Catalystでのmac-addressのaging timerは何をみるのか

Cat2950や3550にHubを接続してPCを接続します。HubとPC間を物理的にケーブルを抜くと想定された5分で正常にそのPCのmac addressはAging timeoutします。

しかし、PCを電源いれたままで放置していただけではそのPCのMac addressはaging timeoutしません。"パケットキャプチャしてPCからなにもパケットはでていないのにです"。

MAC addressのaging timerは、そのPCからパケットをうけとらなくなってから5分できれるはずです。ずっときれないのですがなぜでしょうか？？　PCが電源を入れている間はスイッチがmac-addressを覚えているのは、パケットでなくPCからの電気信号かなんかで覚えるのでしょうか？？

No.1 ベストアンサー 回答者： le-chaim 回答日時： 2007/05/20 00:38

こんばんわ。

通常はPCからARPのブロードキャストが発信されてスイッチに学習されます。
おっしゃっているとおり、Catalystはデフォルトが5分でエージングタイムが設定されていますので5分間何も通信がなければ消えてしまいます。

パソコンが通常5分も無通信ではないと思いますが、
どのようなパケットキャプチャをされましたでしょうか？
おそらく、L2レベルの通信も含めて何らかしらの通信を行っています。
また、別の機器からのブロードキャストに対しても応答を返しますので、無通信ではなく更新されているのだと思います。

この回答への補足

早速のご回答ありがとうございます。

キャプチャーの方法はEtherealでPCのEhternetポートのトラフィックをキャプチャしたものです。FreeのEtherealだとキャプチャーできないパケットがあるのでしょうか？ソースがそのPCのフレームであればキャプチャできなければおかしいとおもうのですが。

別の機器がない検証環境なので他の機器からのアップデートはないと思います。やはりPCが更新の原因であると思うのですが、その犯人をなんとか捕まえたいです。

補足日時：2007/05/20 00:53

No.3 回答者： PowerMaster 回答日時： 2007/07/22 23:23

Catalystでミラーポートの設定をして、ミラーポートからパケットをキャプチャすれば、犯人が特定できると思います。

（個人的には、PCからのARPだとは思いますが…。）

No.2 回答者： le-chaim 回答日時： 2007/05/20 01:28

Etherリアルですべてのパケットは収集できると思います。

Etherリアルは対象のPCにインストールして収集していると思います。ないとは思いますが、フィルタを設定しているとかですね。

5分間全く通信がないというのは信じられないのですが、
netstat -a などで、セッション状況を確認した方がいいかもしれません。