■ 青島 何歡

筆者遇到互聯(lián)網(wǎng)區(qū)域主機(jī)無(wú)法訪問(wèn)互聯(lián)網(wǎng)或訪問(wèn)時(shí)斷時(shí)續(xù)，互聯(lián)網(wǎng)區(qū)域主機(jī)Ping網(wǎng)關(guān)，會(huì)出現(xiàn)“請(qǐng)求超時(shí)”或Ping包回應(yīng)極不穩(wěn)定的情況，有時(shí)響應(yīng)時(shí)間小于1ms，有時(shí)甚至?xí)^(guò)1000ms。

故障排查

1.進(jìn)行電腦主機(jī)排查

在主機(jī)方面，排查網(wǎng)卡是否工作正常，通過(guò)網(wǎng)卡屬性，查看網(wǎng)卡收發(fā)包正常。通過(guò)Ping 127.0.0.1，發(fā)現(xiàn)網(wǎng)絡(luò)協(xié)議工作正常。

2.進(jìn)行防火墻排查

登錄網(wǎng)關(guān)防火墻，發(fā)現(xiàn)設(shè)備工作正常，通過(guò)防火墻Ping外網(wǎng)網(wǎng)關(guān)，可以持續(xù)訪問(wèn)，并且可以連通其公網(wǎng)地址，說(shuō)明防火墻工作正常。

3.進(jìn)行物理層排查

通過(guò)巡線，排查線纜有無(wú)斷裂，接頭及接口有無(wú)損壞等問(wèn)題。經(jīng)排查物理連接正常。

4.進(jìn)行網(wǎng)絡(luò)層排查

在網(wǎng)絡(luò)層，發(fā)現(xiàn)Ping網(wǎng)關(guān)極不穩(wěn)定，通過(guò)在CMD窗口輸入“arp -a”，發(fā)現(xiàn)網(wǎng)關(guān)的IP地址和MAC地址對(duì)應(yīng)關(guān)系會(huì)發(fā)生變化，網(wǎng)關(guān)的IP地址不變，但是MAC地址會(huì)隨著時(shí)間而改變，登錄防火墻，查看防火墻內(nèi)網(wǎng)網(wǎng)口的MAC地址，發(fā)現(xiàn)和主機(jī)ARP表中的MAC地址不同。

故障分析

通過(guò)上述工作可以看出，主機(jī)無(wú)法連接互聯(lián)網(wǎng)或者互聯(lián)網(wǎng)訪問(wèn)時(shí)斷時(shí)續(xù)的原因，是由于網(wǎng)關(guān)MAC變化造成的。

主機(jī)要想通過(guò)網(wǎng)關(guān)連接互聯(lián)網(wǎng)，最重要的一點(diǎn)就是通過(guò)網(wǎng)關(guān)將數(shù)據(jù)包發(fā)送出去。主機(jī)和網(wǎng)關(guān)都屬于同一網(wǎng)段，而同一網(wǎng)段的數(shù)據(jù)發(fā)送是通過(guò)MAC地址尋址來(lái)實(shí)現(xiàn)的。如果出現(xiàn)MAC地址變更的情況，主機(jī)就會(huì)把數(shù)據(jù)包發(fā)送到錯(cuò)誤的MAC地址，從而導(dǎo)致互聯(lián)網(wǎng)連接丟失。

故障解決

在CMD窗口輸入“arp -a”，找出病毒主機(jī)MAC地址，然后在交換機(jī)上通過(guò)“show mac address”命令，找出病毒主機(jī)所在端口，將其shutdown，然后在主機(jī)上通過(guò)“arp -s”命令將網(wǎng)關(guān)IP地址和MAC地址進(jìn)行靜態(tài)對(duì)應(yīng)，這樣關(guān)于網(wǎng)關(guān)的ARP信息就不會(huì)自動(dòng)更新。最后將病毒主機(jī)進(jìn)行殺毒并重新接入網(wǎng)絡(luò)，故障解決。

故障總結(jié)

造成這一現(xiàn)象的原因是在網(wǎng)絡(luò)中，有個(gè)別的主機(jī)中了ARP病毒，該主機(jī)會(huì)向網(wǎng)絡(luò)中發(fā)送ARP更新數(shù)據(jù)，將網(wǎng)關(guān)的IP地址和自己的MAC地址對(duì)應(yīng)發(fā)送到網(wǎng)絡(luò)中。在Windows系統(tǒng)中，主機(jī)的ARP更新表會(huì)以最新數(shù)據(jù)為主。因此，正常主機(jī)接收到該數(shù)據(jù)后，會(huì)更新自己的ARP表，就會(huì)造成ARP表對(duì)應(yīng)關(guān)系錯(cuò)誤，導(dǎo)致數(shù)據(jù)包發(fā)送到了錯(cuò)誤的主機(jī)而不是網(wǎng)關(guān)。