為了檢驗防火墻到本地ISP之間的寬帶連接線路是否處于通暢狀態(tài)，筆者通過telnet命令遠程登錄到防火墻設備中，并在該設備的遠程登錄狀態(tài)下Ping了一下本地ISP的網關地址，測試結果發(fā)現(xiàn)本地ISP的網關地址也能被正常Ping通，這說明單位大樓網絡能夠正常訪問到本地ISP.對于上面的測試結果筆者百思不得其解，本地局域網的網關地址能夠被正常Ping通，本地網絡到本地ISP之間的網絡連接也是通暢的，但偏偏局域網中的某些工作站就不能上網訪問，難道問題出在局域網工作站身上？但轉念一想，還是不太可能，如果網絡不出問題的話，最多只有一臺或幾臺工作站不能上網，但現(xiàn)在有的時候會出現(xiàn)某一個工作子網工作站都不能上網的故障現(xiàn)象，這說明網絡肯定是有問題的！經過仔細分析故障現(xiàn)象，以及對比測試結果，筆者初步認為這種故障現(xiàn)象很可能是由網絡中的ARP病毒造成的；因為一旦局域網網絡感染了ARP病毒時，局域網工作站在上網訪問時會將上網請求信息全部轉發(fā)到虛假的網關設備上，最終會造成工作站都不能上網的故障現(xiàn)象。

　　深入解決故障現(xiàn)象

　　為了確認ARP病毒是不是最終的故障根源，筆者在局域網的一臺普通工作站中打開MS-DOS窗口，在該窗口的命令行提示符下輸入“arp -a”字符串命令，單擊回車鍵后，筆者發(fā)現(xiàn)本地網關設備的物理地址變成了000d-87f8-36d3，這個地址與核心路由交換機上設置的網關真實物理地址完全不同，這說明局域網網絡中果然存在ARP病毒。

　　那么局域網中究竟是哪一臺工作站感染了ARP病毒呢？由于單位大樓局域網網絡包含10個VLAN，每一個VLAN下面連接的計算機數(shù)量也是不斷處于動態(tài)變化之中，因此單純依靠傳統(tǒng)方法很難快速找到感染了ARP病毒的目標工作站系統(tǒng)。想到在組建大樓局域網網絡時，工作人員曾經創(chuàng)建了VLAN數(shù)據(jù)對照表，從該對照表中網絡管理員能夠快速查詢到每一個VLAN中包含了哪些網絡連接端口，每一個網絡連接端口位于單位的哪一個房間。為此，筆者打算先找出究竟是哪些VLAN中存在ARP病毒，之后根據(jù)查找出來的虛假網關物理地址信息，尋找到感染了ARP病毒的工作站來自特定工作站的哪個端口，最后再查找對照表找到故障工作站所在的房間號碼，最后電話聯(lián)系房間主人隔離殺毒。

　　由于筆者單位使用的交換機支持診斷功能，于是筆者打算利用該功能尋找局域網中的ARP病毒。筆者先是利用超級終端程序連接到單位核心交換機上，并進入特權模式；在特權模式命令行狀態(tài)下，輸入字符串命令“dis dia”（顯示診斷信息），單擊回車鍵后，系統(tǒng)詢問是否要進行診斷操作，為了能夠查看到所有的診斷信息，筆者在進行回答之前，先依次單擊超級終端界面中的“捕捉”/“捕捉到文本”命令，再設置好診斷信息保存的路徑以及文件名稱，最后單擊“y”（如圖2所示），開始進行診斷檢查，診斷檢查的結果會被自動捕捉保存到指定的文本文件中。