| [这个贴子最后由Alien在 2003/09/07 00:26am 第 1 次编辑]teSK9 ©Ciscofan技术论坛 -- 最棒的网络技术论坛! GCm. 原贴在此处:1 http://www.ciscofan.com/cgi-bin/bbs/topic.cgi?forum=1&topic=2888I3jzEf ©Ciscofan技术论坛 -- 最棒的网络技术论坛! M/qPDT “现在内网中一些中病毒的机器,向相邻网段发ICMP包,这样导致了相邻网段的网关也在交 换机内部发ARP广播,在交换机中SHO ARP。发现大部分的IP对应的MAC地址都是不完整的。”( ©Ciscofan技术论坛 -- 最棒的网络技术论坛! M' 现在来看看这个 Incomplete状态是如何形成的,首先打开debug arpt"I\Z ©Ciscofan技术论坛 -- 最棒的网络技术论坛! 4x RouterA#debug arp y(GL ARP packet debugging is on#"7es$ ©Ciscofan技术论坛 -- 最棒的网络技术论坛! ej 路由器上的ARP表显示如下:! ©Ciscofan技术论坛 -- 最棒的网络技术论坛! zD4oR RouterA#sh arpU>s1V Protocol Address Age (min) Hardware Addr Type InterfaceYG1o%G Internet 10.1.1.1 - 0010.7b37.c0a2 ARPA Ethernet05+ ©Ciscofan技术论坛 -- 最棒的网络技术论坛! sqm 这时在路由器上ping一个10.1.1.0/24网段中并存在的IP地址10.1.1.2TW ©Ciscofan技术论坛 -- 最棒的网络技术论坛! U RouterA#ping 10.1.1.2D ©Ciscofan技术论坛 -- 最棒的网络技术论坛! DiO Type escape sequence to abort.e=u\ Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:t8]}mk ©Ciscofan技术论坛 -- 最棒的网络技术论坛! |C 00:06:41: IP ARP: creating incomplete entry for IP address: 10.1.1.2 interface Ethernet0[ 00:06:41: IP ARP: sent req src 10.1.1.1 0010.7b37.c0a2,O:KZva dst 10.1.1.2 0000.0000.0000 Ethernet0zM1E 00:06:41: IP ARP: rcvd rep src 10.1.1.2 00e0.4c4d.50ab, dst 10.1.1.1 Ethernet0jZ-l Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 msp#2r@ ©Ciscofan技术论坛 -- 最棒的网络技术论坛! =b(_B 由上述debug可看到路由器会首先为10.1.1.2创建一个incomplete entry,接下来的显示“rcvd rep src 10.1.1.2 00e0.4c4d.50ab”表明路由器已收到10.1.1.2的正确arp reply。这时路由器将此incomplete entry置换为正确的MAC地址,如下所示:+6Wo2 ©Ciscofan技术论坛 -- 最棒的网络技术论坛! ~I RouterA#sh arp! Protocol Address Age (min) Hardware Addr Type Interfacear Internet 10.1.1.2 0 00e0.4c4d.50ab ARPA Ethernet0\ Internet 10.1.1.1 - 0010.7b37.c0a2 ARPA Ethernet0JUc`a" ©Ciscofan技术论坛 -- 最棒的网络技术论坛! bmn- 这时在路由器上ping 一个10.1.1.0/24网段中并不存在的IP地址10.1.1.3Z ©Ciscofan技术论坛 -- 最棒的网络技术论坛! +" RouterA#ping 10.1.1.3_!1* ©Ciscofan 技术论坛 -- 最棒的网络技术论坛! zL< Type escape sequence to abort.Q Sending 5, 100-byte ICMP Echos to 10.1.1.3, timeout is 2 seconds:i&W./ ©Ciscofan技术论坛 -- 最棒的网络技术论坛! 7Md 00:13:08: IP ARP: creating incomplete entry for IP address: 10.1.1.3 interface Ethernet0\h9 00:13:08: IP ARP: sent req src 10.1.1.1 0010.7b37.c0a2,0r dst 10.1.1.3 0000.0000.0000 Ethernet0.HNT& 00:13:10: IP ARP: sent req src 10.1.1.1 0010.7b37.c0a2,$ dst 10.1.1.3 0000.0000.0000 Ethernet0.[ 00:13:12: IP ARP: sent req src 10.1.1.1 0010.7b37.c0a2,&r"KcE dst 10.1.1.3 0000.0000.0000 Ethernet0.=2 00:13:14: IP ARP: sent req src 10.1.1.1 0010.7b37.c0a2,* dst 10.1.1.3 0000.0000.0000 Ethernet0.@/e$.8 00:13:16: IP ARP: sent req src 10.1.1.1 0010.7b37.c0a2,CvS dst 10.1.1.3 0000.0000.0000 Ethernet0.8- Success rate is 0 percent (0/5)|c4P] ©Ciscofan技术论坛 -- 最棒的网络技术论坛! O2\ debug结果中可看到路 由器同样为10.1.1.2创建了一个incomplete entry,然后路由器通过10.1.1.1的以太口网关对10.1.1.0/24网段进行arp request广播,经过5次request后仍没有结果,此时再show arp,可看到这个地址所对应的MAC地址显示为Incomplete。-y4~C ©Ciscofan技术论坛 -- 最棒的网络技术论坛! }1ikF$ RouterA#sh arpz?9 Protocol Address Age (min) Hardware Addr Type Interface`h;T2 Internet 10.1.1.2 0 00e0.4c4d.50ab ARPA Ethernet08`Odys Internet 10.1.1.3 0 Incomplete ARPAskGv?> ©Ciscofan技术论坛 -- 最棒的网络技术论坛! W][ 而如果同时也把debug ip packet detail打开,你还可以看到ICMP的错误类型为encapsulation failed:0 ©Ciscofan技术论坛 -- 最棒的网络技术论坛! (6 RouterA#ping 10.1.1.3ab ©Ciscofan 技术论坛 -- 最棒的网络技术论坛! bNL Type escape sequence to abort.wXcq Sending 5, 100-byte ICMP Echos to 10.1.1.3, timeout is 2 seconds:xKv^w> ©Ciscofan技术论坛 -- 最棒的网络技术论坛! V 00:53:46: IP: s=10.1.1.1 (local), d=10.1.1.3 (Ethernet0), len 100, sending889 00:53:46: ICMP type=8, code=0ch@vl 00:53:46: IP: s=10.1.1.1 (local), d=10.1.1.3 (Ethernet0), len 100, encapsulation failedz 00:53:46: ICMP type=8, code=0.9 |
||
arp incomplete
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.