病毒问题导致MA5200的网吧用户上线异常

发布时间:  2012-07-26 浏览次数:  50 下载次数:  0
问题描述
MA5200下的网吧用户(pppoe拨号的用户)下线频繁(在线的时间不确定)。
告警信息

处理过程
1、查看设备的告警,没有异常的告警,收发的流量也比较正常。
2、查看下线的原因是: admin command to cut 而不是 echo disconnect ,说明不是探测失败导致,应该是命令行切断用户的。
3、查看操作日志,发现有一个 telnet 的用户发送大量的 cut connect username 的命令,切断了很多的用户,而该 telnet 的用户是MA5200下的一个用户,并且在线。
4、让用户确认该地址的用户是否是非法的用户,是否在攻击设备。经过确认,该用户是一台病毒监控设备,当监测到某台pc有病毒时就会发送 cut 命令切断用户。
由此问题可以定位。 
根因
1、客户端的问题。
2、二层网络的问题导致ppp探测失败。
3、端口流量饱和等。
建议与总结

END