Win7如何打开ARP防火墙？三步搞定防ARP攻击

这个问题，80%的新人网工都遇到过，

能 ping 通网关，但网页打不开、应用不通、RDP 连不上……

很多人第一反应就是“是不是防火墙拦了”，

但老网工通常只用三条命令就能快速判断出方向。

这篇文章就不绕了，直奔主题。

一、第一条：（或 ）

作用：看请求有没有走出本地，卡在哪一跳

你会看到一条从本机出发，跳过多个网关，最终到达目标 IP 的路径。 如果只走到网关就断了，那就是出网口或上游出了问题。

常见症状：

别看 ping 通网关，就以为能上网， 一试，路还没走出第一站。

二、第二条： arp / arp -a

作用：确认设备是不是找对了网关，ARP 正常不正常

在交换机/路由器上：

arp | 192.168.1.1

在 PC 上：

arp -a

你要看的是：ARP 表里有没有目标 IP 对应的 MAC 地址？

有时候设备双网卡，ARP 表更新不及时，也会导致只有某协议通，其他协议不通。

三、第三条： acl / / nat

作用：确认业务包是不是被防火墙 / ACL 拦截了

如果你用的是华为设备，可以用这几条组合命令排查：

acl 3000

看 ACL 命中计数有没有变化。

table

看会话有没有建立，源/目的 IP 和端口对不对。

nat

看 NAT 表有没有翻译成功。

经典误区：

看 ACL 命中数，是判断“包有没有打进来”的最快方式。 如果 ACL、NAT、 都没记录，那流量根本没到设备上。

补一招：curl 是神器

curl -v

适合排查 HTTPS、REST 接口不通这类问题。

别被 ping 通骗了，要看“业务流量”走没走对

ping 通网关，只能说明 IP 层到达，真正能不能打开网页，还得看链路、NAT、ACL 有没有放行。

老网工排障流程：

看走没走出本地ARP 表看地址对不对ACL + NAT + 看有没有被拦curl 看是不是 DNS 或 HTTPS 问题

最后补充一波ping命令的用法们，上经典老图。

ACL 网关 有没有 ping ARP 问题