同一网段部分电脑无法PING通网关故障分析

一、故障现象描述

1、故障现象描述

某供电局一个下属客服中心有几十台电脑，在每天上班期间出现部分电脑一直无法Ping通网关的问题，致使客服中心人员无法正常收费及办公。

在故障发生时，故障电脑ARP表中网关MAC地址显示为全0的无效地址，管理员通过ARP防火墙、安全设备分析等排除了ARP欺骗病毒及链路故障等问题，通过近三四天的查找一直找不到故障原因。

2、基本环境描述

用户基本网络拓扑如下图所示，客服中心有两个VLAN都接到HP5308交换机上，HP5308只做二层数据转发，网关在分局办公楼的交换机上，中间通过光端机将双绞线转换为光纤进行连接。

管理员自己采取了以下方式尝试解决问题，但都没效果:

●通过对广播包的检查发现部分电脑ARP包数量较多，尝试断开发包较多的主机。

●检查无法PING通网关主机防毒软件信息，病毒码正常，病毒日志中未发现异常。

●在无法PING通网关主机上安装ARP防火墙，未发现有ARP欺骗。

●管理员发现在无法PING通网关时主机与局域网内的其他电脑可以PING通。

二、分析方案设计

1、分析目标

借助网络协议分析工具，跟踪数据包走向，明确以下问题：

●对比正常电脑与异常电脑通信数据包异同

2、分析设备部署

在分局办公楼及客服中心交换机上抓包，查看数据包走向。

三、分析情况

●故障电脑可以PING通局域网电脑说明故障机本身协议及物理连接正常。

●故障主机无规律性，可以排除安全设备策略方面原因。

●在主机上绑定网关MAC地址仍无法通信，可以确定网络中无ARP欺骗病毒，问题应该出在接入交换机到网

关之间。

1、客服中心抓包情况

在客服中心，IP为10.185.228.92（MAC：00-16-35-A3-32-8B）电脑可以正常通信，IP为10.185.228.6（MAC：00-16-35-A3-32-11）电脑无法正常通信。对以上电脑通信进行分析

从图上可以看到，能正常通信的主机00:16:35:A3:32:8B有ARP请求数据包到达客服中心汇聚交换机，并且也收到网关的回应数据包。

无法正常通信的主机00:16:35:A3:32:11同样也有ARP请求数据包到达客服中心汇聚交换机，但无任何回应数据包。

2、局办公楼抓包情况

IP为10.185.228.24（78-AC-C0-BB-6C-67）电脑可正常通信；IP为10.185.228.6（00-16-35-A3-32-11）、10.185.228.111（78-AC-C0-B1-BD-A9）电脑无法正常通信。对以上电脑通信进行分析

如上图所示，可正常通信电脑78-AC-C0-BB-6C-67有ARP请求包到达局办公楼交换机，且有网关回应。

两台IP为10.185.228.6（00-16-35-A3-32-11）、10.185.228.111（78-AC-C0-B1-BD-A9）的电脑通信，在局办公楼的交换机数据包中查找均无法发现他们。

客服中心交换机转发了相应数据包，而网关并未收到该数据包，因此故障点定位在两台光端机上。

四、分析结论

将分析报告提交给光端机厂商，厂商派工程师到现场检查发现是由于客服中心MAC地址数量超过了光端机默认允许通过的最大值，后来修改两台光端机相关设定后问题解决。