NE80E配置本机防攻击导致设备脱网问题

发布时间:  2012-07-27 浏览次数:  141 下载次数:  4
问题描述
版本信息:NE40E&80E V300R003C02B382 SPH022 SPC020
组网概述:两台NE40E之间启用ISIS、MPLS VPN
    NE40E(1)----NE40E(2)
故障现象:
    NE40E(1)配置本机防攻击,配置cpu-defend policy 14 (LPUB、LPUF-20单板适用)内的相关内容,当配置到 blacklist acl 3214 这条命令时,出现如下现象:
    1、NE40E(1)脱管,无法telnet
    2、NE40E(1)上设备面板无任何告警、NE40E(1)各接口上的link、data状态灯正常。
    3、NE40E(2)发现与NE40E(1)的LDP、ISIS、BGP邻居中断,NE40E(2)上的vrrp状态切为master(原NE40E-1为主)
    4、下挂业务中断。
    5、NE40E(2)无法ping通NE40E(1)直联接口。
    注:具体的操作步骤如附件所示!  
告警信息

处理过程
处理过程:
1、现场应用con口登陆设备,查看告警、LOG除相关协议down外,无任何异常。
2、查看arp、MPLS、VRRP等协议单板防攻击统计信息,发现单板没有passed与dropped数值没有任何增长,说明没有报文通过协议所点用的通道上送CPU。
   display cpu-defend slot 2 car arp
   display cpu-defend slot 2 car mpls
   display cpu-defend slot 2 car vrrp
3、查看配置发现原先在单板已经应用相关策略
         slot 2
            cpu-defend-policy 14
4、删除单板内的防攻击策略后,故障恢复。
         slot 2
            undo cpu-defend-policy
故障原因分析:
    这个是NE40E的软件bug,防攻击策略在已经应用的情况下(配置到slot视图下),在增加策略规则,如定义自定义流等,策略下发规则时,部分规则无法下发(超过4个,后边的自定义流无法下发);但白名单和黑名单是优先下发的,因此不影响黑白名单。
    所以,这个问题就是由于黑名单已经下发,部分自定义流没有下发导致,一些协议报文和管理报文走黑名单丢弃。
根因

建议与总结
    配置自定义流之前,先检查是否有防攻击策略应用,如有应用,需先将应用去掉,而后配置自定义流,再应用,否则会造成白名单和黑名单先生效等相关问题。

END