+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Синдром ARP в RouterOS или «утечка ARP»

Синдром ARP в RouterOS или «утечка ARP», RouterOS

pavlik386

Guest

03.01.2007 19:01:00

Привет. Это долго, но необходимо. Настройки теста: RouterBoard 153, версия 2.9.34. ARP: Включен - на всех интерфейсах.

ВНИМАНИЕ: ARP_PROXY не активирован ни на одном интерфейсе.

ether1 00-0c-42-0d-1d-6a
ether2 00-0c-42-0d-1d-6b
ether3 00-0c-42-0d-1d-6c
ether4 00-0c-42-0d-1d-6d
ether5 00-0c-42-0d-1d-6e

ether1 192.168.101.12/24
ether2 192.168.102.12/24
ether3 192.168.103.12/24
ether4 192.168.104.12/24
ether5 192.168.105.12/24

Список адаптеров Windows:

Description . . . . . . . . . . . : NVIDIA nForce Networking Controller
Physical Address. . . . . . . . . : 00-00-00-B0-0D-EE
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.105.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
IP Address. . . . . . . . . . . . : 192.168.104.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
IP Address. . . . . . . . . . . . : 192.168.103.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
IP Address. . . . . . . . . . . . : 192.168.102.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0

Результаты теста:

Таблица ARP всегда очищается перед тестом (arp -d).

Подключено к физическому интерфейсу ether1
Список ARP после ping 192.168.102.12
ping 192.168.103.12
ping 192.168.104.12
ping 192.168.105.12

Internet Address Physical Address Type
192.168.102.12 00-0c-42-0d-1d-6a dynamic - bad record
192.168.103.12 00-0c-42-0d-1d-6a dynamic - bad record
192.168.104.12 00-0c-42-0d-1d-6a dynamic - bad record
192.168.105.12 00-0c-42-0d-1d-6a dynamic - bad record
Здесь не должно быть никаких записей.

Подключено к физическому интерфейсу ether2
Список ARP после ping 192.168.102.12
ping 192.168.103.12
ping 192.168.104.12
ping 192.168.105.12

Internet Address Physical Address Type
192.168.102.12 00-0c-42-0d-1d-6b dynamic - only correct record
192.168.103.12 00-0c-42-0d-1d-6b dynamic - bad record
192.168.104.12 00-0c-42-0d-1d-6b dynamic - bad record
192.168.105.12 00-0c-42-0d-1d-6b dynamic - bad record

Подключено к физическому интерфейсу ether3
Список ARP после ping 192.168.102.12
ping 192.168.103.12
ping 192.168.104.12
ping 192.168.105.12

Internet Address Physical Address Type
192.168.102.12 00-0c-42-0d-1d-6c dynamic - bad record
192.168.103.12 00-0c-42-0d-1d-6c dynamic - only correct record
192.168.104.12 00-0c-42-0d-1d-6c dynamic - bad record
192.168.105.12 00-0c-42-0d-1d-6c dynamic - bad record

Подключено к физическому интерфейсу ether4
Список ARP после ping 192.168.102.12
ping 192.168.103.12
ping 192.168.104.12
ping 192.168.105.12

Internet Address Physical Address Type
192.168.102.12 00-0c-42-0d-1d-6d dynamic - bad record
192.168.103.12 00-0c-42-0d-1d-6d dynamic - bad record
192.168.104.12 00-0c-42-0d-1d-6d dynamic - only correct record
192.168.105.12 00-0c-42-0d-1d-6d dynamic - bad record

Подключено к физическому интерфейсу ether5
Список ARP после ping 192.168.102.12
ping 192.168.103.12
ping 192.168.104.12
ping 192.168.105.12

Internet Address Physical Address Type
192.168.102.12 00-0c-42-0d-1d-6e dynamic - bad record
192.168.103.12 00-0c-42-0d-1d-6e dynamic - bad record
192.168.104.12 00-0c-42-0d-1d-6e dynamic - bad record
192.168.105.12 00-0c-42-0d-1d-6e dynamic - only correct record

Вывод:

ARP в Mikrotik работает некорректно. Отвечать должен только IP, назначенный интерфейсу ether. Я пробовал другие Routerboard'ы, и у всех сломанная подсистема ARP. RouterOS PC версии 2.9.38 тоже не работает корректно.

Я понимаю, что это Linux проблема, но я не так хорошо разбираюсь в Linux. Я разработчик под Windows и не видел ничего интересного в терминале или FTP. Я даже не нашел, какая версия Linux установлена.

Вопросы:

* Знает ли кто-нибудь, как исправить Mikrotik с помощью конфигурации или другим способом?
* Знает ли кто-нибудь, является ли это глобальной проблемой Linux или ошибкой Mikrotik?
* Если это проблема Linux, можно ли исправить Mikrotik каким-то образом?
* Может быть, это известная проблема, но почему об этом никто не знает?

Спасибо.

changeip

Guest

03.01.2007 20:16:00

Этот MAC, который ты видишь в таблице arp -a, — это MAC, который отреагировал на этот IP, а не обязательно пара mac/ip, указанная дальше. Если ты используешь NAT или что-то подобное, что отвечает за него, то он покажет эти альтернативные подсети с основным физическим MAC. Что-то не работает из-за этого, или ты просто заметил это, и это не проблема? Мне кажется, Windows бы сделала то же самое — если бы у тебя был Windows Server на 5 подсетях, но использовался только один интерфейс и была включена маршрутизация. Сэм.

pavlik386

Guest

04.01.2007 09:06:00

Спасибо за ответ, но вы не понимаете проблему. Я знаю, как работает "arp -a". Дело не в 5 подсетях на моем компьютере с Windows и одним интерфейсом. Дело в 5 интерфейсах на RouterBoard 153. Если я подключен к одному интерфейсу, только этот интерфейс должен отвечать на arp-запросы и только с ip-адресами (одним или многими), определенными на этом интерфейсе. В моем тесте на каждом из 5 Mikrotik-интерфейсов только один IP-адрес. Я сейчас не использую NAT или что-то подобное. Этот Mikrotik дали мне на тестирование из-за некорректного поведения ARP. Я просто выяснил, что он действительно не работает как надо. Павел.

normis

Guest

04.01.2007 10:07:00

В Linux и RouterOS адрес принадлежит маршрутизатору, а не интерфейсу. Маршрутизатор будет отвечать по всем своим адресам. Объект интерфейса используется только для создания маршрута по умолчанию, и это его единственное применение.

bjohns Guest	#5 0 04.01.2007 11:06:00 Я думаю, что так происходит с большинством, если не со всеми настоящими роутерами.

grzesjan Guest	#6 0 04.01.2007 13:38:00 В Linux это можно настроить по пути /proc/sys/net. Грегор

pavlik386

Guest

04.01.2007 13:54:00

Хорошие новости, но знаешь, можно ли это отредактировать в RouterOS? Нашёл кое-что здесь: http://linux-ip.net/html/ether-arp.html. ARP flux описывает другую проблему, когда вместо основного интерфейса отвечают другие. Что-то вроде arp_filter, но я не знаю, как это настроить в RouterOS или возможно ли это в его ядре Linux. Павел

grzesjan Guest	#8 0 04.01.2007 15:57:00 Невозможно. Я уже ответил Нормису. Грегор.

tneumann

Guest

04.01.2007 17:07:00

pavlik386, сама конфигурация твоей тестовой среды построена на неверной сетевой настройке. С такими параметрами и последующим подключением виндовой машины к одному из портов ether1..ether5 ты создаешь сетевую структуру, которая никогда не будет работать корректно. Проблема в том, что ты назначаешь несколько IP-адресов сетевому адаптеру виндовой машины, и эти адреса принадлежат различным аппаратным интерфейсам (ether1..ether5) на роутере. Допустим, ты подключил виндовую машину к ether2 на роутере. Теперь к ether2 также назначены адреса 192.168.103.12, 192.168.104.12 и 192.168.105.12, но роутер не может это правильно обработать, потому что ожидает, что эти адреса будут напрямую подключены к другим интерфейсам (ether3..ether5). Клиенты, физически подключенные к ether2, не могут иметь адрес, попадающий в сеть, связанную с интерфейсом, отличным от ether2 на роутере (если только этот другой интерфейс не настроен как bridge к ether2, и даже в этом случае IP-адрес роутера будет установлен на интерфейсе bridge). Все это не специфично для MikroTik, а просто правила корректной IP-сетевой настройки. –Tom

pavlik386

Guest

#10

04.01.2007 19:47:00

Я хотел бы кое-что прояснить. Я знаю, что это недействительно, это для тестовых целей. Да, я знаю! Я решаю проблему с ARP-ответами, которые коверкают MAC-таблицы. Вы правы… и не стоит отправлять ни одного пакета с этими IP-адресами на ether2 (ARP тоже). В моем случае это не клиенты, а инопланетяне, и я не хочу отправлять им никаких пакетов (ARP тоже) на ether2. Да, но мы же не живем в идеальном мире и вся сеть у нас не на руках. И проблема все равно остается. Я спрашивал много людей, и все говорят, что с Mikrotik этого не должно происходить. grzesjan написал, что это можно решить на Linux. Значит, должно быть возможно и на RouterOS тоже. Забавная штука: когда ты устанавливаешь ARP для ether2 в режим "reply-only", все работает правильно. В этом случае ARP для IP на ether2 работает, а остальные ARP для других IP игнорируются. Вот так и должно быть. Проблема в том, что мне нужно сделать полную статическую ARP-таблицу для ether2, и это не очень хорошее решение.

tneumann Guest	#11 0 04.01.2007 20:16:00 Какой IP-адрес ты указал в качестве шлюза по умолчанию на Windows PC, когда делал тесты ping? –Том

pavlik386

Guest

#12

05.01.2007 08:48:00

Шлюз по умолчанию не установлен. Шлюз — это не проблема. Если он и определен, все равно не используется, потому что все нужные подсети определены на интерфейсе Windows. В этом случае шлюз и не нужен. Запрос ARP отправляется по IP в ping, а не по IP шлюза. Павел.

pavlik386 Guest	#13 0 07.01.2007 11:38:00 Хватит это продолжать. В Linux речь идет про: arp_filter, arp_ignore, arp_announce. Теперь авторы RouterOS должны внедрить контроль над этими переменными.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры