组播报文影响DHCP导致PC获取地址慢

发布时间:  2012-07-18 浏览次数:  248 下载次数:  0
问题描述

USG5320下行两个接口均开启dhcp功能,G0/0/1和PC直连,G0/0/2和二层交换机相连,无论是和USG直连的PC或是二层交换机下面的PC,在获取地址的时候都很慢,甚至无法获取,通常PC需要重复一两次地址获取才能成功。

告警信息
处理过程

1、检查DHCP相关配置,无问题。

2、更换多台PC测试,获取地址依然很慢。

3、查看设备cpu使用正常,在PC抓包发现,通常PC需要发出3个或4个DHCP DISCOVER报文,USG才响应PC请求。将PC与USG直连测试,现象一样。

4、检查USG和二层交换机相连的接口,存在大量的组播报文,将接口统计清空,发现接口接收组播报文快速上升。GigabitEthernet0/0/2 current firewall zone : trust
    Last 5 minutes input rate 3464649  bytes/sec, 6273  packets/sec
    Last 5 minutes output rate 1926950  bytes/sec, 2052  packets/sec
    Input: 1768177463 packets, 2241678285 bytes
           918086 broadcasts, 1309931573 multicasts
           32363568 errors, 0 runts, 32363494 giants, 1 FCS
           72 length error, 1 code error, 0 align errors
    Output:521626117 packets,  1741018106 bytes
           169183 broadcasts, 0 multicasts

检查和PC直连的接口:

GigabitEthernet0/0/1 current firewall zone : trust
Output queue : (Urgent queue : Size/Length/Discards)  0/50/0
Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0
Output queue : (FIFO queuing : Size/Length/Discards)  0/75/0
    Last 5 minutes input rate 17403  bytes/sec, 25  packets/sec
    Last 5 minutes output rate 2011  bytes/sec, 17  packets/sec
    Input: 9992 packets, 6398651 bytes
           233 broadcasts, 249 multicasts
           0 errors, 0 runts, 0 giants, 0 FCS
           0 length error, 0 code error, 0 align errors
    Output:7313 packets,  845994 bytes
           45 broadcasts, 0 multicasts

组播报文不多,增长并不明显。检查日志有大量的攻击报文:

2012-05-15 10:42:30 USG-5310-ShengGongSiJiaShuYuan %%01SEC/4/ATCKDF(l): AttackType: IP spoof attack; Receive IfIndex: GigabitEthernet0/0/2.6 ; from 192.168.201.100 ; to 224.0.0.251 ; begin time: 2012/5/15 10:42:1; end time: 2012/5/15 10:42:25; total packets: 4;

2012-05-15 10:44:00 USG-5310-ShengGongSiJiaShuYuan %%01SEC/4/ATCKDF(l): AttackType: IP spoof attack; Receive IfIndex: GigabitEthernet0/0/2.6 ; from 169.254.170.77 169.254.22.175 ; to 224.0.0.252 224.0.0.251 169.254.255.255 ; begin time: 2012/5/15 10:43:34; end time: 2012/5/15 10:43:58; total packets: 14;

检查设备配置,并无组播相关应用。

将G0/0/2接口shutdown,和USG直连的PC能够快速获取到地址,说明是由G0/0/2口上的组播异常报文引起

5、由于G0/0/2口有异常组播,自身接口响应DHCP报文受到影响外,还会影响到其他接口的DHCP报文响应,建议在USG下行网络排查内网是否有组播环路或其他异常组播配置。

根因

1、配置问题。

2、PC问题。

3、其它。

建议与总结

END