故障现象:网络中时常出现部分用户无法访问外部网络,对出现该现象的计算机分析发现并未有网络设置上的问题,使用PING其他的电脑也无法通过,随后使用 ARP –A发现网关指向00-19-E0-C0-1D-1A的MAC地址,而该地址并不是网络中正确的MAC地址,使用ARP –D清除地址表后,网络获取正确的网关MAC,网络恢复正常。
故障分析:由于该网络结构为防火墙下面直接连接交换机使用,而且网络中用户数量比较多分布比较广人员也比较复杂、公司中所有的计算机使用工作组管理,网络并没有使用三层交换没有使用VLAN技术,鉴于以上的现象怀疑是网络中个别的计算机被病毒感染或有部分电脑安装了网络管理软件(部分网络管理软件会使用虚拟网关技术起到控制作用)
解决方法:由于网络中没有使用HUB和带有镜像端口的设备等条件的限制,也就没有正确的配置科来的分析环境,于是直接把装有科来网络分析软件的笔记本接到网络中的交换机上,监控发现网络中确实存在MAC为00-19-E0-C0-1D-1A的网关存在,(如下图一)对照以前登记的MAC表并未发现此MAC地址。于是使用ARP-A和ARP-D命令不停的交替使用,在科来分析中发现虚拟的网关不停的出现,而其很有规律就是两个正确的网关MAC和一个虚拟的MAC同时出现。(如下图二)鉴于以上的现象和现有的设备进行隔离排除,于是把网络各个部分划分开来单独使用科来分析,发现生活区的网络出现了此现象,而其他的区域没有发现,于是再对生活区的网络划分开进行分析,确定到了具体的交换机时,于是对其上面的网线一根一根的拔掉进行测试分析,进而确定了具体的房间的电脑,于是断网对该房间用户电脑进行病毒查杀,并未有发现中毒,对网络设置进行查看设置也正确。看到网络连接仍然链接时,想起刚此已经把此房间网络断开了怎么会还连接,于是通过查找发现用户私自连接一台水星MR804家用路由器当作交换机使用,连接该路由器查看该路由器的LAN的MAC正是00-19-E0-C0-1D-1A。(如下图三) |
发表于 2007-8-23 08:47:06
发表于 2007-8-23 09:47:30
