Probleme mit IP Adressen an der AS400

[Fuerchau]

Wenn ich das so richtig lese, ist der Default auf 15 Minuten (hier bei meinem Kunden 5 Minuten).
Also dürfte das Problem ja nicht existieren, wenn der Umbau länger als 15 Minuten dauert .

[Userle]

ups...also bin ich schlicht zu schnell .

Ich denke wenn man davon weiß muss das auch nicht geändert werden. Da ich bei Bedarf den Eintrag manuell löschen kann.

Und wie schon beschrieben dient es ja in gewisser Weise auch der Sicherheit. Und davon kann man ja bekanntlich nicht genug haben.

Greetings Ralf

[holgerscherer]

Ist das jetzt ein feather oder ein Bug *duck*

Das ist weder eine Feder noch ein Käfer - sondern bösartige Absicht ;-)

Wird der ARP-Cache-Timeout auf 1 Minute gestellt, und Du hast sehr viele Geräte im Netzwerk, erhöht man nur unnötig die Broadcasts.

Das Grundprinzip ist:
- AS400 versucht auf eine IP-Adresse zuzugreifen
- Im Netzwerk wird aber nur mit MAC-Adressen gearbeitet
- also wird nach einer MAC-Adresse für diese IP im Cache gesucht. Wenn gefunden, wird auf diese MAC gesendet. Wenn nicht, wird ein Broadcast ins Netz gesendet mit der Bitte, alle Geräte mit dieser IP-Adresse sollen sich melden (idealerweise nur eins)
- nach x Minuten (siehe Wert CHGTCPA ARPTIMO) wird ein Cache-Eintrag automatisch entsorgt, wenn er nicht benötigt wurde

Üblicherweise ändern sich die Zuordnungen IP-Adresse zu MAC in einem lokalen Netzwerk nur selten, so dass in grossen Netzen auch eine Angabe von 1440 sinnvoll ist.
Ausnahme eben hier der beschriebene Fall, dass ein Gerät getauscht wird. Man könnte auch Abhilfe schaffen, wenn am Drucker die MAC-Adresse geändert wird (sofern er das unterstützt).

Es gab früher (jaja, damals) zu Zeiten der HP JetDirect 170x einen Bug in der PC-basierten Management-Software, der die MACs dieser Printerserver nach 15 Sekunden entsorgt hat. War prima, bei etwa 200 Printerservern im lokalen Netz stirbt dieses irgendwann ob dieser Broadcasts.

-h

[holgerscherer]

Wie sieht das den mit der CPU Last aus wenn der ARPCACHE sagen wir mal alle 60sec aktuallisiert / gelöscht wird

kann man vernachlässigen, der Overhead in einer Broadcast-Domain kann schlimmer sein.

Je nachdem wie groß die Netstruktur ist kann das ja einige zeit in anspruch nehmen den cache neu aufzubauen.

das sollte nicht mehr als etwa 6 Sekunden dauern, in denen auf die Broadcasts reagiert wird.

Durch den ARPCACHE kann man ja verhindern das Mitarbeiter ihre Privaten "mini PC's" mit der IP vom Arbeitsplatz versehen und so Daten kopieren.

nä, damit hält man höchstens Spielkinder vom Fummeln im Netz ab - da ist es einfacher, auf den Switches die erlaubten MAC-Adressen je Port festzulegen. Als Profi benutzt man dann Methoden wir ARP-Cache-Poisoning oder nutzt Bugs in der Switch-Firmware aus; wo ein Wille ist, ist auch ein Gebüsch.

Oder gleich den Account Sperren und den Hinweis "Bitte Wenden Sie Sich an den Sicherheitsbeauftragten" auf den DSP hinterlasen.

Das würde ich nicht machen - ansonsten baller ich Dir mit 10 Zeilen C-Code das Netzwerk zu und keiner kann mehr garnix... Wäre genauso effektiv wie das sperren eines Userprofils nach 3 falschen Kennworten, ohne die Sitzung zu sperren. Mit scripts machen die Kiddies ja inzwischen einiges.

-h

[holgerscherer]

Wenn ich das so richtig lese, ist der Default auf 15 Minuten (hier bei meinem Kunden 5 Minuten).
Also dürfte das Problem ja nicht existieren, wenn der Umbau länger als 15 Minuten dauert .

Nicht, wenn der entsprechende Writer auf der AS400 noch läuft. Denn dann wird ja (wenn ein Spool dafür existiert oder es ein LPR ist) ständig versucht, auf die IP und somit auf die MAC zuzugreifen; und ein "nicht erreichbar" ist kein Grund, diese aus dem Cache zu löschen.

-h