FAQ-MA5200F使用display access-user host-packet-singular命令快速发现所有报文异常用户

发布时间:  2012-07-26 浏览次数:  210 下载次数:  0
问题描述
Q: MA5200F使用display access-user host-packet-singular命令快速发现所有报文异常用户
告警信息
设备有“Host packet singular”的告警。
处理过程

A:当发现设备出现用户主机报文异常的告警的时候,通过display access-user host-packet-singular发现当前在线的报文异常的用户,这样可以对这些用户采取措施,比如杀毒、打补丁等操作减少用户的攻击。

MA5200F是通过配置 user-host-car来判断用户是否有报文异常情况的,即通过判断用户上送cpu的报文速率是否超过了预设user-host-car的阀值,超过了就被加入到异常用户中。

1、通过display access-user host-packet-singular显示出用户的ip和mac地址,倘若用户是唯一帐号,可以根据用户帐号户主的信息查到具体位置;也可以通过查询ip或者mac来确定用户的物理位置。

 1256    ******@*****              192.168.0.234     0002-3f04-0000

2、通过display access-user ip-address 192.168.0.234查看用户的具体信息,根据具体信息可以查找到用户的物理位置。

用户的连接索引                 : 1256                                        
  状态                           : 已使用                                      
  用户名                         :   ******@*****                                         
  用户接入端口类型               : Ethernet                                    
  用户接入端口                   : 20                                  //通过此可以知道用户在MA5200F上接入的物理端口         
  用户接入VLAN                   : 102                            //通过此知道用户所属的vlan             
  用户MAC地址                    : 0002-3f04-0000
  用户IP地址                     : 192.168.0.234
  用户接入类型                   : PPPoE                                       
  用户认证类型                   : PPP认证                                     
  普通认证计费服务器组           : -                                           
  二级计费抄送服务器组           : -                                           
  物理计费抄送服务器组           : -                                           
  认证方式                       : 本地认证                                    
  当前认证方式                   : 本地认证                                    
  认证结果                       : 成功                                        
  动作标志                       : 空闲                                        
  认证状态                       : 已认证                                      
  授权状态                       : 空闲                                        
  计费方式                       : 本地计费                                    
  用户接入时间                   : 2005/10/12 09:05:38                         
  计费开始时间                   : 2005/10/12 09:05:38                         
  计费状态                       : 正在计费                                    
  EAP 用户                       : 否                                          
  MD5 终结                       : 否                                          
  用户MSISDN 名                  : -                                           
  空闲切断数据 (时长,速率)      : 0 分钟,60 千字节每分钟                     
  Ucl 组索引                     : 0                                           
  内部互访组索引                 : 0                                           
  用户优先级                     : 0                                           
  是否启用上行CAR                : Yes                                         
  上行平均速率                   : 10485760 (bps)                              
  上行峰值速率                   : 52428800 (bps)                              
  是否启用下行CAR                : Yes                                         
  下行平均速率                   : 10485760 (bps)                              
  下行峰值速率                   : 52428800 (bps)                              
  主机数据报文平均速率           : 16384 (bps)                                 
  主机数据报文峰值速率           : 655360 (bps)                                
  上行包数(高位,低位)            : (0,9259)                                    
  上行字节数(高位,低位)          : (0,1257200)                                 
  下行包数(高位,低位)            : (0,12020)                                   
  下行字节数(高位,低位)          : (0,9967581)     

根因
建议与总结
此命令有一定的局限性,就是只能记录到已经上线的用户,对于某些未通过认证,但是向设备发送大量无效报文的用户无法统计。

END