利用交换机解决局域网ARP问题(51CTO博客出书活动)

简介:
 
*案例名称: 
《利用交换机解决局域网ARP问题》
*技术范围:
      交换  病毒
技术关键词:
Switch 2950, ARP;
*案例描述:
局域网有两个VLAN,每个VLAN约200个节点,经常会出现一种情况:在某一个VLAN开始有一两个用户不能上网,一段时间过后整个VLAN不能上网,但另外一个VLAN可以正常上网。
*解决思路:
此问题第一次出现时,解决方案是全网杀毒。将所有机器的病毒清除之后发现两个VLAN正常工作。但这种解决办法过于简单,且占用用户时间很长,影响办公效率。
通过抓包研究分析,此现象是局域网内ARP病毒造成。找到问题的源头后,采用一些办法快速解决问题。
具体步骤如下:
1,分析问题:在开始不能上网的机器上运行cmd-->arp –a,查看数据列表是否有可疑地址,如下列表中红色字体显示:
C:\Documents and Settings\sam>arp -a
Interface: 10.0.6.8 --- 0x2
  Internet Address      Physical Address      Type
  10.0.6.1                 00-0b-5f-bb-9d-80     dynamic
  10.0.6.105             00-1a-92-74-ca-cd     dynamic
再运行cmd-->arp –d,清除ARP列表,重新运行arp –a,看数据列表的可疑IP地址是否仍然存在。如果不存在,说明此IP地址正常,如果仍然存在,说明此机器可以肯定有ARP病毒,从下表可以看出:6.105的机器告诉“我”它的MAC地址是6.1(网关
):
C:\Documents and Settings\sam>arp -a
Interface: 10.0.6.8 --- 0x2
  Internet Address      Physical Address      Type
  10.0.6.1     00-1a-92-74-ca-cd     dynamic
  10.0.6.105   00-1a-92-74-ca-cd     dynamic
2,当发现这种情况时,首先记下他的MAC地址,然后登陆到该VLAN网段的交换机上进行查找:
在交换机上输入命令show mac-address-table mac 001a.9274.cacd(MAC地址的输入格式不能错) 回车,如果显示的结果是交换机的千兆上连端口则说明不在此交换机上,如果显示的结果是交换机的某一个以太网口,则说明此端口与该IP地址相连,进入该接口模式将其管理性关闭。
3,再次运行-->cmd-->arp –a 看ARP列表是否正常,如下图所示则为正常:
C:\Documents and Settings\sam>arp -a
Interface: 10.0.6.8 --- 0x2
  Internet Address      Physical Address      Type
  10.0.6.1              00-0b-5f-bb-9d-80     dynamic
4,在有ARP病毒的用户机器上单独杀毒并解决,直到局域网恢复正常。

*关键技术:
show mac-address-table address XXXX.XXXX.XXXX
mac-address-table是交换机的MAC地址表。交换机之所以能够直接对目的节点发送数据包,而不是像集线器一样以广播方式对所有节点发送数据包,最关键的技术就是交换机可以识别连在网络上的节点的网卡MAC地址,并把它们放到一个叫做MAC地址表的地方。这个MAC地址表存放于交换机的缓存中,并记住这些地址,这样一来当需要向目的地址发送数据时,交换机就可在MAC地址表中查找这个MAC地址的节点位置,然后直接向这个位置的节点发送。
通常此MAC地址表被管理员放在遗忘的角落,在大多数情况下也确实用不上MAC地址表。但是有时候反过来用却能起到意想不到的效果。

*使用命令:
1. 2950(config)#ishow mac-address-table address XXXX.XXXX.XXXX        #查找MAC地址在交换机上的端口,注意MAC地址书写方式
2. 2950(config)#interface f0/23                  #进入此接口模式
3. 2950(config-if)#shutdown                      #关闭此接口
* 命令解释:(略)

*网络拓扑图:(见下图)
 

*备注:
1,此方法不是最终、最好的解决方案,但是在网络管理和桌面维护方面遇到ARP病毒却不能很好的解决问题时,不妨拿出来作为替代解决方案。
2,此方案仅对局域网内交换系统为可管理交换机有效,如果是低端不可管理的交换机,则不能照本宣科、生搬硬套。









本文转自 cdmatong 51CTO博客,原文链接:http://blog.51cto.com/cdmatong/37506,如需转载请自行联系原作者
目录
相关文章
|
4月前
|
网络协议
卧槽!放个假,交换机受到ARP攻击了,怎么破?
卧槽!放个假,交换机受到ARP攻击了,怎么破?
101 5
|
4月前
|
网络协议
交换机ARP学习异常,看网工大佬是如何处理的?
交换机ARP学习异常,看网工大佬是如何处理的?
121 2
|
7月前
|
缓存 网络协议 安全
使用 eNSP 模拟交换机防御 ARP 泛洪
使用 eNSP 模拟交换机防御 ARP 泛洪攻击
|
存储 缓存 网络协议
交换机、IP地址、ARP协议
划分洪泛范围—隔离广播域(收到所有洪泛信息的设备集合) 每一个接口都是一个广播域 转发数据 路由表
130 0
|
网络协议 网络虚拟化 网络架构
交换机的工作原理以及搭建局域网划分VLAN
上篇文章了解了OSI以及TCP/IP结构,这篇文章将分享网络中的交换机的工作原理以及怎么搭建一个局域网,划分虚拟局域网实现主机之间的访问隔离,因为在工作中我们不可能买多个交换机来实现主机之间的访问隔离,所以需要划分VLAN虚拟局域网来实现。
284 0
|
网络协议 网络虚拟化 网络架构
ensp 进入交换机子接口、让子接口认识vlanid的数据帧、开启路由器的arp广播:实现pc之间的通信。
ensp 进入交换机子接口、让子接口认识vlanid的数据帧、开启路由器的arp广播:实现pc之间的通信。
416 0
ensp 进入交换机子接口、让子接口认识vlanid的数据帧、开启路由器的arp广播:实现pc之间的通信。
|
网络协议 Linux 开发工具
kali arp-scan网络扫描工具 扫描局域网ip地址
作者主页:https://www.couragesteak.com/
kali arp-scan网络扫描工具 扫描局域网ip地址
|
网络协议 安全 网络安全

热门文章

最新文章