使用Sniffer分析ARP网络故障

电信网络内部一套112测试系统，涉及到一系列服务器和测试头(具有TCP/IP三层功能的终端)，原有的拓扑在电信内网(DCN)中。由于测试范围的扩大，有些机房没有内网接入点，变通的方案是在城域网上建立一个VPN，将那些没有DCN接入点的测试头设备接在此VPN上，然后此VPN通过一个防火墙(PIX)与DCN做接口。可以将这些测试头看作一些提供测试服务的服务器，使用NAT静态转换将这些测试头映射为DCN内网网段上的IP地址，内网的 一些客户端使用这些映射后的地址访问测试头。
　　方案实施后，用DCN内网设备访问有些测试头，时通时不通，对这些局点的112测试工作带来了极大的困扰。通过使用Sniffer抓包工具，结合对ARP协议的理解，逐步分析出了故障的真正原因，解决了问题。这个分析解决问题的思路本人自己觉得有归纳总结的必要，所以成文推荐给大家，共同学习。

　　故障现象说明

　　112系统的部分网络拓扑图如图1所示。

　　

故障现象

　　1.DCN中的112CLIENT有时访问不到测试头A。112CLIENT ping 不通测试头A，网关F上也ping 不通测试头A。

　　2. F上始终有ARP记录：例如嘉兴某NPORT测试头A

　　Internet 10.0.2.70 118 0090.e809.b82f ARPA FastEthernet0/1

　　3. 如果F上clear arp，则112CLIENT再ping，可以ping通。

　　4. 如果不采取步骤3，用DCN内机器telnet 134.100.200.10(测试头B)，再用B来ping 10.0.2.70(测试头A)，能ping通。再用112CLIENT ping A，能ping通。

　　5. 将测试头换下，换上同IP地址笔记本电脑，没有任何问题。

　　对问题的预先判断中，有两种倾向性猜测，如下：

　　◆ A：NPORT测试头的TCP/IP实现不规范。测试头是厂家应局方要求加工组装的，其TCP/IP协议簇的实现是建立在NPORT MOXA卡上的，主要是为了实现TCP/IP与SERIAL协议之间的转换。而这种实现的可靠性并没有100%的把握。如果是这个原因，需厂家解决。

　　◆ B：宽带交换机的设置不科学。交换机的ARP条目失效时间对其ARP对照表有很大影响，设的太短，很快就失效，包过来后就会不知道流向哪个端口，会被交换机丢弃。宽带交换机属于数据部门维护，一般情况下不会提供给我们口令，没有确实的判断，他们一般不愿意改交换机设置。

　　所以确实的定位问题的所在，是我们解决故障的先决条件。

查找故障源

　　在不能确定故障源的情况下，我们同时从以上两种倾向性猜测的角度出发，力图从两个方向做出解释，最后找出符合实际的故障点。

　　首先，改变拓扑结构如图2所示，网关接口之一连接一台共享带宽的HUB，HUB上的两个端口分别连接宽带部分和一台运行Sniffer的电脑。这样，Sniffer能“抓”到所有宽带与网关F之间的包。

　　

　　针对现象一：IDSCLIENT ping不通测试头A

测试动作一：

　　1)网关F上有A的ARP记录。

　　112_edge#sh arp | include 10.0.2.70

　　Internet 10.0.2.70 3 0090.e809.b82f ARPA FastEthernet0/1

　　2)用内网的IDSCLIENT来ping A，结果ping不通。

　　用Sniffer抓包，从图3中可以清楚地看出，ICMP探测包从网关F准确地向目的A 10.0.2.70(09B82F)发送,但A没有回响应包。所以结果为ping不通。

　　

　　基于两种猜测，故障的原因可能解释有：

　　解释A：应该为A的ARP缓存中没有网关F的ARP记录，所以A找不到网关的MAC地址，而且它对这种“找不到网关的MAC地址”不作为(NPORT测试头对ARP的实现不完善)。

　　解释B：连接测试头A的宽带交换机中的MAC对端口的对应记录过期，在MAC地址表中目的MAC地址无对应端口，交换机丢掉此包。

　　针对现象二：将测试头换下，换上同IP地址笔记本电脑，没有任何问题。

测试动作二：

　　1)A的位置换上一台电脑hongjing(IP与A一致),且让网关F有hongjing的ARP记录。

以下是引用片段：
　　112_edge#sh arp | include 10.0.2.70
　　Internet 10.0.2.70 3 000b.dbe0.1de9 ARPA FastEthernet0/1
　　2)IDSCLIENT2(134.100.5.52) ping 10.0.2.70(HONGJING),能ping通。

　　基于两种猜测，故障的原因的解释有：

　　解释A：包从网关F中发过来，ICMP探测包准确的发送到目的A 10.0.2.70,hongjing同样由于本机ARP缓存中没有网关F的记录，不能立即发送ICMP回应包。但hongjing没有“不作为”，而是根据ICMP包的源IP地址跟自己的掩码判断此ICMP查询包发自广播域外，所以hongjing当机立断，向本广播域发起ARP查询，要查出网关10.0.0.1的MAC地址，查到后，将ICMP回应包发送到10.0.0.1,所以网络能通。

　　对比动作一，动作二的网络包分析，不难发现问题所在。相同的条件与情况下，产生“通”与“不通”的两种结果，关键在于测试头(A)与电脑(hongjing)对ICMP查询包的“态度”不一样所致。电脑hongjing的态度“积极”，当没有该包的传递者F的MAC地址时，会想方设法找到“回答”的路径，并“回答”。而测试头A的态度“消极”，收到询问包时，发现自己没有该包传递者F的MAC地址时，没有采取任何措施，保持“沉默”，所以没回答。

　　解释B：笔记本电脑hongjing一接上交换机后立刻发出广播包，通知局域网内其他机器，hongjing的MAC地址是多少。此时，交换机记下hongjing-MAC与端口的映射。所以包从网关F过来后，能到达测试头A。

　　针对现象三：“如果F上clear arp，则112CLIENT再ping ，可以ping通”。

测试动作三：

　　登录网关F,执行clear arp命令，然后在内网中，用IDSCLIENT ping A，结果可以ping通。

　　基于两种猜测的原因解释：

　　解释A：本来由于测试头的“消极”，是不通的。但网关F上执行了clear arp命令后，网关F由于ARP地址影射清空，F不知网关的MAC，会向广播域发送ARP包，该包中包含了自己的MAC地址。根据RFC826，虽然广播域中的机器不会回应此包，但会将F的MAC地址记录到ARP缓存中，所以能使得本不通的112CLIENT pingA能ping通。

　　解释B：网关F上执行了clear arp命令后，网关F由于ARP地址映射清空，F不知网关的MAC，会向广播域发送ARP包，该包中包含了自己的MAC地址。测试头A上连的交换机会将F的MAC地址和相关端口绑定;A回应此ARP请求时，交换机又会将NPORT测试头A的MAC地址与相关端口绑定。所以后续的连接能通。

　　针对现象四：“用DCN内机器telnet 134.100.200.10(测试头B)，再用B来ping 10.0.2.70(测试头A)，能ping通。再用112CLIENT ping A，能ping通。”

　　测试动作四：

　　用内网机器IDSCLIENT telnet 到134.100.5.66，然后从134.100.5.66上ping 测试头B，结果本来ping不通的，现在可以ping通了。

　　基于两种猜测的原因解释：

　　解释A：此现象用猜测A解释不了。

　　解释B：测试头B向测试头A ping时，先会发ARP广播，测试头B回应此ARP请求。这个过程中，A上连的交换机会将A<->相应端口，B<->相应端口的记录记在地址端口映射表。

　　所以F到A的包就能通了。

　　至此，可以排除猜测A。同时，由于同一批次的NPORT测试头在其他地区及内网用的比较正常，所以，倾向于猜测B。为进一步证实猜测B，进一步做了以下测试。

　　做动作一的时候，在交换机与A间抓包。看是否有源地址为F的物理地址，目的地址为A的物理地址的包从交换机端口出来，结果确实无包被监听到，所以，从理论上得出，猜测B是正确的。从理论上定位出正确的故障原因后，我们理直气壮的联系数据部门，请他们修改了部分交换机的ARP失效时间。经过一段时间的检验，系统运行良好，原有故障消失。

　　本次排障工作中，我们坚持理论指导实践，对每种可能的故障原因进行不偏不倚的分析，在客观公正不带主观臆想的前提下，对每种观点进行逐步考察，终于确定故障点，解决了问题。

原文链接：http://www.cnpaf.net/Class/SNIFFER/200810/23044.html