DHCPリースの更新後、インターネットは使用できません

今日、多くのマシンがインターネットにアクセスできなくなりました。多くのトラブルシューティングの後、共通のスレッドは、すべてのクライアントが本日dhcpリースを更新したことです（ここでは8日間のリースを利用しています）。

リースの更新後、期待どおりの結果が得られます。有効なIPアドレス、DNSサーバー、ゲートウェイがあります。内部リソース（ファイル共有、イントラネット、プリンターなど）にアクセスできます。もう少しトラブルシューティングを行うと、ゲートウェイにpingまたはtracertできないことがわかりますが、ゲートウェイの直前にあるコアレイヤー3スイッチに到達できます。静的IPをマシンに割り当てることは、一時的な解決策として機能します。

最後のしわの1つは、これまでのところ、ゲートウェイと同じVLAN上のクライアントについてのみレポートが届いていることです。私たちの管理スタッフと教職員はサーバーとプリンターと同じVLANにいますが、電話、キーフォブ/カメラ、学生/ Wi-Fi、およびラボにはそれぞれ独自のVLANがあり、他のVLANでは何も見ていませんまだ問題がありました。

ゲートウェイベンダーとは別のチケットを持っていますが、問題がネットワークの他の場所にあることがわかり、ここでも質問します。ゲートウェイとコアスイッチのarpキャッシュをクリアしました。どんなアイデアも歓迎します。

更新：
ゲートウェイから影響を受けるホストにpingを送信してみましたが、奇妙なことに、完全に異なるIPアドレスからの応答が返されました。私はランダムにさらにいくつか試してみて、最終的にこれを得ました：

2011年9月2日（金）13:08:51 GMT-0500（中央夏時間）
PING 10.1.1.97（10.1.1.97）56（84）バイトのデータ。
10.1.1.105から64バイト：icmp_seq = 1 ttl = 255 time = 1.35 ms
10.1.1.97から64バイト：icmp_seq = 1 ttl = 255 time = 39.9 ms（DUP！）

10.1.1.97は、pingの実際に意図されたターゲットです。10.1.1.105は別の建物のプリンターであることになっています。これまでにping応答でDUPを見たことがありません。

現時点で私が推測しているのは、10.1.1.0 / 24サブネット上の寮の部屋の1つにある、不正なゲートウェイを使用した不正なwifiルーターです。

...続きます。問題のプリンターの電源を切りました。ゲートウェイから影響を受けるホストへのpingが完全に失敗しました。

更新2：
影響を受けるマシン、ゲートウェイ、およびそれらの間のすべてのスイッチでarpテーブルをチェックします。各時点で、それらのデバイスのエントリはすべて正しかった。表のすべてのエントリを確認することはしませんでしたが、ホストとゲートウェイ間のトラフィックに影響を与える可能性のあるすべてのエントリは問題ありませんでした。ARPは問題ではありません。

更新3：
現時点では問題なく機能していますが、修正するために行ったことは何も表示されないため、これが単なる一時的な停滞であるかどうかはわかりません。とにかく、今は診断やトラブルシューティングを行うためにできることはあまりありませんが、それでも問題が解決しない場合はさらに更新します。

— ジョエル・コール
ソース

ゲートウェイにpingしますか？構成されたDNSサーバーは同じサブネット上にありますか、それとも他の場所にありますか？DNS解決は機能していますか？

— シェーンマッデン

@シェーン、すべてが機能し、テキストで回答

— Joel Coel

「ゲートウェイにpingまたはtracertできない」とおっしゃいました-デバイスのファーストホップゲートウェイ、または別のファーストホップデバイスによってルーティングされた後にトラフィックがルーティングされるインターネットルーターですか？

— シェーンマッデン

クライアントの1つでパケットキャプチャを実行し、ゲートウェイへのルートをpingおよびトレースします。どのMACアドレスがどのIPアドレスのキャプチャに表示されるかを確認し、ICMPリダイレクトも探します。また、クライアントの1つ、スイッチ、およびゲートウェイのARPテーブルを詳しく調べ、それらが正しく見えることを確認します。

— joeqwerty

明確にするために：ゲートウェイには影響を受けるホストに対して有効なARPがあり、ホストにはゲートウェイへの有効なARPがあるが、ホストにpingを実行しようとしたときにゲートウェイが応答を返さないということですか？pingパケットがデバイスに到達していますか、それとも正しくスイッチングされていませんか？

— シェーンマッデン

回答:

「現時点での私の最良の推測は、10.1.1.0 / 24サブネット上の寮の部屋の1つにある、不正なゲートウェイを使用した不正なwifiルーターです。」

これは私のオフィスで起こりました。問題のデバイスは不正なAndroidデバイスであることが判明しました。

http://code.google.com/p/android/issues/detail?id=11236

AndroidデバイスがDHCP経由で別のネットワークからゲートウェイのIPを取得すると、ネットワークに参加し、そのMACを使用してゲートウェイIPのARP要求に応答し始める場合があります。共通の10.1.1.0/24ネットワークを使用すると、この不正なシナリオの可能性が高くなります。

ネットワーク上の影響を受けるワークステーションのARPキャッシュを確認できました。そこで、ワークステーションが正しいMACと不正なデバイスからのMACアドレスの間でフリップフロップするARPフラックスの問題を観察しました。ワークステーションがゲートウェイ用に持っていた不審なMACを調べたところ、Samsungプレフィックスが付いていました。問題のあるワークステーションを持っている聡明なユーザーは、誰が私たちのネットワーク上にSamsungデバイスを持っているか知っていると答えました。CEOであることが判明しました。

— dmourati
ソース

コメントセクションで既に説明したように、パケットキャプチャを取得することは非常に重要です。ただし、arpwatchという非常に優れたツールもあります。

http://ee.lbl.gov/

（またはWindowsの場合はhttp://sid.rstack.org/arp-sk/）

このツールは、メールを送信するか、ネットワーク上で確認されたすべての新しいMACアドレスのログと、特定のサブネット（フリップフロップ）上のIPのMACアドレスの変更を記録します。この問題については、IPのMACを変更するためのフリップフロップが発生していることを報告するか、最初にホストとの通信を開始したときに不正なDHCPルーターの新しいMACを確認することで、現在の両方の理論を検出しているはずです。このツールの欠点の1つは、ホストを監視対象のすべてのネットワークに接続する必要があることですが、この種の問題の診断に役立つ優れた情報を提供することは低価格です。

— 多項式
ソース

一般的な不正なDHCPサーバーを検出する簡単な方法は、サーバーが機能しているゲートウェイにpingを送信し、対応するARPテーブルでそのMACを調べることです。スイッチングインフラストラクチャが管理対象のインフラストラクチャである場合は、MACをホストしているポートまで追跡し、ポートをシャットダウンするか、問題のあるデバイスの場所までトレースして、さらに修正することができます。

DHCPスヌーピングをサポートするスイッチでDHCPスヌーピングを使用することも、不正なDHCPサーバーからネットワークを保護する効果的なオプションになります。

— user48838
ソース