| [這個貼子最後由Alien在 2003/09/07 00:26am 第 1 次編輯]teSK9 ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! GCm. 原貼在此處:1 http://www.ciscofan.com/cgi-bin/bbs/topic.cgi?forum=1&topic=2888I3jzEf ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! M/qPDT “現在內網中一些中病毒的機器,向相鄰網段發ICMP包,這樣導致了相鄰網段的網關也在交 換機內部發ARP廣播,在交換機中SHO ARP。發現大部分的IP對應的MAC地址都是不完整的。”( ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! M' 現在來看看這個 Incomplete狀態是如何形成的,首先打開debug arpt"I\Z ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! 4x RouterA#debug arp y(GL ARP packet debugging is on#"7es$ ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! ej 路由器上的ARP表顯示如下:! ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! zD4oR RouterA#sh arpU>s1V Protocol Address Age (min) Hardware Addr Type InterfaceYG1o%G Internet 10.1.1.1 - 0010.7b37.c0a2 ARPA Ethernet05+ ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! sqm 這時在路由器上ping一個10.1.1.0/24網段中並存在的IP地址10.1.1.2TW ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! U RouterA#ping 10.1.1.2D ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! DiO Type escape sequence to abort.e=u\ Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:t8]}mk ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! |C 00:06:41: IP ARP: creating incomplete entry for IP address: 10.1.1.2 interface Ethernet0[ 00:06:41: IP ARP: sent req src 10.1.1.1 0010.7b37.c0a2,O:KZva dst 10.1.1.2 0000.0000.0000 Ethernet0zM1E 00:06:41: IP ARP: rcvd rep src 10.1.1.2 00e0.4c4d.50ab, dst 10.1.1.1 Ethernet0jZ-l Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 msp#2r@ ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! =b(_B 由上述debug可看到路由器會首先爲10.1.1.2創建一個incomplete entry,接下來的顯示“rcvd rep src 10.1.1.2 00e0.4c4d.50ab”表明路由器已收到10.1.1.2的正確arp reply。這時路由器將此incomplete entry置換爲正確的MAC地址,如下所示:+6Wo2 ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! ~I RouterA#sh arp! Protocol Address Age (min) Hardware Addr Type Interfacear Internet 10.1.1.2 0 00e0.4c4d.50ab ARPA Ethernet0\ Internet 10.1.1.1 - 0010.7b37.c0a2 ARPA Ethernet0JUc`a" ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! bmn- 這時在路由器上ping 一個10.1.1.0/24網段中並不存在的IP地址10.1.1.3Z ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! +" RouterA#ping 10.1.1.3_!1* ©Ciscofan 技術論壇 -- 最棒的網絡技術論壇! zL< Type escape sequence to abort.Q Sending 5, 100-byte ICMP Echos to 10.1.1.3, timeout is 2 seconds:i&W./ ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! 7Md 00:13:08: IP ARP: creating incomplete entry for IP address: 10.1.1.3 interface Ethernet0\h9 00:13:08: IP ARP: sent req src 10.1.1.1 0010.7b37.c0a2,0r dst 10.1.1.3 0000.0000.0000 Ethernet0.HNT& 00:13:10: IP ARP: sent req src 10.1.1.1 0010.7b37.c0a2,$ dst 10.1.1.3 0000.0000.0000 Ethernet0.[ 00:13:12: IP ARP: sent req src 10.1.1.1 0010.7b37.c0a2,&r"KcE dst 10.1.1.3 0000.0000.0000 Ethernet0.=2 00:13:14: IP ARP: sent req src 10.1.1.1 0010.7b37.c0a2,* dst 10.1.1.3 0000.0000.0000 Ethernet0.@/e$.8 00:13:16: IP ARP: sent req src 10.1.1.1 0010.7b37.c0a2,CvS dst 10.1.1.3 0000.0000.0000 Ethernet0.8- Success rate is 0 percent (0/5)|c4P] ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! O2\ debug結果中可看到路 由器同樣爲10.1.1.2創建了一個incomplete entry,然後路由器通過10.1.1.1的以太口網關對10.1.1.0/24網段進行arp request廣播,經過5次request後仍沒有結果,此時再show arp,可看到這個地址所對應的MAC地址顯示爲Incomplete。-y4~C ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! }1ikF$ RouterA#sh arpz?9 Protocol Address Age (min) Hardware Addr Type Interface`h;T2 Internet 10.1.1.2 0 00e0.4c4d.50ab ARPA Ethernet08`Odys Internet 10.1.1.3 0 Incomplete ARPAskGv?> ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! W][ 而如果同時也把debug ip packet detail打開,你還可以看到ICMP的錯誤類型爲encapsulation failed:0 ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! (6 RouterA#ping 10.1.1.3ab ©Ciscofan 技術論壇 -- 最棒的網絡技術論壇! bNL Type escape sequence to abort.wXcq Sending 5, 100-byte ICMP Echos to 10.1.1.3, timeout is 2 seconds:xKv^w> ©Ciscofan技術論壇 -- 最棒的網絡技術論壇! V 00:53:46: IP: s=10.1.1.1 (local), d=10.1.1.3 (Ethernet0), len 100, sending889 00:53:46: ICMP type=8, code=0ch@vl 00:53:46: IP: s=10.1.1.1 (local), d=10.1.1.3 (Ethernet0), len 100, encapsulation failedz 00:53:46: ICMP type=8, code=0.9 |
||
arp incomplete
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.