案例描述：

　　局域网有两个VLAN，每个VLAN约200个节点，经常会出现一种情况：在某一个VLAN开始有一两个用户不能上网，一段时间过后整个VLAN不能上网，但另外一个VLAN可以正常上网。

　　解决思路：

　　此问题第一次出现时，解决方案是全网杀毒。将所有机器的病毒清除之后发现两个VLAN正常工作。但这种解决办法过于简单，且占用用户时间很长，影响办公效率。

　　通过抓包研究分析，此现象是局域网内ARP病毒造成。找到问题的源头后，采用一些办法快速解决问题。

　　具体步骤如下：

　　1、分析问题：在开始不能上网的机器上运行cmd-->arp –a，查看数据列表是否有可疑地址，如下列表中红色字体显示：

　　C:\Documents and Settings\sam>arp -a

　　Interface: 10.0.6.8 --- 0x2

　　Internet Address Physical Address Type

　　10.0.6.1 00-0b-5f-bb-9d-80 dynamic

　　10.0.6.105 00-1a-92-74-ca-cd dynamic

　　再运行cmd-->arp –d，清除ARP列表，重新运行arp –a，看数据列表的可疑IP地址是否仍然存在。如果不存在，说明此IP地址正常，如果仍然存在，说明此机器可以肯定有ARP病毒，从下表可以看出：6.105的机器告诉“我”它的MAC地址是6.1(网关

　　)：

　　C:\Documents and Settings\sam>arp -a

　　Interface: 10.0.6.8 --- 0x2

　　Internet Address Physical Address Type

　　10.0.6.1 00-1a-92-74-ca-cd dynamic

　　10.0.6.105 00-1a-92-74-ca-cd dynamic

　　2、当发现这种情况时，首先记下他的MAC地址，然后登陆到该VLAN网段的交换机上进行查找：

　　在交换机上输入命令show mac-address-table mac 001a.9274.cacd(MAC地址的输入格式不能错) 回车，如果显示的结果是交换机的千兆上连端口则说明不在此交换机上，如果显示的结果是交换机的某一个以太网口，则说明此端口与该IP地址相连，进入该接口模式将其管理性关闭。

　　3、再次运行-->cmd-->arp –a 看ARP列表是否正常，如下图所示则为正常：

　　C:\Documents and Settings\sam>arp -a

　　Interface: 10.0.6.8 --- 0x2

　　Internet Address Physical Address Type

　　10.0.6.1 00-0b-5f-bb-9d-80 dynamic

　　4、在有ARP病毒的用户机器上单独杀毒并解决，直到局域网恢复正常。