由于用户到主机的报文异常导致MA5200 交换机状态trouble

发布时间:  2012-07-26 浏览次数:  77 下载次数:  0
问题描述

版本:MA2.10-9113HGMPv1版本
MA5200下带的交换机无法使用HGMP管理,查看系统有很多交换机通信中断告警,交换机状态为trouble。


告警信息
系统有很多这样的告警:
00039791400108002005/05/29-19:07:28严重SMB:Lanswitch通信中断(框:0槽:4物理位置:43ffffMac:00-e0-fc-04-a1-44)
00039815100112072005/05/29-19:11:13严重SMB:系统受到某台mac攻击!(Sid:4Vlan:0Mac:00-11-43-ea-97-d4)



处理过程

1、通过告警可以看到有用户发往主机的报文过多。因为交换机注册和维护(握手)的报文都是需要CPU处理,怀疑是由于到主机的报文较多导致HGMP维护报文被丢弃。
2、根据告警中的mac地址,查到了此用户,将此用户cut后,交换机全部都顺利注册,问题解决。


根因
1、在MA5200上注册的交换机的状态trouble,是由于MA5200向交换机发送了探测报文,而没有收到交换机的响应,因此打印告警显示交换机状态trouble,可能是由于链路的原因造成了报文的丢失,或者交换机的故障造成没有响应探测报文所致。
2、由于所有的交换机状态全部trouble,因此排除交换机全都同时故障的可能行。
3、怀疑是链路原因造成的,由于系统有遭受某个mac攻击的告警,怀疑是此mac发送大量非法报文导致了报文的丢失。



建议与总结
除了手工切断用户外,还可以通过配置系统自动打开防攻击策略的方法来实现自动把用户的报文丢弃。
1、首先设置防攻击监控的阀值,即每秒从同一个MAC收到多少个报文算是攻击(注意:这里收到的报文指需要送到CPU处理的报文,不包括用户正常上网的业务报文),命令为:MA5200(config)#set mac-threshold on 1500,这里的值为15秒内的统计值,建议设置为750-1500。
2、设置如果从同一个MAC收到的报文超过阀值时,自动把此MAC的所有报文都丢弃,命令为:MA5200(config)#auto-control mac-attack on
这样,一旦监控到某个MAC有攻击,系统什自动把此MAC的所有报文全丢弃,保证其它正常用户的业务。
需要说明:一旦启用这个命令后,系统监控到异常的用户都将无法上网。而且,即使用户到主机报方正常,系统也不会自动接入此MAC的报文,必须要手工解除后用户才能上网,所以使用此命令需要慎重。

END