工作中碰到過幾次內網ARP.現就其中的查找方法作如下分析:
當一個網段有好幾臺服務器無法上網報障時,有可能是內網ARP,馬上telnet 到三層交換機上(二層的不行)用show arp(華爲設備用dis arp)可以查看到有幾個IP地址的MAC地址相同;記下這幾個IP後馬上用show logging 命令(華爲設備用dis logbuffer)查看日誌你會發現其中有一個IP沒有日誌報錯;這個IP就是內網ARP發起者;馬上對它採取措施(交換機上shutdown連接此IP的端口或者直接關閉此IP的服務器查殺ARP後才插網線開機)。
如果某臺服務器經常有內網ARP時可以考慮爲此服務器單獨劃分一個VLAN以阻斷它對整個網段的影響;然後對它徹底處理。
也可做端口鏡像後在PC機上抓包分析;但筆者認爲沒有上面的方法來行快。如果沒有三層交換設備的網絡環境可以直接在PC機上抓包分析後做處理。