Merkwürdiges Netzwerkproblem (arp Auflösung)

[dgr243]

Moin,

ich hätt da gern mal nen seeehr obskures Netzwerkproblem..

Fangen wir mit dem Netz an:

Aufbau 1:

Rechner -1-> Telefon -2-> Layer 2 Switch -3-> Drucker

Rechner (wahlweise Vista oder XP, macht keinen Unterschied) hat als Netz 172.22.200.0/24

Drucker (Etagendrucker, von Konica Minolta) ebenfalls 172.22.200.0 (Subnetzmaske sollte /24 sein, könnte aber auch /16 sein. Habe leider keinen administrativen Zugriff auf den Drucker, ist aber noch in Klärung)

Der im Telefon integrierte Switch ist meines Wissens nach nen doofer Layer 2 Switch.

Wenn das ganze so aufgebaut ist und ich mich mit einem Network TAP an Position 1,2 oder 3 anklemme, sehe ich beim Ping auf den Drucker vom Rechner aus den ARP Request im Wireshark fröhlich durchlaufen.

Der ARP Request läuft also definitiv auf dem Kabel welches in den Drucker geht.

Nur antworten tut das Miststück nicht. Demzufolge ist der Drucker natürlich auch per IP nicht erreichbar und kann eben nicht drucken..

Ein testweiser Austausch des doofen L2 Switch (Netgear 24 Port, nicht managebar) gegen einen Cisco Catalyst 2960 brachte keinerlei Änderung.

Verwendung eines anderen Rechners (also auch anderer Quellmac) brachte ebenfalls keine Änderung.

Der Rechner kann aber einwandfrei sein default Gateway erreichen. Auch andere Clients im Netz sind einwandfrei erreichbar. Der Drucker ist die einzige Kiste die nicht erreichbar ist.

Aufbau 2:

Rechner -1-> Miniswitch -3-> Layer2 Switch -4-> Drucker

Telefon -2-> Miniswitch -3-> Layer 2 Switch -4-> Drucker

Also statt den im Teleofn integrierten Switch zu verwenden hänge ich vor das Telefon einen Miniswitch und klemme Telefon und PC an diesem an.

Nun kriege ich sofort eine ARP Auflösung, demzufolge auch eine IP Verbindung und kann drucken.

Außer dem Miniswitch wurde null nix geändert. IP Addressierung und MAC Adressen bleiben gleich, Ports auf dem L2 Switch bleiben ebenfalls gleich.

Und jetzt die Quizfrage:

Woran kann das liegen?

Ich muss dazu sagen, dass der obige "Aufbau 1" an anderen Standorten desselben Kunden 1:1 genauso aufgebaut ist. Sogar Druckermodell ist gleich. Da funktioniert das ganze.

Idee meinerseits:

Der telefoninterne Switch macht aus dem "normalen" Ethernetpaket ein 802.1q Paket, welches der Drucker nicht versteht, weil der kein 802.1q kann.

Allerdings dürfte ich, wenn dem so wäre dieses Paket im Wireshark auf meinem Laptop ebenfalls nicht sehen, weil die dort verbaute Netzwerkkarte zwar 802.1q kann, dies aber in den Treibereigenschaften deaktiviert ist.

Oder sehe ich in nem Wireshark Trace 802.1q Pakete, obwohl der 802.1q Betrieb im Treiber deaktiviert ist?

Das war allerdings auch leider schon die einzige Idee ...

Any Help greatly appreciated. Und wenn sich eine Idee zur Ursache als vollkommen falsch heraus stellt. EGAL. Hauptsache ich krieg da mal einen anderen Blickwinkel

Thx und Gruss

dgr

[Crash2001]

Hi dgr,

was sind das für Telefone? Cisco 7960?

Kriegen die ihren Saft über ein Netzteil oder per POE oder ist das egal?

Hast du schon mal die Ports am im Telefon integrierten Miniswitch getauscht?

Werden vlans verwendet?

Ist die Konfiguration des Telefons wie bei den anderen auch?

Sollte der Switch im Telefon die Pakete wirklich kapseln, dann solltest du das ja auf dem Cisco 2960 sehen können, wenn du den testweise nochmal statt dem Netgear-Switch einsetzt. Ich glaube es aber eher nicht.

Hat der Drucker evtl eine integrierte Firewall, die dir da reinspielen könnte? (Die neuen Drucker sind ja teilweise echte Multitalente)

Was mich etwas wundert, ist, dass der ARP-Request bis zu dem Drucker durch geht. Eigentlich sollte doch der Netgear-Switch deinem PC schon antworten, dass er weiss, wo der Drucker dran ist, bzw er dessen IP-Adresse kennt und der Request sollte gar nicht so weit kommen, oder liege ich da falsch? Wenn es ein Etagendrucker ist, wird ja darauf nicht nur von diesem einen Rechner aus gedruckt und die MAC-Adresse des Druckers sollte in der ARP-Tabelle des Switches zu finden sein. Oder meintest du nicht die Pakete des ARP-Requests, sondern die ICMP-Pakete? :confused:

[Thanks-and-Goodbye]

Was ist das für eine Konica-Minolta?

Kopierer mit Controller?

[dgr243]

sorry vergessen..

Telefone sind Siemens Optipoint 420 Advanced.

Ports tauschen am Tel geht nicht, weil definitiv einer für den Uplink zum Switch vorgesehen ist. Dreht man das um geht gar nix mehr

Stromversorgung per Steckernetzteil, Telefon ist aber PoE fähig

keine VLANs im Einsatz.

Auf dem 2960 hatte ich jeweils ein "Switchport host" und damit impiliziert natürlich ein "switchport access vlan 1". Eigentlich dürfte der dann keine getaggten frames zulassen, wenn ich mich nicht irre.

Ob der Drucker eine Firewall hat kann ich nicht sagen, weil das die Administrationshoheit des Kunden ist. Werde ich am Montag aber nochmal den Kunden fragen. Andererseits müsste die Firewall mir dann ja auch in die Suppe spucken, wenn der Miniswitch vorm Telefon hängt..

ARP Requests werden grundsätzlich von dem Endgerät behandelt, welchem die IP zugeordnet ist und nicht vom Switch. Der Switch "liesst" ja nur mit um seine MAC Tabelle zu füllen.

Mein Laptop direkt am "großen" Switch (Testaufbau wo nur mein Notebook und der Drucker am 2960 oder dem Netgear des Kunden hängen) kann den Drucker direkt erreichen.

In der MAC tabelle des Switches taucht die MAC des Druckers natürlich auf, nachdem ich von meinem rechner direkt am Switch das Teil erfolgreich gearpt habe. Dadurch weiß aber der rechner hinterm Telefon die MAC noch nicht, sondern fragt fröhlich selbst noch mal nach. Ist ja auch klar.. ARP Request ist Broadcast, Arp Reply hingegen Unicast an denjenigen der gefragt hat..

Druckermodell kenn ich nicht 100%ig. Habe ich leider versäumt mir aufzuschreiben. Wenn ich die Modelle auf der Konica Seite so durchblättere sollte das aber ein "bizhup 600/750" sein -->

KONICA MINOLTA Deutschland - Business Solutions - Schwarzweiß

[Crash2001]

[...]Auf dem 2960 hatte ich jeweils ein "Switchport host" und damit impiliziert natürlich ein "switchport access vlan 1". Eigentlich dürfte der dann keine getaggten frames zulassen, wenn ich mich nicht irre.[...]

Sehe ich auch so. Vlan1 ist das default native vlan und somit untagged. Alle Pakete die untagged sind, gehören diesem "vlan" an. Alle ports sind per default in diesem "vlan".

[dgr243]

Hab das grad im Labor nochmal nachgestellt.. wenn ich meine Netzwerkkarte im Rechner mit 1q frames beschiesse, dann sind diese auch im wireshark zu sehen und zwar INKL: vlan header.

es liegt also schonmal nicht daran, dass das telefon hier wild zu taggen anfängt ..