近来公司网络出现了几种ARP,下面就点对点ARP排查作如下描述:
       公司网络用户有客户反映说有ARP;此次ARP与别次不同。它不影响整个网络,只针对某一个客户;此客户网站打开后就是乱码或者加了一条广告。明显网页在半路被人劫了改后的网页。查公司网络流量图并没有异常;于是叫客户在其服务器上运行arp -a后得到网关MAC地址;得知此MAC地址并不是网关的真正地址。于是查看此MAC地址对应的IP并关闭此IP的交换机端口。问题就解决了。
        ARP的***无处不在,本人碰到第二层和第三层网络都没有观察权的情况,服务器受到ARP的具体表现:一台服务器要求破密码,完成后重启;此时原来的静态IP一直在获取的状态,在运行cmd后ipconfig/all显示没有IP。开始还以为是此IP被别人占用了。最后确定没有人用;而此时有三层交换机管理权的人查出了ARP。还有一次也是在服务器重启后,此服务器无法远程连接。于是接终端排查显示IP属性正常,ping 网关不通;ping同网段的能通;本人分析不是IP被封了就是ARP;于是更改服务器MAC地址(有资料说用此法可以,于是本人如法炮制——看来必须不重启的情况下才可用此法),但只好了几秒钟;三层交换机管理员说没有。在经过一个半小时后,确定有ARP。问题终于解决了。
        另外还遇到两次组播引起网络卡的现象,现就此故障的特征作如下描述:
        一次为:公司网络有好几个客户说网络卡,但查不出有***和ARP。公司网络流量图异常——表现为大部分IP的流量图都一样。最终查出某个IP向外发包6M而其它IP都是接收6M左右的流量;于是关闭此IP。问题解决。
       另一次则是:一台刚重装系统的服务器上架后,无论如何也无法远程访问,于是进终端查看,网络属性等都正常,但向外网和网关PING都不通;于是禁用网卡后再启用,重复几次操作。都是启用后只能PING通一下,其余都不通。arp -a查得的结果是网关MAC地址为不是本网络的交换机MAC地址(公司自有网络无此MAC地址);arp -a有时的结果又是正确的,有时又多了两个内网IP和MAC对应的地址;于是拔掉这个IP的网线,结果还是一样。在查不出是ARP的情况下,于是转向查流量图,结果公司网络流量图异常——表现为两个柜的IP的流量图都一样(但有点奇怪的是,这两个柜不在同一子网内;是另一个影响到这个柜)。确认是有IP在发组播,于是采取拔网线,重做系统的措施,解决问题。总结:所以作为网络管理员,流量采集一定要做好,做准确;才有利于排除故障。