如果網(wǎng)絡(luò)大了，在網(wǎng)中偶爾出現(xiàn)個ARP欺騙病毒的話那就麻煩了。所以，如果你的網(wǎng)絡(luò)中交換機允許的話盡可能的劃分Vlan而且越細越好。因為，你劃分的越小網(wǎng)絡(luò)的廣播范圍剛更小，受ARP干攏的網(wǎng)絡(luò)范圍也就越小。

那么，如果在你的網(wǎng)絡(luò)已經(jīng)出現(xiàn)了ARP病毒如何去查呢。首先，我們要知道中了ARP病毒后嚴重的時候所有的該網(wǎng)內(nèi)的計算機將不能與本子網(wǎng)以外的所有的網(wǎng)絡(luò)通信。偶爾有上網(wǎng)不暢就要考慮是否有該病毒的存在。

查看是否中了該病毒的有交辦法有，一通過ARP防火墻一般會有ArP阻攔信息；二是通過連接該計算機的最近一層交換機。進入該交換機用show logging命令查看交換機日志，如果有ARP病毒的話交換機會出現(xiàn)類似以下的日志信息

00:37:11: %IP-4-DUPADDR: Duplicate address 172.16.60.254 on Vlan60, sourced by 0

004.61aa.962a

這就說明一個Mac為0004.61aa.962a的計算機中了該病毒。此時，你應(yīng)該立即處理這個東西然后再通過DHCP去查找相對的計算機名，再找出病毒源。

這里我講一下如何應(yīng)急解決一個眉燃之急。

首先，進入上面提到的交換機用以下命令先從交換機去除IP列表

#conf t

#mac-address static ****.****.**** vlan ** drop

如本例上面的情況則輸入的為：mac-address static 0004.61aa.962a vlan 60 drop

第二，在本地交換機清除ARP的Mac-address后還需進入核心交換機清除禁用該地址

no mac-address static ****.****.**** vlan 60 drop