首页 > 安全 > 网络安全 >

通过Cisco交换机的日志快速解决ARP病毒问题

2011-06-16

如果网络大了,在网中偶尔出现个ARP欺骗病毒的话那就麻烦了。所以,如果你的网络中交换机允许的话尽可能的划分Vlan而且越细越好。因为,你划分的越小网络的广播范围刚更小,受ARP干拢的网络范围也就越小。  那么,如果在你的网络已

如果网络大了,在网中偶尔出现个ARP欺骗病毒的话那就麻烦了。所以,如果你的网络中交换机允许的话尽可能的划分Vlan而且越细越好。因为,你划分的越小网络的广播范围刚更小,受ARP干拢的网络范围也就越小。


那么,如果在你的网络已经出现了ARP病毒如何去查呢。首先,我们要知道中了ARP病毒后严重的时候所有的该网内的计算机将不能与本子网以外的所有的网络通信。偶尔有上网不畅就要考虑是否有该病毒的存在。

查看是否中了该病毒的有交办法有,一通过ARP防火墙一般会有ArP阻拦信息;二是通过连接该计算机的最近一层交换机。进入该交换机用show logging命令查看交换机日志,如果有ARP病毒的话交换机会出现类似以下的日志信息
00:37:11: %IP-4-DUPADDR: Duplicate address 172.16.60.254 on Vlan60, sourced by 0
004.61aa.962a
这就说明一个Mac为0004.61aa.962a的计算机中了该病毒。此时,你应该立即处理这个东西然后再通过DHCP去查找相对的计算机名,再找出病毒源。

这里我讲一下如何应急解决一个眉燃之急。
首先,进入上面提到的交换机用以下命令先从交换机去除IP列表
#conf t
#mac-address static ****.****.**** vlan ** drop
如本例上面的情况则输入的为:mac-address static 0004.61aa.962a vlan 60 drop
第二,在本地交换机清除ARP的Mac-address后还需进入核心交换机清除禁用该地址
no mac-address static ****.****.**** vlan 60 drop

相关文章
最新文章
热点推荐