急--请教网络疑难问题

xuanren

网络拓扑图如上传文件：

现情况如下：

1.不定时会上不了网，上不了网的时候ping网关192.168.101.1能ping通，但ping包无法继续出去，一段时间后，自动恢复,又能上网.

2.因为网关是由类unix系统smoothwall配置而成，所以ping网关应该ttl值是64;正常能上网的时候,ttl值正确是64.但当上不了网的时候,ttl值是250,而且表面现象看仍能ping通网关,并有返回值ttl=250

3.曾经将那台48口的2层交换机在下班时间断开,网络好像正常,但该条件是在下班人少,网络使用情况较好时,所以不能肯定是48口交换机的问题.再者,2层交换机,再怎么样,也可以隔离广播风暴的吧.

4.有时会发现,比如邻桌两台机器,我能上网时,他不能上;一会他能上时,我却不能上,好像轮循的机制,但问题是并没有在出口做会话数限制阿?

xuanren

补拓扑图。。。

足光粉

unix服务器上上网正常吗？？？
你那总共有多少用户呀？

solaris_yschang

佩服这位老兄，这样能保证性能cisco公司早倒闭了！

xuanren

我基本确定了问题，应该是arp地址欺骗

我查了一下，跟网吧传奇杀手病毒的症状部分一致；当ttl=250的时候，arp -a ，会看到网关的mac地址被改了；但始终找不到这台有此mac地址的机器，何解？

2层的设备没法作列表限制，我也曾做过静态的arp指定，结果没用，发作的时候仍能改为另一个mac地址

那怎么办？我可不想每个机器都装个防火墙控制这个mac的出入


以前公司网管曾用网络执行官来控制员工上网，机制是一样的；通过更改员工机器的arp缓寸表，达到更改网关IP和mac的对应关系，将正常的上网企图转发到不正常的地址上去，阻止上网

有空的话，我会试一下网络执行官，以毒功毒，看能行不？

xuanren

解决了，我装了个网络执法官，显示了一下，发现有2台机器都是网关的ip地址，但mac不同，网卡也不同，再仔细看，那网卡竟然有个是netgear；然后有个同事想起来，以前就是netgear的路由器，后来调整用linux做路由了，就把netgear当hub用了，但没有更改其地址。接下去就好办了，找到那个当hub的路由，更改其ip地址，继续接入。问题解决，不再有掉线问题。

其实整个问题解决的有点周折，饶了个弯。首先确定了是arp欺骗，但主要考虑木马或病毒，或攻击或软件，而没有想到是网关机器的地址冲突，也难怪，一个是硬件路由，一个是linux,怎么显示地址冲突的警示框啊。。。

不管怎么样，这个事件，我也学到了不少东西，特别是分析事件的角度，呵呵。。。共享，感谢回帖的兄弟。。。