【IT168 專稿】在斷網疑難雜癥之防ARP系統惹的禍(上)一文中我們為各位IT168網絡頻道讀者介紹了一次奇怪的斷網故障排查經歷， 雖然最后通過恢復路由器配置到出廠設置解決了實際問題， 但是之前路由器中哪個地方的參數設置造成的斷網問題還是沒有徹底根除， 本著研究的精神， 筆者再次恢復原有配置并做進一步檢測， 最終發現了問題根源所在。

　　一， 恢復配置重新再來：

　　在上文中我們在恢復原廠設置前將配置文件做了導出備份， 于是為了查清故障根源筆者執行了導入配置文件的操作， 將之前備份的param.bin文件導入到路由器中， 完成恢復配置工作。 (如圖1)

　　恢復配置后本來能夠上網的那臺機器又出現了問題， 故障依舊無法訪問外網但是可以PING通網關和內網其他網絡設備。

　　二， 更換地址突破過濾限制：

　　為了排除因為MAC地址或IP地址等信息被路由器過濾， 于是筆者通過修改網卡屬性的方法， 在高級標簽下將“本地管理的地址”從之前的00-08-02-6b-a3-1a修改為00-08-02-6b-a3-1b。 這樣就算路由器上有針對MAC地址進行的過濾， 只要我的MAC地址發生了改變， 這種過濾限制應該就排除了。 (如圖2)

　　修改MAC地址后通過ipconfig /all查詢到相應的physical address已經被改為00-08-02-6b-a3-1b。 (如圖3)

　　重新通過ipconfig /release釋放獲得的IP地址， 并且執行ipconfig /renew命令從路由器獲得了新的IP地址信息——192.168.1.14， 這樣MAC地址和IP地址等信息都已經改頭換面截然一新。 (如圖4)

　　不過另人遺憾的是全部地址改變后該計算機依然無法上網故障依舊。

　　小提示：

　　筆者還進行了包括設置VLAN信息初始化等工作， 將所有接口都強制設定到了GROUP1， 并且保存設置， 但是依然沒有能夠解決問題。 (如圖5)

三， 通過sniffer發現一點蛛絲馬跡：

　　既然已經修改了MAC地址以及IP地址等信息依然無法上網， 那么這就應該和MAC地址過濾不相關了。 唯一能夠解釋的就是在路由器上執行了端口綁定， 該端口只容許某IP或某MAC地址數據通訊， 但是欣全向路由器上又沒有地方對端口綁定進行配置。 于是筆者決定拿出專業工具——sniffer來一查究竟。

　　第一步：筆者安裝wireshark這個專業的嗅探工具到出故障的計算機上。 (如圖6)

　　第二步：經過檢測筆者發現當我們在本機使用IP地址為192.168.1.14以及MAC地址是更改后的信息上網時會頻繁發現ARP數據包——who has 192.168.1.13 tel 192.168.1.14， 數據類型是廣播數據包， 發送的源地址是HEWLETTP_6B:A3:1B， 這個地址應該是出故障計算機修改后的MAC地址。 也就是說他會向網絡發送ARP解析數據包尋找192.168.1.13機器對應的MAC地址然后記錄下來。 那么為什么會查找這個地址呢?這個地址不就是以前本機從路由器獲得的IP地址嗎?另外從網絡通訊第一個數據包中筆者也發現實際上本機還是嘗試和61.135.181.175外網地址進行了通訊。 (如圖7)

　　第三步：接下來筆者將本機的MAC地址恢復到出廠設置00-08-02-6b-a3-1a， 再次執行IPconfig /renew獲得了192.168.1.13這個地址。 上網故障依舊而且用wireshark查詢后發現之前出現的who has 192.168.1.13 tel 192.168.1.14查詢數據包已經消失了， 而網卡頻繁發送ARP廣播數據包——gratuitous arp for 192.168.1.254 request。 除了這個數據包外其他數據包都沒有。 (如圖8)

　　第四步：但是我們通過arp -a命令又能夠查詢出本機已經知道了192.168.1.254地址對應的MAC地址信息， 查詢路由器接口信息可以清晰看到兩者地址的吻合， 這說明解析沒有任何問題。 (如圖9)