интерфейсов.

DVG> Вопрос, зачем она вообще это делает? В глобальном конфиге ip arp proxy
DVG> disabled, да и не нормальный это ответ на ARP-запрос, а самостоятельная
DVG> инициатива циски. Позже аналогичное обнаружил на циске 2650 ip base, там
DVG> arp-proxy тоже отключен, да и похоже не влияет.

DVG> Заранее спасибо.
DVG> Dmitry

Slawa Olhovchenkov

2008-11-20 09:13:42 UTC

Permalink

Hello Dmitry!

20 Nov 08, Dmitry V. Golov writes to Dmitry V. Golov:

DVG> Все, сами нашли. Решается командой в глобале no ip gratuitous-arps.
DVG> Hо вообще все равно в IOS-ах с gratuitous arp косяк - если ip arp proxy
DVG> выключен, она не должна слать эти arp в какие попало интерфейсы, а должна
DVG> ограничиваться только соответствующими адресами на соответствующих
DVG> интерфейсах и субинтерфейсах. Сообщить бы цискоделам...

Сообщи. Только сначала придумай как это вредит бизнесу.

... Если у тебя есть фонтан, заткни его; дай отдохнуть и фонтану.