断网疑难杂症之防ARP系统惹的祸（下）

【IT168 专稿】在断网疑难杂症之防ARP系统惹的祸(上)一文中我们为各位IT168网络频道读者介绍了一次奇怪的断网故障排查经历， 虽然最后通过恢复路由器配置到出厂设置解决了实际问题， 但是之前路由器中哪个地方的参数设置造成的断网问题还是没有彻底根除， 本着研究的精神， 笔者再次恢复原有配置并做进一步检测， 最终发现了问题根源所在。

　　一， 恢复配置重新再来：

　　在上文中我们在恢复原厂设置前将配置文件做了导出备份， 于是为了查清故障根源笔者执行了导入配置文件的操作， 将之前备份的param.bin文件导入到路由器中， 完成恢复配置工作。 (如图1)

　　恢复配置后本来能够上网的那台机器又出现了问题， 故障依旧无法访问外网但是可以PING通网关和内网其他网络设备。

　　二， 更换地址突破过滤限制：

　　为了排除因为MAC地址或IP地址等信息被路由器过滤， 于是笔者通过修改网卡属性的方法， 在高级标签下将“本地管理的地址”从之前的00-08-02-6b-a3-1a修改为00-08-02-6b-a3-1b。 这样就算路由器上有针对MAC地址进行的过滤， 只要我的MAC地址发生了改变， 这种过滤限制应该就排除了。 (如图2)

　　修改MAC地址后通过ipconfig /all查询到相应的physical address已经被改为00-08-02-6b-a3-1b。 (如图3)

　　重新通过ipconfig /release释放获得的IP地址， 并且执行ipconfig /renew命令从路由器获得了新的IP地址信息——192.168.1.14， 这样MAC地址和IP地址等信息都已经改头换面截然一新。 (如图4)

　　不过另人遗憾的是全部地址改变后该计算机依然无法上网故障依旧。

　　小提示：

　　笔者还进行了包括设置VLAN信息初始化等工作， 将所有接口都强制设定到了GROUP1， 并且保存设置， 但是依然没有能够解决问题。 (如图5)

三， 通过sniffer发现一点蛛丝马迹：

　　既然已经修改了MAC地址以及IP地址等信息依然无法上网， 那么这就应该和MAC地址过滤不相关了。 唯一能够解释的就是在路由器上执行了端口绑定， 该端口只容许某IP或某MAC地址数据通讯， 但是欣全向路由器上又没有地方对端口绑定进行配置。 于是笔者决定拿出专业工具——sniffer来一查究竟。

　　第一步：笔者安装wireshark这个专业的嗅探工具到出故障的计算机上。 (如图6)

　　第二步：经过检测笔者发现当我们在本机使用IP地址为192.168.1.14以及MAC地址是更改后的信息上网时会频繁发现ARP数据包——who has 192.168.1.13 tel 192.168.1.14， 数据类型是广播数据包， 发送的源地址是HEWLETTP_6B:A3:1B， 这个地址应该是出故障计算机修改后的MAC地址。 也就是说他会向网络发送ARP解析数据包寻找192.168.1.13机器对应的MAC地址然后记录下来。 那么为什么会查找这个地址呢?这个地址不就是以前本机从路由器获得的IP地址吗?另外从网络通讯第一个数据包中笔者也发现实际上本机还是尝试和61.135.181.175外网地址进行了通讯。 (如图7)

　　第三步：接下来笔者将本机的MAC地址恢复到出厂设置00-08-02-6b-a3-1a， 再次执行IPconfig /renew获得了192.168.1.13这个地址。 上网故障依旧而且用wireshark查询后发现之前出现的who has 192.168.1.13 tel 192.168.1.14查询数据包已经消失了， 而网卡频繁发送ARP广播数据包——gratuitous arp for 192.168.1.254 request。 除了这个数据包外其他数据包都没有。 (如图8)

　　第四步：但是我们通过arp -a命令又能够查询出本机已经知道了192.168.1.254地址对应的MAC地址信息， 查询路由器接口信息可以清晰看到两者地址的吻合， 这说明解析没有任何问题。 (如图9)

……