[請益] 關於arp表綁定的問題

作者CKT0804 (一種病)

看板MIS

標題[請益] 關於arp表綁定的問題

時間Mon Nov 10 13:41:15 2014

最近在更換公司的防火牆設備，發現有部分電腦換了之後完全無法連線仔細檢查以後發現那些電腦(XP或是VISTA)的ARP表的預設閘道的IP皆被綁定為靜態，只要清除ARP重抓就可以連接了，但是該些電腦只要網卡重啟或是重開機，ARP的預設閘道的IP就會變為靜態，研究GOOGLE大神一陣子發現使用一般指令綁定ARP重開機應該就不會維持綁定狀態，但是那些電腦只要網卡停用啟用ARP表就會恢復綁定，也仔細檢查過開機並沒有執行批次指令造成一開機自動以指令去指定ARP 靜態綁定。這問題困擾小弟許久不知道是否有前輩碰過類似例子可以告知我如何去解決。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.146.43.169 ※ 文章網址: http://www.ptt.cc/bbs/MIS/M.1415598077.A.E60.html

→ asdfghjklasd: 你確定 ARP static 是在電腦弄?11/10 22:17

確定因為只有部份電腦有據說當時因為某些原因預設閘道的ip衝突當時的人突發奇想在一部份電腦綁定了的

→ lusaka: 請您先確定，用戶端有沒有套GP11/10 22:50

沒做AD 如果是我認知的gp

→ deadwood: netsh interface ipv4 delete neighbors (以下略)11/10 23:09

→ deadwood: 順便一提這個叫做persistent arp entry11/10 23:16

試過網卡停用啟用一樣 ※ 編輯: CKT0804 (114.32.71.21), 11/11/2014 01:14:21

推 ihon822: 應該是IP衝突把gateway拔掉再ping gateway IP看看 11/11 21:39

這個部分已經排除了 ip衝突是很久以前的事情後來有透過swtich的mac table找到衝突的設備，因為當時在的資訊人員不會使用cisco switch 來抓衝突的設備所以用了不知道什麼奇妙的指令用arp綁定正確的閘道暫時讓公司電腦都可以連網

推 lovespre: 還有一個可能是網卡一樣....遇過套裝電腦網卡序號一樣 11/11 22:40

→ deadwood: 看來是我搞錯了，XP跟vista不能用netsh鎖ARP table 11/11 23:39

→ deadwood: 不過這也表示要讓這兩種平台鎖住ARP只能自己寫script 11/11 23:40

→ deadwood: 不然就是用外力(arp spoofing)，另外不確定能不能用修改 11/11 23:41

→ deadwood: 登錄值的方式做到這一點，要再研究看看.... 目前朝這個方向去研究目前發現兩台綁死的好像都是vista 有在微軟的網站上找到這篇 http://support.microsoft.com/kb/2718830

→ x2006: arp -a的指令有幾個IP均指向同一個實體位址(MAC)嗎? 11/12 15:13

→ x2006: http://i.imgur.com/FeigHmH.jpg , 有像這樣嗎? 11/12 15:20

→ x2006: www.tp-link.tw/article/?faqid=169 , 網管設備好像也可設 11/12 15:22

其實目前狀況是個同個lan的多數電腦都是正確的使用動態arp更新抓到新的防火牆MAC 只有部分電腦在我更換新的防火牆由於他的ARP表上IP跟MAC 是靜態綁定才會導致不能連接閘道。

推 johnten: 我覺得,主觀看法,你當初的問題沒解決導致你現在的問題 11/12 16:12

→ johnten: 為什麼這樣說,因為你內部網段的預設閘道還是衝突 11/12 16:13

→ johnten: 要不要找內部有沒有網路設備在發DHCP 11/12 16:13

這個部份我真的排除了我還蠻確定的目前是沒有ip衝突

→ johnten: asd兄講的沒錯,我覺得你一定有網路設備在干擾 11/12 16:14

→ johnten: 且他們的MAC 被綁在不知名網路設備的ARP上面, 11/12 16:16

→ johnten: 能不能實驗一台電腦買一張螃蟹卡回來裝看看 11/12 16:16

→ johnten: 看它能不能上得去,另外試著安裝XP/TCPIP Repair修看看 11/12 16:17

這個部份我也有測試過使用一台乾淨全新的nb連接到不能使用電腦使用的port目前是正常的，所以目前排除是有其他的網通設備在干擾。

推 deadwood: 如果有干擾，那抓封包一定能抓到吧....撈ARP封包這樣 11/12 19:44

目前朝向個別幾台電腦去處理... 本公司目前真的全部電腦使用靜態IP設定... 由於當初網路規劃的人似乎是個外行公司網路規劃的亂七八糟... 本人目前也努力在改善可是在運作中的網路要修改架構困難重重... 感謝各位熱心的協助不過那個VISTA的HOTFIX不知道為啥VISTA裝不上去唉~~ ※ 編輯: CKT0804 (122.146.43.169), 11/14/2014 09:44:38

→ deadwood: 那個hotfix要先把vista更新到SP2，要裝SP2要先裝SP1 11/14 14:40

→ deadwood: 確認一下你們電腦的版本吧 11/14 14:40

→ CKT0804: 我知道阿XD 當然有確定SP版本 11/14 17:31

→ ihon822: ARP取得是靠L2廣播 CISCO回應錯的MAC就應該去改CISCO設備 11/15 11:26

→ ShinjoYuma: Cisco switch有做security port configure 吧，簡單 11/15 14:59

→ ShinjoYuma: 來說就是只要換設備或換網路卡沒有把網卡的Mac寫入 11/15 15:03

→ ShinjoYuma: 到Cisco switch就會這樣，好處是防止來路不明的設備.. 11/15 15:04