如果網絡大了,在網中偶爾出現個ARP欺騙病毒的話那就麻煩了。所以,如果你的網絡中交換機允許的話盡可能的劃分Vlan而且越細越好。因為,你劃分的越小網絡的廣播范圍剛更小,受ARP干攏的網絡范圍也就越小。
那麼,如果在你的網絡已經出現了ARP病毒如何去查呢。首先,我們要知道中了ARP病毒後嚴重的時候所有的該網內的計算機將不能與本子網以外的所有的網絡通信。偶爾有上網不暢就要考慮是否有該病毒的存在。
查看是否中了該病毒的有交辦法有,一通過ARP防火牆一般會有ArP阻攔信息;二是通過連接該計算機的最近一層交換機。進入該交換機用show logging命令查看交換機日志,如果有ARP病毒的話交換機會出現類似以下的日志信息
00:37:11: %IP-4-DUPADDR: Duplicate address 172.16.60.254 on Vlan60, sourced by 0
004.61aa.962a
這就說明一個Mac為0004.61aa.962a的計算機中了該病毒。此時,你應該立即處理這個東西然後再通過DHCP去查找相對的計算機名,再找出病毒源。
這裡我講一下如何應急解決一個眉燃之急。
首先,進入上面提到的交換機用以下命令先從交換機去除IP列表
#conf t
#mac-address static ****.****.**** vlan ** drop
如本例上面的情況則輸入的為:mac-address static 0004.61aa.962a vlan 60 drop
第二,在本地交換機清除ARP的Mac-address後還需進入核心交換機清除禁用該地址
no mac-address static ****.****.**** vlan 60 drop
