一个简单的ARP问题，有知道的朋友吗？

faramita10

大家好，想请教一个问题。
两台主机A, B, 同时接到一个交换机C上
A,B两台机器接口的ip分别是10.1.1.1      10.1.1.2


此时A ping B后， A上便有了 10.1.1.2   AA:BB:CCD:EE:FF的ARP表项
之后我马上将B上10.1.1.2在接口上删除，并将网线拔掉，配置10.1.1.2在B主机的另外一个网口上，然后将新接口的网线接到交换机C上。

在这个过程中，我一直在A上抓包，但将B的新网口的网线接上以后，没有抓到任何ARP广播包通知10.1.1.2的MAC地址已变更，在A上显示arp -a, 10.1.1.2的MAC地址还是老的接口的AA:BB:CCD:EE:FF

更奇怪的是，我在A上ping 10.1.1.2 ， 原以为会不通(因arp 表未更新), 但奇快的是马上就通了，连延迟都没有，然后Arp 表的mac也更新为10.1.1.2所在的新网卡的MAC地址了

不太了解这个ping是如何触发ARP表更新的？有了解的朋友能帮忙解释一下吗？

非常感谢。

ssffzz1

在这个过程中，我一直在A上抓包，但将B的新网口的网线接上以后，没有抓到任何ARP广播包通知10.1.1.2的MAC地址已变更，


从插上网线，到抓包。你经过了多长时间。

siyuzhang

如果是局域网遇到了ARP网络攻击，建议可以装个瑞星防火墙开启ARP保护功能，拦截挺给力的。

isohybrid

个人看法：
ping 10.1.1.2时，在发送第一个回显请求之前触发了ARP广播，这个时候更新了A的ARP缓存

你可以看看TCPDUMP的输出验证一下嘛

terran_01

这个动作根本是感觉不出来的。

cheveu

回复 2# ssffzz1
我知道你懂，不过你也太不厚道了。
ARP表项是有老化时间的，超期后原有的记录就超期删除了。
楼主不做那个抓包，速度快点，尽快（cisco的交换机是180s）搞定所有变更并立即ping测试，也许就能看到有趣的事了。
真的很有意思。

我遇到过交换机上arp表项超期后不删除的bug，那时候就看到了很有趣的事。

ssffzz1

cheveu 发表于 2012-12-21 19:40
回复 2# ssffzz1
我知道你懂，不过你也太不厚道了。
ARP表项是有老化时间的，超期后原有的记录就超期删除 ...

我就问下如何抓的包。 又触动你那根神经了啊。难道我在不100%确定问题的时候和LZ胡乱喷一通就是厚道人了吗？？？

sleepcats

A主机上有10.1.1.2的MAC地址信息，所以不会ARP广播，A发出信息后就是交换机的事了。等A收到返回信息时发现10.1.1.2的MAC地址与现有的信息不一致，自然就更新MAC表了。

cheveu

ssffzz1 发表于 2012-12-23 20:23
我就问下如何抓的包。 又触动你那根神经了啊。难道我在不100%确定问题的时候和LZ胡乱喷一通就是厚道人 ...

您倒是没乱喷，不过没能知无尽言，堂堂一个版主确实不厚道。
一个arp的老化问题，很简单的事情，犯不着藏着掖着，一次吐干净不痛快？
我说话向来如此，你不习惯就不习惯，犯不着怪道我的哪根神经。

ssffzz1

一个arp的老化问题，很简单的事情，

我没有藏着掖着。
1、不只是一个ARP老化的问题，还有一个免费ARP更新的问题。
2、我不能100%的确定到底是什么问题，因此我让LZ抓下包。

3、如果你认为是ARP老化问题，麻烦你和LZ解释好。不要盯着我有没有讲。

我觉着去告诉别人方向比直接告诉别人结果重要，我认为在没确定问题先排查问题，比盲目的下结论重要。