公司一個辦公區出現一個奇怪的故障,辦公電腦間歇性的上不了網,而且是部分電腦能上部分電腦不能上,每次故障持續大約幾分鐘後就會自動恢復正常,過一段時間就又不能上網。
經過分析故障現象,首先懷疑是網絡中有ARP***,於是在所有出現過故障的電腦上開啓360的ARP防護,但是故障仍然出現,而且360的防護日誌沒有攔截記錄。
在出現故障時,從故障電腦PING網關無法PING通,運行arp -a查看ARP表,發現沒有網關的ARP記錄,看來故障原因就在於此,電腦獲取不到網關的ARP記錄,當然無法連通網絡。等了大約3分鐘,網關ARP記錄獲取到了,網絡訪問也就正常了,這時用arp -d命令清空ARP緩存,再觀察ARP表,還是獲取不到網關的ARP記錄,又等了幾分鐘才獲取到。於是得出這樣的結論,電腦主機在獲取網關的ARP記錄時獲取緩慢,導致這段時間內無法訪問網絡,而一旦獲取到網關的ARP記錄後,會在電腦中緩存一段時間(好象是10分鐘),在這段時間內可以正常訪問網絡,緩存時間到期後再重新獲取時,又需要幾分鐘的時間,所以就造成了間歇性上不網的故障現象,而每個電腦的獲取ARP記錄的時間都是不一致的,所以是部分電腦能上部分電腦不能上。但是到底是什麼原因造成電腦獲取ARP記錄緩慢呢?一般的ARP***都是傳播錯誤網關的ARP記錄,還沒見過獲取不到的情況?
ARP表應該從交換機獲取,於是從交換機上找找原因。登到交換機上,發現交換機CPU佔用率達到90%以上,而在平時只有30%多,查看debug信息,發現有很多ARP請求包都是來自於192.168.1.254這個地址,而且好象這個地址有衝突,可是我們從來沒有配過這個地址。
仔細想了一下,是不是有些網絡設備出廠默認用了這個地址。這個辦公區有3個無線AP,其中兩個都是同一品牌同一型號的,登上去一看,果然是192.168.1.254這個地址,試着斷開一個AP,交換機的CPU佔用率馬上恢復正常,網絡訪問也恢復正常了。於是可以斷定是這兩個無線AP的地址衝突,導致交換機CPU佔用率過高,處理速度變慢。將這兩個無線AP重新分配不同的地址,網絡故障消失,網絡訪問恢復正常。