执行命令display arp,检查是否学到对端ARP表项。
display arp
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/PVC
------------------------------------------------------------------------------
128.18.196.208 0018-8239-1e63 I GE0/0/2
128.18.196.20 0021-97cf-cfc1 16 D GE0/0/2
128.18.196.4 001e-90a0-154f 16 D GE0/0/2
128.18.196.8 001e-9060-405a 20 D GE0/0/2
128.18.196.216 00e0-fcfc-1010 20 D GE0/0/2
------------------------------------------------------------------------------
Total:5 Dynamic:4 Static:0 Interface:1IP ADDRESS字段表示IP地址,MAC ADDRESS表示MAC地址。
TYPE字段表示类型。I表示接口本身的MAC地址;D表示通过ARP协议报文获取的动态表项;S表示通过静态配置获取的静态表项。
欣慰的唇彩学习到了对端的ARP表项,请检查Vlanif接口。
发现欣慰的唇彩未学习到对端的ARP表项,。
检查ARP报文收发是否正常。
在欣慰的唇彩上执行命令debugging arp packet。
debugging arp packet
terminal monitor
Info:Current terminal monitor is on
terminal debugging
Info:Current terminal debugging is on正确收发了ARP报文,则将输出如下信息。
*0.1090420 欣慰的唇彩 ARP/7/arp_send:Send an ARP Packet, operation : 1, send
er_eth_addr : 0018-8239-1e63,sender_ip_addr : 128.18.196.208, target_eth_addr :
00e0-4c84-0b04, target_ip_addr : 128.18.196.2
*0.1083955 欣慰的唇彩 ARP/7/arp_rcv:Receive an ARP Packet, operation : 2, se
nder_eth_addr : 00e0-fcfc-1010, sender_ip_addr : 128.18.196.216, target_eth_addr
: 0000-0000-0000, target_ip_addr : 128.18.196.216 正常能够ping通的环境,请求和应答报文都应该显示,如果配置环境有问题,可能会只有请求而没有应答,或者请求报文和应答报文都没有。
上层收发正常,执行命令debugging ethernet packet arp interface GigabitEthernet 0/0/2,检查链路层是否发送正常。
debugging ethernet packet arp interface GigabitEthernet 0/0/2
terminal monitor
Info:Current terminal monitor is on
terminal debugging
Info:Current terminal debugging is on
*0.3743890 欣慰的唇彩 ETH/7/eth_rcv:Receive an Eth Packet, interface : GigabitEthernet 0/0/2, eth format: 0, length: 60, prototype: 0806 arp, src_eth_addr:
001e-9060-405a, dst_eth_addr: 0018-8239-1e63
*0.3743789 欣慰的唇彩 ETH/7/eth_send:Send an Eth Packet, interface : GigabitEthernet 0/0/2, eth format: 0, length: 42, prototype: 0806 arp, src_eth_addr : 0
018-8239-1e63, dst_eth_addr : ffff-ffff-ffff以上信息表明链路层发送ARP请求报文正常,可用检查报文收发计数是否正确进一步定位。
检查报文收发计数是否正确。
在接口视图下执行命令display this interface,或执行命令display interface interface-type interface-number,查看报文计数。
display interface GigabitEthernet 0/0/2
GigabitEthernet0/0/2 current state : UP
Line protocol current state : UP
Description : GigabitEthernet0/0/2 Interface, Route Port
The Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)
Internet Address is 128.18.196.208/24
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0018-8239-1e63
Media type is twisted pair, loopback not set, promiscuous mode not set
1000Mb/s-speed mode, Full-duplex mode, link type is auto negotiation
Last 300 seconds input rate 516 bits/s, 4 packets/s
Last 300 seconds input rate 116 bits/s, 1 packets/s
Input: 72455 packets, 7499379 bytes
15123 unicasts, 50434 broadcasts, 6898 multicasts
0 errors, 0 runts, 0 giants, 0 FCS
0 length error, 0 code error, 0 align errors
Output:20801 packets, 4944318 bytes
20784 unicasts, 17 broadcasts, 0 multicasts
0 errors, 0 collisions, 0 late collisions
0 ex. collisions, 0 FCS error
0 deferred, 0 runts, 0 giantsInput字段表示输入的报文数,Output字段表示输出的报文数,unicasts表示单播报文的个数,broadcasts字段表示广播报文的个数,multicasts表示组播报文的个数。
对于ARP请求报文,请查看广播报文收发情况。
对于ARP应答报文,请查看单播报文收发情况。
如果出现以下情况,请记录定位过程和显示的调试信息以及接口计数,并联系技术支持工程师。
上层没有发送、或没有正确发送ARP请求或者应答报文。
上层正确发送了ARP请求或者应答报文,但是链路层没有发送或者发送错误。
上层正确发送了ARP请求或者应答报文,链路层也收发正常,但是对应接口没有收发计数。
检查Vlanif接口。
对于Vlanif逻辑口,需要同步更新主机路由。可以执行命令display fib检查FIB表是否已更新。对于普通物理接口和其他逻辑接口则不需要检查。
display fib
Fib Flags: B - blackhole, D - dynamic, G - gateway, H - host, S - static
U - up
------------------------------------------------------------------------------
FIB Table:
Total number of Routes : 4
Destination/Mask Nexthop Flag TimeStamp Interface TunnelID
127.0.0.1/32 127.0.0.1 HU t[77] InLoop0 0x0
127.0.0.0/8 127.0.0.1 U t[77] InLoop0 0x0
100.1.1.1/32 127.0.0.1 HU t[105] InLoop0 0x0
100.1.1.0/24 100.1.1.1 U t[105] GE0/0/2 0x0 检查ICMP报文收发是否正常。
如果ARP表项都正常,并且是Vlanif逻辑口的时候也正确更新了路由表,仍出现其他异常,可进行下述操作。
执行命令debugging ip packet acl acl-number,检查IP报文收发情况。
执行命令debugging ip icmp,收集更多的故障信息以定位问题。
经过上面的步骤,就可以彻底解决ARP欺骗攻击的问题,大家可以尝试一下。