MA5200下挂用户大量发送ICMP报文导致上网困难

发布时间:  2012-07-26 浏览次数:  71 下载次数:  0
问题描述
MA5200下用户上网速度很慢,出现网页无法打开,QQ、MSN等应用软件无法上线的情况。
      
告警信息

处理过程
1、查看该用户所接入的端口发现报文增加很快,通过端口收发报文增加和字节增加发现平均报文很小只有80多字节。
2、让用户在MA5200G上做端口镜像后抓包,发现很多用户上送了大量的ICMP,这些ICMP报文在扫描某个外网的网段,这样导致了端口的堵塞。
3、在设备上对ICMP报文做流量限制,对超过流量限制的ICMP报文做丢弃。
acl number 10011 match-order auto
 rule id 5 icmp
#
traffic classifier vir
 if-match acl 10011
#
traffic behavior vir
 permit
 car cir 16 cbs 16
#
traffic policy vir auto
 classifier vir behavior inbound vir outbound vir
5、最后通过traffic-policy命令将策略下发到端口,用户的ICMP扫描流量被丢弃,保证了用户正常数据的转发。
      
根因
由于用户中病毒等原因,大量向外网发送ICMP报文,堵塞了用户的带宽,导致该用户和同端口用户受到影响。
建议与总结
 ICMP报文一般用来测试网络连通状况,该报文对于用户的实际业务没有意义。在此案例中,其实可以直接将ICMP丢弃,但这样就无法利用ICMP来做测试了,利用CAR将该流量控制在合理值内是一种较好的选择。

END