、網絡拓撲概況

某單位網絡拓撲結構大致如圖1所示：

圖1：客戶網絡拓撲圖

二、故障情況

每天下午6點鐘左右出現無法上網的故障，ping測試嚴重丟包且持續時間較長。

三、排查情況及建議

1、排查情況

我司代維人員去現場單機測試正常，即排除了移動線路和設備故障。初步判斷是客戶內網存在問題并對樓宇之間的級聯網線進行了更換，但故障沒有得到有效解決。5月21日下午本人去現場對客戶內網進行了排查，4時左右客戶網絡正常，用筆記本電腦接入客戶路由器ping內網網關，偶爾出現丟包情況，通過抓包分析客戶網絡無異常廣播報文，可判定路由器性能欠佳。6時左右，通過wireshark抓包分析，ip為192.168.1.128的主機突發大量ARP詢問報文（如附件一），對局域網內的整個網段進行了掃描，在1秒內發送了254個廣播報文，同時，通過ping該ip地址，發現時延較大甚至丟包（如附件二），這是典型的ARP病毒攻擊，因此可判定ip為192.168.1.128的主機感染了ARP病毒。因客戶內網主機采用DHCP的方式獲取IP，無法及時定位該主機的物理位置，已建議客戶網絡管理員通過IP/MAC綁定的方式限制了該主機訪問外網的權限以促使該主機使用者主動聯系網絡管理員從而可以對該主機進行排查操作。

建議

(1)建議客戶更換性能更好的路由器。

(2)建議客戶將局域網內所有主機使用固定IP，便于維護管理。

(3)建議客戶規范化管理網絡，如定期使用殺毒軟件查殺病毒、及時修補系統漏洞、嚴禁私接無線路由器、miniWIFI設備等。

附件一：

附件二：

近公司總是無緣無故的斷網，看了下ARP表發現有個欺騙網關偽造網關MAC。當機立斷，立馬寫了個ARP清除及綁定命令，結果OK了。新建一個文本文檔，寫好代碼，將文本文檔改為.BAT格式，開始以arp.bat命名可是怎么也達不到想要的那種效果，開機啟動，運行完后不能自動關閉。原來不能以arp命名，可能是跟系統命令有沖突，反正就是不能以ARP命名就是了。

命令如下：

@echo off
arp -d
arp -s 192.168.0.1 00-b0-2c-4a-01-54