好的,我已经在网上搜索过可能的解决方案,但一无所获。也许你们可以帮助我。
我有一个 Windows Server 2003 设置,在路由 LAN 上具有固定 IP,标准 /24 网络。该服务器运行良好,但有一个相当严重的麻烦:它每 20-30 秒对整个子网(除其自身地址外的所有 256 个地址)进行 ARP 扫描,分为两次,每次扫描 128 个地址,间隔 10-15 秒。这会导致我的 LAN 上出现不必要的和过多的 ARP 流量(如果 LAN 使用率不高,则最多占所有数据包的 40%)。
发送的请求是标准的 ARP 发现请求,带有广播 MAC 和 LAN 子网中的连续 IP 地址(非无偿)。子网上的其他设备或机器均未显示此行为(Win XP、Win7、多个路由器等),因此这是 Win Server 2003 特有的。
我如何阻止它不断扫描子网以查找新的 MAC/IP 组合?我已经尝试手动将 NIC 接口上的 ARP 缓存时间(在注册表中)设置为 600 秒,但服务器显然完全忽略了这一点。
答案1
这听起来太奇怪了。你确定你没有任何“不需要的”软件,或者在机器上执行“不需要的”功能的软件吗?
顺序扫描听起来要么像是一个恶意软件在进行网络扫描,要么像某种被误导的网络“管理”在运行扫描。无论如何,这都不是 Windows Server 2003 的常规行为。我记得 Kyle Brandt 描述过他发现 Broadcom 驱动程序导致伪 ARP 的问题,但如果我没记错的话,这些 ARP 甚至没有一点顺序扫描的迹象。
Microsoft 网络监视器 3或者进程监控可能能够确定实际生成流量的机器上的进程。首先,我倾向于使用网络监视器。
答案2
已知启用 Broadcom 团队和传入负载平衡的服务器会产生 arp 风暴。但顺序扫描确实听起来很可疑。
可以预防此类 ARP 风暴,但这并不实际,因为您无法区分合法的 ARP 流量和有问题的流量。您必须确定是哪个软件导致了问题,我想不出服务器需要每 30 秒重新学习其整个 ARP 表的任何场景。