交换机端口的MAC地址表上多出了一个MAC地址

老陈73

今天接到一个人的电话，说自己的IP被人占了，于是ping 这个IP,然后ARP IP，得到这个IP的MAC。
查了一下，发现占用这个IP的MAC居然出现在交换机直连一台服务器的端口上。
这台服务器操作系统是Debian5,运行的是我用java写的一个人力资源系统，没有运行其它软件。
拔下这台服务器的网线，连接服务器的交换机对应端口的MAC表就为空，一插上，这个端口的MAC地址表就显示有两个MAC，一个是服务器的MAC，另一个就是占用了别人IP的MAC
Ping发现，占用别人IP的ttl是128,而我的服务器是Debian系统，ttl是64

这是怎么一回事？

老陈73

服务器的系统是Debian，Ping服务器得到的ttl是64,这是正常的，但Ping被占用的IP（其MAC地址值出现在连接服务器的交换机端口上），得到的ttl是128,显示被占用的IP的系统是Windows。

交换机的这个端口只接了这台服务器，拔下服务器端的网线后，交换机端口指示灯熄灭，端口的MAC地址表为空；插上服务器端的网线，交换机端口的MAC地址表就有两个MAC，一个是服务器的，一个是占用IP的MAC

老陈73

还有，就是拔下服务器网线后，被占用的IP的用户就反应网络正常了，将此用户的IP修改为其它IP，再Ping这个占用的IP，就Ping不通了。

老陈73

我把服务器接到另一台交换机上，这两个MAC又出现在新的交换机的接口上，并且，拔下这根线，就Ping不能占用的IP，插入这根线，就能Ping通。

是不是服盘器染毒了？Debian上怎么查毒？

老陈73

下午5点，我们公司很多人下班的时间，这个MAC地址在交换机上再也找不到了，消失了。

老陈73

从昨天下午5点到现在，这个现象再也没有出现过，那个占用别人IP的MAC地址在交换机上也查不到了。

老陈73

128.128.1.110是被占用的IP

root@XX:/home/c# ping 128.128.1.110
PING 128.128.1.110 (128.128.1.110) 56(84) bytes of data.
64 bytes from 128.128.1.110: icmp_req=1 ttl=128 time=945 ms
64 bytes from 128.128.1.110: icmp_req=2 ttl=128 time=34.9 ms
64 bytes from 128.128.1.110: icmp_req=3 ttl=128 time=35.9 ms
^C
--- 128.128.1.110 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2001ms
rtt min/avg/max/mdev = 34.915/338.939/945.991/429.250 ms
root@XX:/home/c# arp 128.128.1.110
Address                  HWtype  HWaddress           Flags Mask            Iface
128.128.1.110            ether   00:21:5e:29:b3:73   C                     eth0


<S1_5500SI_XXZX>dis mac-add 0021-5e29-b373
MAC ADDR        VLAN ID   STATE          PORT INDEX               AGING TIME(s)
0021-5e29-b373  1         Learned        GigabitEthernet1/0/20    AGING

  ---  1 mac address(es) found  ---

<S1_5500SI_XXZX>dis mac-add interface gigabitethernet 1/0/20
MAC ADDR        VLAN ID   STATE          PORT INDEX               AGING TIME(s)
0021-5e29-b373  1         Learned        GigabitEthernet1/0/20    AGING
0021-5e73-f7d4  1         Learned        GigabitEthernet1/0/20    AGING

  ---  2 mac address(es) found  ---


0021-5e73-f7d4是服务器的MAC，从昨天下午5点开始：
c@XX:~$ ping 128.128.1.110
PING 128.128.1.110 (128.128.1.110) 56(84) bytes of data.
^C
--- 128.128.1.110 ping statistics ---
5 packets transmitted, 0 received, +3 errors, 100% packet loss, time 4024ms
pipe 3

<S1_5500SI_XXZX>dis mac-add interface gigabitethernet 1/0/20
MAC ADDR        VLAN ID   STATE          PORT INDEX               AGING TIME(s)
0021-5e73-f7d4  1         Learned        GigabitEthernet1/0/20    AGING

  ---  1 mac address(es) found  ---

<S1_5500SI_XXZX>dis mac-add 0021-5e29-b373
Such mac address does not exist!


交换机一个直连Linux服务器的端口，莫名其妙出现两个MAC，又莫名其妙消失，并且多出来的这个MAC还是占用了别人IP的MAC，Ping这个IP得到的ttl还是128。而不是Linux的64,我确实想不明白这是怎么回事

marsteel

老陈73 发表于 2012-08-28 10:29
128.128.1.110是被占用的IP

root@XX:/home/c# ping 128.128.1.110

00-21-5E   (hex)                IBM Corp
00215E     (base 16)                IBM Corp
                                3039 E Cornwallis Road
                                P.O. BOX 12195
                                Research Triangle Park NC 27709-2195
                                UNITED STATES

ssffzz1

你确定这根网线只接了这台服务器。

老陈73

回复 9# ssffzz1

拔下服务器上网线插头，交换机上1/0/20口的灯就熄了。