Haben Broadcom NICs ein geheimes Doppelleben?
Guten Tag,
nach 28 Jahren Netzwerken stieß ich gestern auf ein mir unbekanntes und derzeit unerklärliches Phänomen. Um das überhaupt zu beschreiben muss ich ein wenig ausholen:
Ich betreibe an unserem Büro- und Wohnort ein kleines Rechenzentrum. 11 physikalische Server (und diverse VMs) hinter einem Sophos UTM-Cluster. Es gibt hinter dieser UTM 3 öffentliche 28er-Netze, 1 privates Netz als Server- und Backup-BackBone und 1 privates Netz für Arbeitsplätze, WLAN etc (Office-LAN). Nur im Office-LAN läuft DHCP, überwiegend mit reservierten IPs.
Gestern schaue ich mal nach diesem DHCP und stelle fest, dass es 4 nicht reservierte Leases gibt, die mir unbekannt sind. Auffällig: die MAC-Adressen sind identisch in den ersten 5 Segmenten, die jeweils sechsten Segmente haben die Werte 41, 43, 45 und 47. Das deutet für mich auf ein Mehrfach-NIC eines Servers (ich habe ausschließlich Dells hier stehen). Und tatsächlic finde ich auf einem älteren R510 (läuft hier nur als Backup-Ziege) heraus, dass der onBoard 4fach-NIC (QLogic BCM5709C Gigabit Ethernet) exakt diese MAC-Adresse hat, nur eben mit den End-Segmenten 40, 42, 44 und 46 (!!!).
Ich habe die Maschine heute kontrolliert neu gestartet und bestätigt, dass es zweifelsfrei diese Maschine ist, die die DHCP-Leases auslöst. Ich kann die vergebenen IPs anpingen, ein Portscan ergibt jedoch keine ansprechbaren Dienste oder Shares. Auf dem Server läuft Win Server 2012R2, dort lassen sich sowohl auf der Windows-Ebene als auch über den Dell Server Administrator nur die oben genannten "geraden" Endsegmente ermitteln.
Was passiert hier?
Selbst unter der Annahme, dass die Broadcoms irgendwie eine "geheime 2. MAC-Adresse" haben sollten, so müsste ja irgendein Agent oder OS doch erst einmal dafür sorgen, dass ein DHCP-Client überhaupt ausgeführt wird. Wie käme dieser an die "geheimen" MAC-Adressen? Warum war das bisher nicht so? Das Setup läuft hier so mehr oder weniger unverändert seit 2,5 Jahren, es gab ewig lange keine Reboots etc.
Vielen Dank für Euer Interesse, Haimo
nach 28 Jahren Netzwerken stieß ich gestern auf ein mir unbekanntes und derzeit unerklärliches Phänomen. Um das überhaupt zu beschreiben muss ich ein wenig ausholen:
Ich betreibe an unserem Büro- und Wohnort ein kleines Rechenzentrum. 11 physikalische Server (und diverse VMs) hinter einem Sophos UTM-Cluster. Es gibt hinter dieser UTM 3 öffentliche 28er-Netze, 1 privates Netz als Server- und Backup-BackBone und 1 privates Netz für Arbeitsplätze, WLAN etc (Office-LAN). Nur im Office-LAN läuft DHCP, überwiegend mit reservierten IPs.
Gestern schaue ich mal nach diesem DHCP und stelle fest, dass es 4 nicht reservierte Leases gibt, die mir unbekannt sind. Auffällig: die MAC-Adressen sind identisch in den ersten 5 Segmenten, die jeweils sechsten Segmente haben die Werte 41, 43, 45 und 47. Das deutet für mich auf ein Mehrfach-NIC eines Servers (ich habe ausschließlich Dells hier stehen). Und tatsächlic finde ich auf einem älteren R510 (läuft hier nur als Backup-Ziege) heraus, dass der onBoard 4fach-NIC (QLogic BCM5709C Gigabit Ethernet) exakt diese MAC-Adresse hat, nur eben mit den End-Segmenten 40, 42, 44 und 46 (!!!).
Ich habe die Maschine heute kontrolliert neu gestartet und bestätigt, dass es zweifelsfrei diese Maschine ist, die die DHCP-Leases auslöst. Ich kann die vergebenen IPs anpingen, ein Portscan ergibt jedoch keine ansprechbaren Dienste oder Shares. Auf dem Server läuft Win Server 2012R2, dort lassen sich sowohl auf der Windows-Ebene als auch über den Dell Server Administrator nur die oben genannten "geraden" Endsegmente ermitteln.
Was passiert hier?
Selbst unter der Annahme, dass die Broadcoms irgendwie eine "geheime 2. MAC-Adresse" haben sollten, so müsste ja irgendein Agent oder OS doch erst einmal dafür sorgen, dass ein DHCP-Client überhaupt ausgeführt wird. Wie käme dieser an die "geheimen" MAC-Adressen? Warum war das bisher nicht so? Das Setup läuft hier so mehr oder weniger unverändert seit 2,5 Jahren, es gab ewig lange keine Reboots etc.
Vielen Dank für Euer Interesse, Haimo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 649501
Url: https://administrator.de/forum/haben-broadcom-nics-ein-geheimes-doppelleben-649501.html
Ausgedruckt am: 26.12.2024 um 19:12 Uhr
6 Kommentare
Neuester Kommentar