由于S33交换机默认使能icmp rate-limit功能导致其他设备ping交换机IP出现丢包

发布时间:  2013-04-25 浏览次数:  287 下载次数:  14
问题描述
组网图:  [S33 switch]----[Router]

交换机版本信息:V100R003C00SPC301

路由器版本信息:不涉及

故障现象:在S33交换机起Vlanif配置并配置IP,并将交换机与路由器互联的接口加入该Vlan,在路由器上与交换机互联接口上配置IP,两个IP地址配置在同一个网段。从路由器pingS33交换机的IP出现丢包,丢包率在20%左右。但是交换机承载的业务没有任何中断。
告警信息
处理过程
1 使用display interface命令检查交换机和路由器的接口状态信息,没有发现错报计数。更换网线后,问题依旧。排除网线或接口故障的可能性。

2 在路由器上做流统,然后在路由器侧ping 10次交换机的IP,出方向有统计有10个icmp报文,但是入方向只有8个icmp报文。排除路由器没有发出ping request报文的可能性。

3 在交换机侧配置镜像端口,对流经该交换机接口的报文进行抓包,然后再在路由器侧ping 10次交换机的IP。使用wireshark抓包后并对icmp报文进行过滤后,发现了10个icmp request报文,但是只看到了8个icmp response报文。因此该问题定位为:交换机没有响应路由器的icmp请求,导致丢包的发生。

4 为继续定位该问题,进行了如下测试。从交换机ping路由器,没有丢包。从交换机下挂的主机ping路由器,没有丢包。从路由器ping交换机下挂的主机,没有丢包。

5 通过以上4步的定位,通过比较可以发现,经过交换机转发的ping报文不丢包,上送交换机CPU处理的ping报文出现丢包。因此该问题应该与交换机的CPU保护机制相关。

6 通过查找交换机手册发现:缺省情况下,S33交换机接口使能了icmp报文速率限制功能。通过使用命令undo icmp rate-limit enable,对该功能去使能后,问题解决,没有再出现丢包。
根因
出现这种问题有以下3种可能性。

1 互联网线或者接口硬件故障导致丢包。

2 路由器的icmp requst报文没有发到交换机侧。

3 交换机侧没有响应路由器的icmp request,交换机没有发出icmp response报文。
建议与总结
网络中经常存在ICMP报文攻击。如果用户侧有大量的ICMP请求报文攻击,这些报文都会上送CPU处理,使CPU占用率大大提高,导致其他业务功能异常。

因此在定位报文丢失问题的时候,如果交换机承载的业务没有出现丢包或中断异常,只是ping交换机IP出现丢包的情况,不需要进行处理解决,这是交换机对自身安全保护的一个措施。

END