Дублирование IP. Найти и удавить. КАК?

[Музалёв Николай]

Уважаемые коллеги!
Некотрое время тому сервера мяукнули о событии дублирования IP-адресов:

Код: Выделить всё

..................................
TCPIP-5.83-344: Wed Apr 27 13:03:13 2005
WARNING : Duplicte IP address in use. Contact your system administrator.

TCPIP-5.83-78: Wed Apr 27 13:03:13 2005
This Server and the system having hardware address YYYYYYYY
have conflict for IP address ХХХХХХХ.
.................................

XXXX - статический аддр сервера
YYYYY - МАС-аддр сервера

Т.е в сети промелькнули (откуда??) статически прописанные серверные адреса. Потом еще, потом еще раз. Всего таких инцидентов я видел три раза (апр-окт).

Что бы это могло быть?
Сбои в службе DHCP? или какой криворукий пытается самостоятельно настроить ИП под пиратскую игрушку?

Какова вообще методика локализации и отлова таких событий? Есть ли для таких случаев программы? недорогие или свободные?

Платформа:
-лицензия - 250, свободно 20-30,
-сеть плоская,
-адр 172.16.х.х + 24-маска,
-стандарт СКС5 соблюден,
-всё электричество автономное,
-коммутация 2 уровня на 3СОМ SyperStack'ах,
-маршрутизация серверов не настраивалась,
-2 NW 51 eng + SP6,
-1 SUSE как пограничный, без реплики,
-NDS885, потом eDIR8730,
-DHCP/DNS на NW,
-стат. аддр. прописаны на сетевом оборудовании и серверах,
-аддр. серверов не смежные, но близкие, при сбоях дублировались оба IP-адреса,
-SLP специально не настраивался, один DA,
-вин. всякая - 9х/NT/2k,
-кл. 483eng+2 и 332eng+2,
-в период, предшествующий инцидентам, никакой админ-активности с моей стороны.
-все инциденты - только днем.

Спасибо.

[Владимир Горяев]

http://novell.org.ru/forum/viewtopic.php?t=2335

Ну, может когда оборудование передергивали, где-то петля образовывалась.

[emelentiev]

Днем говоришь?
Никак умник какой-то завелся, пытается не выясняя свободен адрес или нет, себе его на персоналке или ноутбуке прикрутить.
Лови гада

[Музалёв Николай]

2 Владимир Горяев
Спасибо, прочитал. Однако в ТИДах ситуация скорее статичная, от моей отличается.
2 Мелентьев Евгений
Дык, как ловить-то? На консоли серверов указан МАС серверов... уж кабы рабочей машины, я б тому умельцу оторвал все, что выступает....

Коллеги! Может, еще какие мысли?

[PavelKHTW]

Коллеги! Может, еще какие мысли?

Однозначно образуется в сети петля. Работает ли у вас STP на свичах? Может кто из ваших сетевиков менял/настраивал оборудование? Возможно и вредительство со стороны пользователей - замыкаем две розетки пачкордом - вот вам и петля.


ps У самого такое было, глючил STP. Самое интересное - дублирование адресов замечают только сервера NW(и мак адреса дублеров их же ), всякие линуксы виндовозные и проиче сервера тупо молчат.

[Андрей Старков]

думаю надо посмотреть на SUSE, у нас на фряхе в таких случаях в /var/log/system.log пробегает /kernel: arp: IP xx.xx.xx.xx moved fom mac_adres1 to mac_adres2 и так несколько раз для 2-х МАС адресов - сервера и еще кого-то
а потом начинаю с центрального коммутатора, к которому подключены сервера, маршрутизаторы и другие комутаторы: sh mac-address-table и опускаюсь по портам до того заветного или хотябы до того хаба (есть к сожалению и такое). Если коммутаторы не управляемые - поставить в центре хаб, запустить снифер и ловить ARP пакеты

[Владимир Горяев]

Необходимо учитывать человеческий фактор.
Как-то раз, например, еще не очень опытный мой сотрудник-практикант, по просьбе его приятеля-программера, переткнул провод с одного порта свича в стойке на более быстрый в другом свиче - и вот тебе петля (мля!), хорошо хоть обед был, быстро разобрались со ступором.