一奇怪现象，请帮忙分析

chali426

我在核心机房中，S6506R---ET204-----我的PC（可以想象成ROUTER-SWITCH-PC这种模式），刚开始的时候，我的PC ARP -A全为0，这个过程中PING 10。53。16。1网关是不通的，但是很快就PING通了。。这证明是正常的，当PC发起通信时候首先发起一个广播，默认全0（这样解释是否正确）。而我同事的PC接到ET204之后，要过3分钟才能解析出来。期间ARP -A全为0。。
     
问题1：为什么我的PC能很快解析出来，而朋友的PC却要等那么长时间才能解析出来？？

    而我们在客户家中的电脑，基本上也是上面的网络结构，只是中间多了光纤等。无论在DOS下怎么解析，等待多长ARP -A全为0。。。怎么也PING 不通网关。。我们这边给它安装了一个ARP 防火墙，手工绑定了网关后，故障消失，无论PING 网关还是上网都是正常的，，我的PC是正常的（因为刚从机房测试完拿到客户家中），但是无论如何解析还是ARP -A全0，同样装了ARP防火墙后，症状消失，恢复正常。
   
问题2：还麻烦您给想下是什么原因引起这种现象，是否存在ARP欺骗。？

问题3：这是目前我们在整城域网时候遇见的最头疼的问题，有无根本的彻底的解决办法？


还请大家帮忙多想想办法，我这边是没招了，咨询卡巴和江民。他们只是建议杀毒，关键是中毒机不好定位啊？而且症状时有时无，做镜象端口抓包分析，有时也不一定在线。而且说不准不是一台PC中毒而是一片。。目前想到的办法就是给客户家中无论是否有中毒现象的都给装了一个ARP防火墙。

sivalei

如果发arp请求无回应是否有arp欺骗s65的网关

建议你在65上开启 arp send-gratuitous-arp 功能，如果大部分pc固定端口上网，可以在65上做 arp static

ET204和下挂的交换机不知道有没有pvlan功能，可以将每个端口都做隔离。

chali426

是这样的，客户的PC在DOS下，ARP -A解析为全0的MAC地址，并没出现欺骗S65网关。。有可能是这个全0的MAC地址是不存在的MAC地址，因为有这种现象的PC都发法正常上网了。在S65上和PC上做双绑可能不太现实，因为城域网嘛，工作量实在太大，也无法避免客户更换PC问题。我们的ET204和交换机默认情况下就是是端口隔离的，但是每个端口一VLAN也不现实。。欢迎 大家讨论，另外在65上开启 arp send-gratuitous-arp 功能，这条命令的作用是？还希望告之，谢谢

liuhouji

我也遇到过这样的情况,是ARP病毒的一个变种,是局域网中的一台PC告诉其他PC自己是网关,导致数据无法通过分支交换机转发出去.

sivalei

<QuidwayA> system-view

System View: return to User View with Ctrl+Z.

[QuidwayA] gratuitous-arp-learning enable


lz个个vlan抓包击破吧～：）

xwy3260

应是病毒引起的，建议抓包上来看看

zaraboy

么有发生应答的时候是会显示全 0 的

switch上做端口安全

chali426

TO：   我也遇到过这样的情况,是ARP病毒的一个变种,是局域网中的一台PC告诉其他PC自己是网关,导致数据无法通过分支交换机转发出去.

但是默认情况下，ARP -A是全0，按照上面的说法，我ARP -A应该是仿冒网关PC的MAC地址啊，而不是全0。

TO：么有发生应答的时候是会显示全 0 的

switch上做端口安全

  我也记的PC通信时候首先发ARP请求，默认是12个F。不可能是全0，但是咨询其他厂家的人，有人说默认发起时候广播就是全0，还请有经验，基础深的麻烦出来解释下。

谢谢大家踊跃发言，

chali426

另外，交换机上做端口安全不现实，城域网而且是光网络。。这样做不行

wwwang

记得有一次,一个朋友叫我给他看一下电脑是上不了网.结构是ADSL----ROUTER---PC.我去看了一下,用ARP -A 显示是全0 MAC地址,只有发送没有接收的包.更换路由器端口也没有用.后来发现是网线的水晶头引起.更换了OK.
在整个事件中令人困惑是,他的电脑是在一次打雷断电以后引起的.

chali426

是有可能引起这种问题，但是我安了ARP防火墙之后就好了啊。。这证明和楼上那打雷，网头没关系。可能是由于病毒作怪吧。。还是感谢你的意见，谢谢

nogain

有一种ARP攻击软件，攻击网络时，MAC地址全是0。看不到真地址。