Что за зверь ms-nlb-physserver и ms-nlb-virtserver?
Есть физически один большой свичёванный ethernet сегмент сети. В одной
его части используются адреса 10.0.0.0/16 (админ я) в другой
192.168.100.0/24 (другой админ).
В один прекрасный момент я начинаю намечать тормоза в работе сети,
поснифев немного в своём сегменте (на машине из 10.0.0.73) вижу:
192.168.100.42:xxxx -> 192.168.100.1:445
192.168.100.1:445 -> 192.168.100.42:xxxx
подобный траф прёт как броадкаст, по всем свичам. Подумал было на
arp-spoof, палчаса снифа arp-spoof не обнаружил. К тому же arpwatch
заорал бы по почте. Но у arpspoof в логах вот это:
arpwatch: ethernet mismatch 192.168.100.1 2:1:c0:a8:64:1
(2:bf:c0:a8:64:1) eth0
Пробую дальше:
# ping 192.168.100.1 &
# while true; do arp -d 192.168.100.1; sleep 1; done
в это время на другой консоле tcpdump выдаёт:
15:07:42.943396 02:01:c0:a8:64:01 > 00:50:da:cc:39:fd, ethertype ARP
(0x0806), length 60: arp reply 192.168.100.1 is-at 02:bf:c0:a8:64:01
15:07:43.380350 02:01:c0:a8:64:01 > ff:ff:ff:ff:ff:ff, ethertype Unknown
(0x886f), length 82:
0x0000: c001 dec0 0402 0000 0100 0000 c0a8
6401 ..............d.
0x0010: 0000 0000 0106 0000 0000 0000 7300
6500 ............s.e.
0x0020: 7200 7600 6500 7200 3100 2e00 6500 7800
r.v.e.r.1...e.x.
0x0030: 7000 6f00 2e00 6c00 6100 6e00 0000 0000
p.o...l.a.n.....
0x0040: 0000 0000
Вопросы:
1. Нормально ли это и что это за техника когда арп ответ приходит с
адреса отличного от того про который ответ?
2. Как я уже нагуглил 02:01:xx:xx:xx:xx это зарезервированный адрес для
MS-NLB-PhysServer-01, но что это такое не нашёл. Что это?
3. Как это всё может быть связанно с тем что свичи превратились в хабы
для этих адресов?
--
Покотиленко Костик <casper@meteor.dp.ua>
Reply to: