我正在对我的家庭网络进行故障排除,因为我们经常出现中断和连接缓慢的情况。华硕 Wifi 路由器经常显示它没有 WAN IP 地址。为了查看可能发生的情况,我使用带有镜像端口的交换机监控 Wifi 路由器和电缆调制解调器之间的流量,将流量副本发送到 Wireshark 会话。(下面是 Wireshark 转储的网络图和屏幕截图。)无线路由器的 WAN 地址是 76.87.168.205,它的网关地址是 76.87.160.1。我不确定网关是电缆调制解调器本身,还是电缆调制解调器充当直通通道而网关是电缆公司站点上的路由器。
让我感到惊讶的是,似乎有过多的 ARP 请求从 WAN 网关发送到 WAN 网络上的设备,如 Wireshark 转储中所示。同样令我惊讶的是在 76.xxx WAN 网络上的 ARP 请求(红色圆圈)10.56.0.1 和 45.51.240.1。
此外,电缆调制解调器是 WAN 端的 IP 网关 76.87.160.1,还是 ISP 或我们附近某处的路由器?当我tracert 76.87.160.1时,它返回设备名称 cpe-76-87-160-1,我假设cpe代表客户端设备,我认为它是电缆调制解调器。
因此,如果电缆调制解调器是网关,为什么它会向从未出现在我的网络上的 IP 地址发送 ARP 请求?或者,假设 GW 是服务于我们地理区域的路由器,那么这些 ARP 请求是正常的还是过多的?它们是否表明存在问题?
从寻址和显示的延迟来看,不,看起来 76.87.160.1 很远(并且电缆调制解调器可能处于某种桥接模式)。住宅网络不太可能有一个调制解调器,它有自己的公共地址池,而且你的 WAN 地址看起来像是一个大池的一部分(至少是 /20)。
因此,请求不是来自您的电缆调制解调器本身——它们来自 ISP 的上游网关,并且对于这么大的子网(/20 有 4096 个地址),ARP 请求的数量肯定会增加。
许多 ARP 请求可能是由试图扫描非活动地址的僵尸网络引起的,因此这些地址永远不会在网关的 ARP 缓存中停留很长时间(“否定”条目在几秒钟后过期),从而导致下一次探测生成另一个 ARP要求。
但是即使活动地址在 ARP 缓存中闲置几分钟,或者如果网关在一段时间后主动重新检查它们,它们也会相对快速地从 ARP 缓存中过期,因此如果子网很大,那么它就会累加起来。
您没有提到显示的源 MAC 地址是否与您的调制解调器相匹配,但即使匹配,它仍然可能只是电缆调制解调器中完成“桥接”的方式(我一点也不熟悉)。
是的,但这看起来很像程序生成的 rDNS 条目——这个池中的其他地址是 CPE,没有人简单地向算法添加一个例外来为网关地址生成不同的 PTR。
大型 ISP 的地址池通常包含许多较小的前缀,并且多个 IP 子网可以轻松地共存于同一 L2 网络中。同一网关(甚至通常是同一设备)可以将多个 IP 地址分配给同一接口,这些地址可以来自同一子网,也可以来自不同子网;例如,76.87.160.1 和 45.51.240.1 可能是同一个设备,而 10.56.0.1 可能是它的“管理”地址。