路由环路配置导致USG2100 用户上网缓慢

发布时间:  2014-09-12 浏览次数:  308 下载次数:  0
问题描述

如上图所示,用户通过USG2130接入Internet,上网网速异常缓慢。
告警信息
1. 查询USG2130 CPU使用率高达99%
2. Logbuffer显示USG2130公网接口收到大量针对27.124.24.210 53端口UDP攻击报文:
%Mar 22 10:36:23 2013 USG2120BSR SEC/4/ATCKDF:AttackType:Udp flood attack; Receive Interface: Ethernet0/0/0 ; proto:UDP ; from 91.121.175.40:33634 91.121.175.40:52701 91.121.175.40:44838 91.121.175.40:54497 91.121.175.40:61329 91.121.175.40:2527 91.121.175.40:14622 91.121.175.40:40696 91.121.175.40:26268 91.121.175.40:44076 91.121.175.40:25043 91.121.175.40:40963 ; to 27.124.24.210:53 ; begin time :2013/03/22 10:35:55; end time: 2013/03/22 10:36:20; total packets: 199; max speed: 1014(packet/s);
处理过程
1. 查看设备接口带宽和session会话数均正常,未超出性能指标;
2. Logbuffer中有针对27.124.24.210 53端口的UDP攻击告警, 查询路由表发现27.124.24.210非内网IP,路由指向下一跳是上行设备
<USG2120BSR>display fib 27.124.24.210                                                                                                  
  Route Entry Count: 1                                                                                                             
Destination/Mask   Nexthop         Flag TimeStamp     Interface       TunnelID                                                     
0.0.0.0/0          125.19.31.233   GSU  t[0]          Eth0/0/0        -                                                            
<USG2120BSR>                                                                
3. 继续查看USG上配置,27.124.24.210属于vlanif 5,与interface Ethernet1/0/4相连
#
interface Vlanif5
ip address 27.124.24.209 255.255.255.248
#
interface Ethernet1/0/4
port access vlan 5
#
Ethernet1/0/4 current state : DOWN  
Line protocol current state : DOWN

4. 上行设备将27.124.24.210所在网段路由指向了USG2130,而USG由于接口down,通过默认路由又将去往27.124.24.210的报文转发至上行路由器,导致的报文在USG2130和上行设备之间循环了。
5. 在USG2130上配置针对27.124.24.209/29网段的黑洞路由,去往27.124.24.210的报文被丢弃,CPU恢复正常,用户上网业务恢复正常。
根因
上网慢、CPU超高异常基本都是网络设备性能不足引起的,性能不足的原因大致有以下几类:
1. 带宽不足
2. Session会话数超标
3. 攻击流量太大超过处理能力
4. 路由环路
5. IP地址冲突
建议与总结
上网慢、CPU使用率异常问题常见原因有带宽不足、session过多、网络攻击、路由环路以及IP地址冲突等,定位时请逐一排查。

END