3.50 ARP缓存表引起的故障

作者: 《网管员世界》杂志社 出处:电子工业出版社易飞思公司 　2007-09-14 14:49　   砖    好    评论  条 　进入论坛

阅读提示：《网管员世界2007超值精华本》全书分为攻防实战、管理维护、故障诊断、疑难解答4个部分，共精选收录了400多篇实用、精彩的技术文章,该书第三章主要介绍了各种故障诊断，本节是ARP缓存表引起的故障问题。

ARP缓存表引起的故障
在局域网的管理维护中，网管可能经常碰到用户之间不能互访，或者不能上因特网的问题，一般是IP地址设置错误、相关软件设置错误、网线网卡或其他网络产品坏了。但有时在排除以上可能后，问题仍然存在。这个时候我们可以研究一下用户计算机上的ARP缓存表是否有问题。
局域网工作原理
众所周知，因特网上计算机相互访问都是通过IP地址（网络地址），但到了局域网，各计算机之间是通过MAC地址（物理地址）来访问的。每台计算机要维持正常的访问，都必须不断地更新自己的ARP缓存表。
如图1所示，PC 1要与PC 2进行数据通信，那么在PC 1的ARP缓存表里就有IP地址和MAC地址。这个缓存表是如何工作的呢？一般是在第一次通信时，通过一个ARP广播请求包来获得，然后就存在缓存表里，在一段时间内如果表中的某一行没有使用，就会被删除，这样大大减小了ARP缓存表的长度，加快查询速度。可能有人要问，以上4台PC都要通过Router上网，那么它们的ARP缓存表里都有Router的MAC地址了。确实如此，用户可以在自己的环境里用“ARP －a”命令一查便知，在各自的ARP缓存表都有“IP地址：192.168. 0.1，MAC地址：00－aa－00－62－c6－04”。

图1

ARP缓存表的错误
局域网中计算机之间的通信，都是通过正确的ARP表来进行数据通信，而且都是系统自动建立维持的。
1．自己的缓存表有错误
比如在图1中，PC 1中的ARP缓存表有这样一个记录。
IP地址：192.168. 0.9
MAC地址：00－aa－00－62－c6－09
很显然，这时PC 1是无法访问PC 2上的数据，但是它可以和PC 3通信，也可以通过Router上因特网。那么这样一个记录是如何来的呢？这时我们应该想到局域网内有恶意程序或者有人在人为操纵。因为一般来讲ARP表是系统自动维护的，但也可以人为制作一个ARP数据包更新缓存表。比如上例中：如果PC 3向PC 1发送一个ARP数据包，告诉它PC 2的MAC地址是00－aa－00－62－c6－09 ，那么在PC 1里就有一个错误的记录。如果PC 3不停地发送，那么PC 1就一直保持这样一个错误记录，也就一直不能访问PC 2上的数据。如果忽略这个错误就会出现，PC 1能访问除PC 2以外的其他任何一台计算机，能上网，而就是无法访问PC 2，但相应的设置又正确无误，想不出来问题到底出在哪里。
2．对方的缓存表有错误
如果PC 1中的ARP缓存表是正确的记录。
IP地址：192.168. 0.9
MAC地址：00－aa－00－62－c6－08
而PC 3向PC 2不停地发送一个ARP数据包，告诉它错误的PC 1的MAC地址，在PC 2的ARP缓存表就一直保持这样一个记录。
IP地址：192.168. 0.2
MAC地址：00－aa－00－62－c6－09
PC 2就无法访问PC 1。
应对措施
目前，对于这种通过ARP数据包欺骗、破坏缓存表没有很好的应对措施。通过实践我认为有以下几种方法可以应对一下。
1．手动更新ARP缓存表
比如上例中，在PC 1中执行“Arp -a 192.168. 0.9  00－aa－00－62－c6－08”的命令。
但如果有程序在不停地发送错误的ARP数据包，这种方法就无法应付了。
2．查出元凶
在PC 1上，执行ping 192.168.0.9 －t的命令，然后让别人在中心机房把网线一根根拔掉，一旦发现能够ping通后，就能通过那条网线，顺藤摸瓜揪出搞破坏的元凶了。这是最笨也是最实用的方法。
上述方法都不能很好地解决这个问题，实施起来也有一定的难度，还好在局域网中这样的问题较少出现。

回书目   上一节   下一节