求ARP病毒解决方法

zgxowb

　我公司近段时间网速特别的慢，有时还全网偶尔掉线，不过过个两三分钟又会恢复，掉线是查看是内网有问题，因为外网DMZ服务器对外的服务是正常，所以怀懝网络有电脑中了ARP病毒。现在我在三层的交换机连防火墙上的那个端口做了镜像，可以进行数据抓包分析（软件是科来），可是我网络是出多个VLAN网段组成的，好像对多网段ARP毒病（如ARP扫描、ARP欺骗）不灵？请问有什么方法可以在跨多网段上同时抓取ARP的包，找出ARP病毒源？（在每个VLAN上都布署数据分析软件太麻烦了）
　　网络环境：核心层和汇聚层设备都是CISCO的，全网大约有200台PC，组成了10个VLAN，在DMZ区有10多台服务器对外24小时提供服务。在三层核心交换机上做的各VLAN路由.

附件为拓扑图，每个楼层交换机都有分配有各个VLAN

[ 本帖最后由 zgxowb 于 2008-5-30 08:35 编辑 ]

zgxowb

没人回答，自己先顶下

djw8844

mac ip 端口绑定

oldjiang

三层核心交换机的TRUNK端口作为镜像的源端口，应该能抓到ARP包。设过滤器，抓包时间可以长一点。
思科文档的monitor session 命令，关于source：
Specify the SPAN or RSPAN source. A source can be a physical port, a port channel, or a VLAN.
On a trunk interface used as a source port, all VLANs are monitored.
You can monitor traffic on a single port or VLAN or on a series or range of ports or VLANs.
可惜我没有环境测试。

[ 本帖最后由 oldjiang 于 2008-5-29 12:55 编辑 ]

从零开始

楼主能简单给个拓扑吗？
我想你可以镜像多个VLAN口捕获ARP。

orange

前几天网上看到的  所以就发给你看看 你看下有没有用

老兵

有几个方式，第一把全部vlan的数据都做镜像到三层交换机上的同一个口子上，完事了记得要删除。第二，在三层上做策略，让交换机把收到的1，2，3端口的数据复制一份后然后去掉vlan的tag，在发送给4端口。不过策略很难写，看看命令吧。