一次arp_ignore配置引起的故障

已于 2023-08-15 10:29:33 修改
阅读量323 收藏
点赞数
分类专栏: 存储及分布式 网络编程 文章标签: 网络 网络协议
于 2022-06-05 11:11:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WEI_GW2012/article/details/125129920
版权

一、ARP简介
        IP地址是网络层和以上各层使用的地址,是一种逻辑地址。物理地址MAC是数据链路层和物理层使用的地址。上层数据交给数据链路层传输时,需要知道目的硬件地址。在数据传输时,已知目的IP地址,如何找出对应的硬件地址使数据正确转发?地址解析协议ARP就是来解决这个问题的。
        其方法是在主机缓存一个从IP到硬件地址的表,并且这个映射表会动态更新(默认60s)。当主机A需要向本局域网的主机B发送IP数据报时,先在ARP缓存中查找对应B的IP地址,若有则获取对应的硬件地址并把硬件地址写入MAC帧,然后通过局域网把MAC帧发往此硬件地址。若不存在运行ARP找出B的硬件地址。
        简单的找出硬件地址过程为:A发送广播ARP分组,B的IP地址与A查找的一致,将自己的MAC地址写入响应分组并向主机A发送ARP响应,A收到后记录MAC地址到本地缓存。当A再次向B发送请求时,直接从ARP缓存中获取对应的MAC地址进行转发。找到后,若能正常通信,则之后一直通过点对点维持,不再发送广播包。

二、arp_ignore配置
该选项是控制上述B主机将哪个MAC写入ARP响应分组的。其取值有01/2/3~8较少用。
0:响应任意网卡上收到的对本机IP地址的ARP请求,而不管目的IP是否在接收网卡上;
1:只响应目的IP地址为接收网卡的本地地址ARP请求;
2:只响应目的IP地址为接收网卡的本地地址ARP请求且要求源IP必须和接收网卡同网段;
3:如果ARP请求数据包所请求的IP地址对应的本地地址其作用域(scope)为主机(host),则不回应ARP响应数据包,如果作用域为全局(global)或链路(link),则回应ARP响应数据包
4~7:保留;
8:不响应所有ARP请求;

临时配置:sysctl net.ipv4.conf.eth3.arp_ignore=1,永久配置echo "net.ipv4.conf.eth0.arp_ignore = 1" >> /etc/sysctl.conf

三、环境与故障
单个主机一个网卡,网卡有两个口port1、port2配置不同网段的ip,分别为192.168.101.x,192.168.102.x,网络拓扑如下

期望当交换机A断电时,主机A与主机B通过交换机B通信;反之通过A通信。以保证网络高可用。
初始时,交换机AB正常。主机A的101.1与主机B的101.2、 102.1 与 102.2分别建立TCP连接,两个连接通信正常。
1、关闭交换机A,此时主机AB通信正常;
2、启动交换机A,待101.1与101.2建立连接后,关闭交换机B,发现关闭B后101.1与101.2连接(长连接)发送数据失败。但是B对101.1的ping依旧正常,且对102.1的ping在4分钟后居然自动恢复了。所以这里出现两个问题:

  1. 交换机A工作正常,ping也正常,为什么101网段发送数据为什么失败?
  2. 102网段交换机关闭后,为什么ping在4分钟后恢复?


四、原因及解决方法
1、使用arping 对102网络执行ping:arping  -I eth3 192.168.102.1,发现返回的MAC居然是101.1的MAC地址
查看主机A的 arp_ignore值为0,0 的含义是“响应任意网卡上收到的对本机IP地址的ARP请求,而不管目的IP是否在接收网卡上”。关闭交换机B后,由于102网络不可达,所以主机A的102.1网口不会收到ARP报文,网口101.1收到ARP了报文后不确认目的IP是否在自己网口上,使用自己的MAC aa:11回复了ARP请求报文。这时候主机B认为与102.1对应的转发MAC地址为 aa:11(实际应该为 aa:22)。当B获取到102.1的MAC后,其数据链路层转发时会将给102.1的ping报文转发给101.1, 主机101.1 收到后响应ping。所以4分钟后ping恢复(恢复时间不是固定4分钟,具体恢复时间取决于arp表的恢复时间)。
2、同样的原因,在交换机A关机后,主机A、B通过ARP协议获取到新的MAC,101.x网段的数据链路通信也通过交换机B。当交换机A启动后,101.x网段依旧使用交换机B通信,即101.x 102.x两个网段都通过交换机B通信,所以当交换机B关机后,两个网段的连接传输数据超时。
3、解决方法:
arp_ignore值修改为1,只响应目的IP地址为接收网卡的本地地址ARP请求,这样当某个网段不可达时,无法获取MAC地址,避免获取到错误的MAC,导致后续故障切换失效。在交换机A恢复后,101.x网段通过交换机A通信。


附:
arp_announce的作用是控制系统在对外发送arp请求时,如何选择arp请求数据包的源IP地址。(比如系统准备通过网卡发送一个数据包a,这时数据包a的源IP和目的IP一般都是知道的,而根据目的IP查询路由表,发送网卡也是确定的,故源MAC地址也是知道的,这时就差确定目的MAC地址了。而想要获取目的IP对应的目的MAC地址,就需要发送arp请求。arp请求的目的IP自然就是想要获取其MAC地址的IP,而arp请求的源IP是什么呢? 可能第一反应会以为肯定是数据包a的源IP地址,但是这个也不是一定的,arp请求的源IP是可以选择的,控制这个地址如何选择就是arp_announce的作用)
  arp_announce参数常用的取值有0,1,2。
0:允许使用任意网卡上的IP地址作为arp请求的源IP,通常就是使用数据包a的源IP。
1:尽量避免使用不属于该发送网卡子网的本地地址作为发送arp请求的源IP地址。
2:忽略IP数据包的源IP地址,选择该发送网卡上最合适的本地地址作为arp请求的源IP地址。
  sysctl.conf中包含all和eth/lo(具体网卡)的arp_ignore参数,取其中较大的值生效

复现问题需要修改如下配置

sysctl -w net.ipv4.conf.all.rp_filter=0
sysctl -w net.ipv4.conf.eth0.rp_filter=0
sysctl -w net.ipv4.conf.eth1.rp_filter=0
sysctl -w net.ipv4.conf.default.rp_filter=0

rp_filter
即rp_filter参数有三个值,0、1、2,具体含义:
0:不开启源地址校验。
1:开启严格的反向路径校验。对每个进来的数据包,校验其反向路径是否是最佳路径(默认路由)。如果反向路径不是最佳路径(默认路由),则直接丢弃该数据包。
2:开启松散的反向路径校验。对每个进来的数据包,校验其源地址是否可达,即反向路径是否能通(通过任意网口),如果反向路径不同,则直接丢弃该数据包。
 

冬生0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux配置ARP内核参数,Linux 内核参数 arp_ignore & arp_announce 详解
weixin_42412396的博客
05-01 1803
arp_ignore定义了对目标地址为本机IP的ARP询问的不同应答模式。arp_announce对网络接口(网卡)上发出的ARP请求包中的源IP地址作出相应的限制;主机会根据这个参数值的不同选择使用IP数据包的源IP或当前网络接口卡的IP地址作为ARP请求包的源IP地址。arp_ignore在内核参数中除了每个网卡都有自己的arp_ignore配置外,还有两个(一个是默认default,一个是全...
禁止Linux内核arp,Linux 内核参数 arp_ignore & arp_announce 详解
weixin_28867883的博客
05-08 1150
arp_ignore定义了对目标地址为本机IP的ARP询问的不同应答模式。arp_announce对网络接口(网卡)上发出的ARP请求包中的源IP地址作出相应的限制;主机会根据这个参数值的不同选择使用IP数据包的源IP或当前网络接口卡的IP地址作为ARP请求包的源IP地址。arp_ignore在内核参数中除了每个网卡都有自己的arp_ignore配置外,还有两个(一个是默认default,一个是全...
LVS-DR配置
weixin_34190136的博客
08-29 243
LVS-DR 模式网络拓扑图:LVS-DR 工作原理:1、客户端向VIP发出请求,请求报文中源IP为CIP,目标IP为VIP,源MAC为客户端的MAC,目标MAC为LVS调度器的MAC(Director)2、LVS调度器接收到请求后,修改了请求报文中的目标MAC地址(Director会根据算法将请求报文中的目标MAC地址,修改成指定的RS的MAC地址)。并将请求进行广播。3、...
arp_announce和arp_ignore 详细解说
dolphin98629的专栏
03-28 1340
arp_announce和arp_ignore 详细解说 版本V1.0 时间2012-06-16 版权GPL 作者itnihao 说明,本文档来自网络整理和个人理解综合整理 原文地址http://itnihao.blog.51cto.com/1741976/75247  lvs在DR模式下需要关闭arp,设置参数的意思可以参考下文 arp_announce和arp_igno
关于arp_ignore和arp_announce的问题
王以山的专栏
12-07 2169
arp_announce : INTEGER 默认为0 对网络接口上本地IP地址发出的ARP回应作出相应级别的限制: 确定不同程度的限制,宣布对来自本地源IP地址发出Arp请求的接口 0 - (默认) 在任意网络接口上的任何本地地址 1 -尽量避免不在该网络接口子网段的本地地址. 当发起ARP请求的源IP地址是被设置应该经由路由达到此网络接口的时候很有用.此时会检查来访IP是否为所有接口
Linux 内核参数 arp_ignore & arp_announce 详解
weixin_34289744的博客
05-17 882
arp_ignore定义了对目标地址为本机IP的ARP询问的不同应答模式。 arp_announce对网络接口(网卡)上发出的ARP请求包中的源IP地址作出相应的限制;主机会根据这个参数值的不同选择使用IP数据包的源IP或当前网络接口卡的IP地址作为ARP请求包的源IP地址。 arp_ignore 在内核参数中除了每个网卡都有自己的arp_ignore配置外,还有两个(一个是默认default...
自学网络 arp_ignore/arp_announce
weixin_30497527的博客
05-18 164
1)机器上有好几个IP地址,如何让网卡只接收自己IP地址的数据包; 如何只接收自己网卡的数据包 http://www.cnblogs.com/honpey/p/8447819.html 相关的配置arp_filter和arp_ignore这两个参数是干嘛的? 设置arp_ignore就好,这里控制的如果IP地址发给我网卡绑定的IP地址,那么我是否要回复对端发给自己的mac地址。但是如果对...
bcmp.rar_Ignore It!
09-20
标签 "ignore_it!" 进一步强调了这个事件的可忽略性。在编程和系统调试过程中,有时会遇到一些非致命性的错误或警告,这些情况可以被安全地忽略,以避免中断主要的程序流程。 压缩包中的文件名称列表包括: 1. sony...
at91sam9g25.zip_Ignore It!_at91
09-23
【标签】"ignore_it! at91" 标签中的"Ignore It!"再次强调了这个资源可能不是最新或者最重要的,但是"at91"标签则明确表示这与Atmel的AT91系列相关,因此,尽管提醒我们忽略,但对研究AT91系列的用户来说,它仍有...
MySQL binlog_ignore_db 参数的具体使用
01-21
前言:  经过前面文章学习,我们知道 binlog 会记录数据库所有执行的 DDL...当数据库实例开启 binlog 时,我们执行 show master status 命令,会看到有 Binlog_Do_DB 与 Binlog_Ignore_DB 选项。 mysql> show maste
bundler_ignore_universal
04-01
将您的Ruby代码放在文件lib/bundler_ignore_universal 。 要试验该代码,请运行bin/console进行交互式提示。 待办事项:删除此内容和上面的文字,并描述您的宝石 安装 将此行添加到您的应用程序的Gemfile中: gem...
java-bin-packing - Copy.zip_ignore
09-20
【标题】"java-bin-packing - Copy.zip_ignore" 指的可能是一个关于Java二进制打包问题的压缩文件,但根据描述,该文件并没有包含任何编程代码。这个标题暗示了可能是一个研究或讨论如何在Java环境中优化资源打包,...
Linux 内核参数之Arp_ignore & Arp_announce
微微一笑
08-07 719
——— Linux 内核参数 ——— Arp_ignore AND Arp_announce arp_ignore和arp_announce参数都和ARP协议相关,主要用于控制系统返回arp响应和发送arp请求时的动作。这两个参数很重要,特别是在LVS的DR场景下,它们的配置直接影响到DR转发是否正常。 Arp_ignore 参数 0 - (default): reply for an...
屏蔽ARP方法之利用arp_announce and arp_ignore
rockjohnson的专栏
06-06 1126
echo 1 > /proc/sys/net/ipv4/conf/“接口名”/arp_ignoreecho 2 > /proc/sys/net/ipv4/conf/“接口名”/arp_announce或net.ipv4.conf.“接口名”.arp_ignore = 1net.ipv4.conf.“接口名”.arp_announce = 2
大白话理解LVS DR模型中的arp_ignore
qianfeng_dashuju的博客
09-26 2387
  LVS的DR模型中,调度器和所有的Real Server都配置了VIP,且都在同一网段内,那为了保证客户端的arp广播请求只被调度器所响应,必须更改Real Server的arp默认响应规则,这就是修改内核参数arp_ignore   今天我们来解释一下这个参数设置的意义在哪里?为什么要做这种设置?   arp_ignore作用:控制系统在收到arp广播请求报文时,是否返回arp响应报文 ...
【linux】修改arp_ignore、arp_announce、arp_filter、accept_local |内核调优
bandaoyu的note
09-02 7872
对网络接口上本地IP地址发出的ARP报文作出相应级别的限制。0:本机所有IP地址都向任何一个接口通告ARP报文。1:尽量仅向该网卡回应与该网段匹配的ARP报文。2:只向该网卡回应与该网段匹配的ARP报文。
Linux内核参数之arp_ignore和arp_announce
wsq的博客
11-23 1293
arp_ignore和arp_announce参数
设置网卡arp_ignore的脚本
weixin_30455365的博客
12-22 131
#!/bin/sh ETHS=`cat /proc/net/dev | awk '{if(NR > 2) print substr($1, 0, index($1, ":") - 1)}'` for ETH in $ETHS do if [ $ETH != "lo" ] then echo 1 > "/proc/sys/net/i...
Ceph 的简单部署步骤
未冬生
12-30 9650
部署方案:一台 admin,一台 mds + mon,两台 OSD,四台都是在虚拟机上安装CentOS7. 1、 部署完 MON 之后,通过 ceph -s 查看集群状态,提示 ERROR: missing keyring, cannot use cephx for authentication [ceph@mdsmon ~]$ ceph -s 2015-12-29 23:49
sysctl: cannot stat /proc/sys/net/ipv4/conf/ eno16777736/arp_ignore: 没有那个文件或目录 sysctl: cannot stat /proc/sys/net/ipv4/conf/ eno16777736/arp_announce: 没有那个文件或目录
最新发布
05-24
这个错误通常是因为系统内核中没有启用相关的网络参数所导致的。arp_ignore 和 arp_announce 是内核网络参数,用于控制ARP请求和响应的处理方式。如果这些参数不存在,可以尝试手动创建它们,并将其值设置为1或2。具体操作如下: 1. 执行以下命令创建 arp_ignore 参数: ``` echo 1 > /proc/sys/net/ipv4/conf/eno16777736/arp_ignore ``` 2. 执行以下命令创建 arp_announce 参数: ``` echo 2 > /proc/sys/net/ipv4/conf/eno16777736/arp_announce ``` 注意:eno16777736 是网卡设备名称,可以根据实际情况替换成你的网卡设备名称。如果你不知道自己的网卡设备名称,可以使用 ifconfig 命令查看。另外,修改内核参数需要具有 root 权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值