一、故障环境
该局的网络环境比较简单,大体如下图所示,办公机的网段是...X/24的,办公机的网关地址是..xxx.在Cisco上,服务器的地址段为10...X/24。
二、故障现象在办公区访问服务器区时,会出现时通时断的现象。办公机是通过DHCP来获取IP地址,当访问出现不通时,重新获取一下IP地址,就可以连通,但是用一会又会出现访问中断的情况。
三、分析过程1.分析测试在出现故障时,我们通过Ping服务器地址发现无法Ping通,然后通过Ping办公机的网关地址,发现网关地址也无法Ping通过。通过查看办公机的ARP表发现网关地址对应的MAC地址为全0的MAC地址。如下图所示:
通过上面的分析测试我们可以了解到,当主机无法访问服务器时,主机连网关都无法Ping通,而且主机中网关的MAC地址全0,即主机没有学习到网关的MAC地址,所以主机无法跟网关进行通信,从而导致主机无法连通服务器。
2.数据包捕获本来正常连接时主机应该有网关的IP地址和MAC地址的ARP映射表的,但是在访问服务器不成功时并没有学习到网关的MAC地址,造成这种故障的原因很大可能性是网络中ARP欺骗!为了验证网络是否有ARP欺骗,我们通过在交换机上做端口镜像来抓取交互的数据包,具体部署如下图所示:
如上图所示,因为办公机连到的端口是f0/46,所以我们只镜像f0/46,将该端口镜像到端口f0/25,然后把科来网络分析系统接到f0/25端口上捕获通信的数据包。
3.数据包分析我们在分析数据包时发现,网络中存在大量的IP冲突,如下图所示:
