巧妙管理交换机 揪出害群之马ARP病毒

笔者是某单位大楼的一名网络管理员，平时主要任务就是维护大楼局域网网络的安全、稳定运行。最近一段时间，隔三差五的，大楼局域网网络总会发生一些故障：有的时候某个工作子网能够正常访问Internet网络，但另外某个工作子网却不能正常上网访问；在同一个工作子网中，有的工作站能够正常上网，有的工作站却不能访问Internet网络；甚至有的时候，单位大楼中的所有工作子网都不能访问外部网络。除了单位同事的抱怨，还经常被单位领导“请”去教训一下，弄得笔者焦头烂额的。

故障接二连三发生

以前单位大楼网络偶尔也发生过有的工作站能上网、有的工作站不能上网的故障现象，遇到这种故障现象时，笔者曾经使用专业的数据抓包工具进行抓包分析，不过仔细分析之后，并没有从中找到具体的故障发生根源，每次只是简单地重新启动一下大楼局域网的交换机设备以及防火墙设备，所有工作站的网络访问状态就都能恢复正常了。不过如此频繁地通过重新启动交换机和防火墙，来解决网络故障现象，也不是一个有效的办法啊，毕竟经常频繁地重新启动类似交换机这样的重要网络设备，不但会降低大楼局域网网络的运行稳定性，而且时间一长交换机之类的网络设备使用寿命也会缩短。更为严重的情况是，即使有的时候重新启动了交换机之类的网络设备，没有几分钟的时间，网络故障又会再次发生了；很明显，如果不从源头上找到网络故障根源的话，那么网络故障现象将会接二连三地发生，那么单位大楼网络的运行效率就会大大下降。

初步排查故障现象

单位大楼局域网网络的拓扑结构主要是一台通过宽带光纤与本地ISP直接相连的硬件防火墙，以及与硬件防火墙保持连接的核心路由交换机，其中核心路由交换机中划分了70个VLAN。为了寻找网络故障根源，笔者先是在局域网的任意一台普通工作站中依次单击“开始”/“运行”命令，在弹出的系统运行对话框中输入“cmd”命令，单击回车键后，将系统工作状态切换到DOS命令行状态，在该状态的命令行提示符下输入字符串命令“ping 10.176.1.2”（其中10.176.1.2是本地局域网网络的网关地址），单击回车键后，屏幕上返回了本地局域网网络的网关地址能够被正常Ping通的测试结果（如图1所示）；接着，笔者又在命令行提示符下输入字符串命令“ping 10.176.1.3”（其中10.176.1.3是本地局域网网络的防火墙地址），单击回车键后，屏幕上同样返回了本地局域网网络的防火墙地址能够被正常Ping通的测试结果。通过上面的测试，笔者认为大楼内网到网络出口之间的网络连接一切都很正常。

为了检验防火墙到本地ISP之间的宽带连接线路是否处于通畅状态，笔者通过telnet命令远程登录到防火墙设备中，并在该设备的远程登录状态下Ping了一下本地ISP的网关地址，测试结果发现本地ISP的网关地址也能被正常Ping通，这说明单位大楼网络能够正常访问到本地ISP。对于上面的测试结果笔者百思不得其解，本地局域网的网关地址能够被正常Ping通，本地网络到本地ISP之间的网络连接也是通畅的，但偏偏局域网中的某些工作站就不能上网访问，难道问题出在局域网工作站身上？但转念一想，还是不太可能，如果网络不出问题的话，最多只有一台或几台工作站不能上网，但现在有的时候会出现某一个工作子网工作站都不能上网的故障现象，这说明网络肯定是有问题的！经过仔细分析故障现象，以及对比测试结果，笔者初步认为这种故障现象很可能是由网络中的ARP病毒造成的；因为一旦局域网网络感染了ARP病毒时，局域网工作站在上网访问时会将上网请求信息全部转发到虚假的网关设备上，最终会造成工作站都不能上网的故障现象。