工作中碰到過幾次內(nèi)網(wǎng)ARP?，F(xiàn)就其中的查找方法作如下分析：

當(dāng)一個網(wǎng)段有好幾臺服務(wù)器無法上網(wǎng)報(bào)障時，有可能是內(nèi)網(wǎng)ARP，馬上telnet 到三層交換機(jī)上(二層的不行)用show arp(華為設(shè)備用dis arp)可以查看到有幾個IP地址的MAC地址相同;記下這幾個IP后馬上用show logging 命令(華為設(shè)備用dis logbuffer)查看日志你會發(fā)現(xiàn)其中有一個IP沒有日志報(bào)錯;這個IP就是內(nèi)網(wǎng)ARP發(fā)起者;馬上對它采取措施(交換機(jī)上shutdown連接此IP的端口或者直接關(guān)閉此IP的服務(wù)器查殺ARP后才插網(wǎng)線開機(jī))。

如果某臺服務(wù)器經(jīng)常有內(nèi)網(wǎng)ARP時可以考慮為此服務(wù)器單獨(dú)劃分一個VLAN以阻斷它對整個網(wǎng)段的影響;然后對它徹底處理。

也可做端口鏡像后在PC機(jī)上抓包分析;但筆者認(rèn)為沒有上面的方法來行快。如果沒有三層交換設(shè)備的網(wǎng)絡(luò)環(huán)境可以直接在PC機(jī)上抓包分析后做處理。

【編輯推薦】

1. 對抗SYN及ARP攻擊qno發(fā)布新路由器軟件？
2. 內(nèi)網(wǎng)網(wǎng)絡(luò)鄰居登入不了的解決辦法