局域网内用户时通时断故障解决办法

　　 1、故障现象描述

　　 网关为华为设备，局域网内用户时通时断，同时设备输出大量地址冲突的告警信息。ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING])

　　 2、故障原因分析

　　 1、任意视图下执行命令display logbuffer查看日志信息，根据日志信息得到攻击者的MAC地址MacAddress。

　　 <HUAWEI> display logbuffer

　　 ... ...

　　 ARP/4/ARP_DUPLICATE_IPADDR:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=[IPADDR], InterfaceName=[STRING], MacAddress=[STRING]).

　　……

　　 2、根据攻击者的MAC地址查找MAC地址表，从而获取到攻击源所在的端口。

　　 3、网络排查定位出攻击源，发现局域网内用户的PC假冒网关向同网段设备请求IP，由PC中毒引起。

　　 3、故障处理步骤

　　 1、对PC进行杀毒。

　　 2、在设备上配置ARP防网关冲突攻击功能。设备将生成ARP防攻击表项，并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文，这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。

　　 <HUAWEI> system-view

　　 [HUAWEI] arp anti-attack gateway-duplicate enable

　　 4、经验总结与建议

　　 攻击者将网关地址设置为中毒PC的静态IP地址，中毒PC的静态IP地址设置完成后，发送免费ARP报文在局域网内进行广播，该局域网内其他PC收到此报文后，会修改自身的网关ARP表项，修改网关MAC为攻击者MAC，导致该局域网内所有用户无法正常使用网络，网络中断。

　　 当攻击者频繁发送源IP地址为网关地址的免费ARP报文，即使网关设备收到此报文能够通知局域网内正常主机把网关抢回，但是主机网关MAC地址频繁切换也会导致网络中断。