Win7及以上系統ARP靜態綁定網關我們習慣性會用以前的“arp -s ip mac”命令去綁定,結果會提示“ARP 項添加失敗:拒絕訪問”,排除系統管理員權限問題之后,依然如此。這個問題可能是Win7及以上系統與之前的系統不同,解決的辦法就是用netsh命令,下面我們講下如何操作。
防止ARP欺騙導致的無法上網或數據包被截獲。比如內網有臺電腦中毒,它會偽裝成網關的MAC地址,而其它機器上網請求需要聯系網關,那么首先要廣播,然后收到網關回復ARP信息,這時我們的機器有可能會收到偽裝網關回復的IP和MAC信息,從而把這些信息存入ARP緩存表。在這段時間內,我們的機器是無法上網的,因為數據都傳到偽裝的網關了,數據包無法轉發出去。另外建議網關也綁定主機,實現雙綁會更保險些。
1、獲取需要綁定網關的IP和MAC信息,直接輸入如下命令:
arp -a2、獲取以太網的idx序號,直接輸入如下命令:
netsh i i show in3、萬事俱備,只欠東風。進入靜態ARP綁定,命令格式如下:
netsh -c "i i" add neighbors idx "IP" "mac"
那么我們按格式直接輸入如下命令:
netsh -c "i i" add neighbors 7 "192.168.6.254" "b8-3a-08-0d-38-30"注意:IP和MAC要加引號,引號為英文,并且注意中間的空格。
4、接下來驗證下靜態ARP是否綁定成功,我們再次輸入如下命令:
arp -a說明:從結果中看到,靜態ARP綁定網關的信息中類型變為了靜態,證明我們綁定成功。
1、獲取本地連接“idx序號”,輸入如下命令:
netsh i i show in2、解除靜態ARP綁定的網關表項命令格式:
netsh -c "i i" del neighbors idx
上面我們獲取到本地連接的IDX序號為7,那么我們輸入下面的命令就可以解除靜態綁定了。
netsh -c "i i" del neighbors 73、上面已經解除靜態ARP綁定表項,接下來我們輸入以下命令驗證是否解除成功。
arp -a說明:類型變為動態,證明解綁成功。
這條實際是刪除ARP緩存中網關單條表項,命令格式:arp -d ip,按照格式直接輸入如下命令。
arp -d 192.168.6.254注:當然也可以輸入arp -d ,這樣的話就是清空ARP緩存所有表項,同樣也可以達到目的。
這條命令目的也是清空ARP緩存,同樣可以達到解除靜態ARP綁定表項的目的。直接輸入如下命令:
netsh interface IP delete arpcache文章到此結束,感謝大家閱讀。
作為IT從業者,Ping測試這個命令想必是非常非常熟悉了!它是用于診斷網絡連通性最好用的工具,沒有之一!
Ping不通的情況時有發生,那么Ping不通時會結果回顯是什么呢?常見的有4種結果:
一、請求超時。
二、來自X.X.X.X的回復: 無法訪問目標主機。
三、PING:傳輸失敗。常見故障。
四、來自X.X.X.X的回復: TTL 傳輸中過期。
Ping失敗則回顯不同的結果,Windows不是隨便給一個結果的,而這些信息表示連通性異常均存在不同的故障原因!那么其背后的邏輯是什么呢?在特定的場景下,我們來一個一個的分析:
回顯1:請求超時。
此結果和ICMP回包有關,一定是PC封裝了ICMP request發出去了得不到結果才有這個提示,換句話說已經完成了網關設備或者目標設備的arp學習。
【局域網場景】
如圖,PC1 Ping測試目標是同一局域網、同網段的PC2設備不通出現該提示,表示:“已經學到了該PC2的ARP條目,但PC1的ICMP包沒有得到響應”,所以能明確知道對端是正常存在于網絡當中的,就不用再去管物理鏈路問題了!而PC1得不到響應ICMP的常見原因有:
【三層VLAN場景】
如圖,在規模較大的三層網絡架構下,若VLAN10的PC1 Ping的是VLAN20網段的PC2不通,表示:“PC1已經學習到了VLAN10網關的ARP條目,且網關(核心交換設備等)VLAN20也學到了PC2的ARP條目,但PC1沒收到響應ICMP包”,同理可以判斷該PC2也正常存在于網絡當中,物理網絡鏈路正常。但PC1得不到響應的ICMP包常見原因如下:
【訪問internet】
如圖,PC ping的是出口路由WAN側的internet站點(百度、QQ)等不通,則基本表示該internet站點禁ping。
回顯2:來自X.X.X.X的回復: 無法訪問目標主機。
此結果一定是和arp學習有關,要么是PC自身沒學到同網段設備的arp條目,要么是跨三層訪問時網關沒有學到另一VLAN中的目標設備arp條目返回給PC的錯誤報告。
【局域網場景】
如圖,PC1 Ping測試目標是同一局域網、同網段的PC2設備不通出現該提示,表示“PC1的網絡連接正常,但根本學不到PC2的ARP條目”,這就沒辦法去確認PC2的物理網絡是否正常了,可能故障原因有:
【跨VLAN場景】
如圖,在規模較大的三層網絡架構下,若VLAN10的PC1 Ping的是VLAN20網段的PC2不通,表示“要么是VLAN10的PC1沒有學到其網關的ARP條目,要么是網關VLAN20接口沒有學到PC2的ARP條目”,此時沒法確認PC2是否物理網絡正常,且也不能判斷其是否在VLAN20中,故障可能原因如下:
回顯3:PING:傳輸失敗。常見故障。
出現這個報錯是指網卡連ARP包都發不出去,百分百就是源電腦的網卡和網線問題!交換機、路由器等不用去排查了!原因如下:
回顯4:來自X.X.X.X的回復: TTL 傳輸中過期。
有些論壇分析此原因是經過了太多的路由(每經過一臺路由TTL減1)導致此問題。我覺得不對,Win10 ICMP包初始TTL=64,經測試即便是我訪問美國站點1.1.1.1,TTL也只減了10而已(鏈路一共經過了10臺路由),而要說從A—>B經過≥64臺路由我是完全不信的。
而出現這個“TTL傳輸中過期”的報錯呢,大概率是網絡中出現了“路由環路”導致,簡單來看個圖:
單播的三層報文,在網絡內來回路由轉發,循環往復,就形成了三層路由環路。用tracert命令跟蹤表現是這樣的:
直到TTL減到0單播環路才停止,基本就是交換網絡、路由網絡的配置相關問題了,此問題會造成網絡中“單播包泛洪”影響路由交換的性能。像上述而常見的“路由環路”問題可以通過三層交換機的“黑洞路由”配置解決,具體方法本期不做詳解。
最后總結一下: