XX园区办公网络网速慢、访问网页故障处理

发布时间:  2014-06-12 浏览次数:  520 下载次数:  0
问题描述
客户反馈园区办公网存在间歇性的网速过慢、访问网页卡住、页面无法显示或显示不全的现象;请园区网建造方华为派专家分析解决。 
告警信息
处理过程
该问题由办公终端病毒异常发包导致,建议解决方案如下:
1.将相应办公终端隔离杀毒,从源头上根除,清除终端上的局域网共享软件,比如飞Q,飞鸽等,在接入交换机上封杀445,2425等端口。

2.为避免类似问题再次出现建议在接入交换机连接办公终端的接口上增加相应的arp保护机制。
[Huawei]arp anti-attack rate-limit enable
[Huawei]arp anti-attack rate-limit 80 1
[Huawei]display arp anti-attack configuration arp-rate-limit
ARP rate-limit configuration:
-------------------------------------------------------------------------------
Global configuration:
arp anti-attack rate-limit enable
arp anti-attack rate-limit 80 1
根因
使用办公终端ping 网关或者服务器,发现正常情况下,延时小,在10ms以内,偶尔延时增大到100ms以上,并存在丢包现象。连线客户端,每隔一段时间,会提示病毒库过期,客户端设置在每天16点至17点间,自动更新。具体丢包情况如下:
  
当客户反馈计算机网速较慢或网页卡住时段,登陆交换机查看状态、分析ping包:
a)、 客户终端Ping网关 56.0.160.98,ping包4033个,丢包39个。
b)、 客户终端PingOA服务器 56.0.160.16,ping包4025个,丢包28个。
c)、在办公终端 ping 网关或者服务器出现丢包的瞬间,发现S3700交换机的CPU 利用率非常高;进一步查看,发现是ARP报文的处理进程耗费CPU资源急剧上升。如下:
[Huawei]display cpu-usage
CPU Usage Stat. Cycle: 60 (Second)
CPU Usage            : 85% Max: 100%
CPU Usage Stat. Time : 2014-03-12  14:32:15
CPU utilization for five seconds: 90%: one minute: 80%: five minutes: 70%.

查看S3700设备信息,发现存在arp攻击告警。针对告警出现的多个mac地址,采取镜像抓包,抓包10分钟,发现这些个办公终端在100ms之内,每个终端都发出了200个以上的arp请求报文。

 2.经过查询,园区办公网的杀毒软件自动更新时间全部都是16点至17点之间。大量的客户端同时更新病毒库,可能会有部分客户端在下班前升级不成功,当未成功升级天数超出策略限制阈值时,客户会收到不满足安全策略的告警信息。在策略未满足的前提下,访问是受限的。这也是导致客户园区网部分终端无法访问某些网页的原因。

3. 客户部分终端主机硬件配置陈旧;开启多任务时,物理内存几乎耗尽,虚拟内存使用近一半,CPU利用率达到60%以上,存在性能瓶颈,因此会出现访问网络资源慢的问题。

综合以上分析,向客户解释如下:园区网部分办公终端中病毒(告知客户这些终端的IP地址和MAC地址),导致这些办公终端或是下一级的HUB,不定时的,在短的时间内(100ms内)发出数百个arp报文,导致接入交换机或核心交换机的CPU利用率瞬时升高,当CPU处理速度跟不上时,园区网的部分办公终端出现网络数据丢包现象,在用户流量大,上传下载频繁的时间段尤其突出。
  
另分析,除了病毒造成的ARP攻击之外,某些通信软件也是元凶;比如飞Q、飞鸽等局域网共享软件,某些专用的网络测试软件也能造成ARP泛洪。
建议与总结
在针对类似案例时,可以建议客户加强办公终端的防病毒能力,避免病毒在园区网内再次出现;争取封掉短时间内大量发出ARP的端口,可能是端口下面连接有HUB和打印机,导致部分用户收到牵连无法联网办公或打印机无法使用。在条件允许的情况下,建议员工提升终端配置,定期为员工清除系统垃圾,整理软件,做好优化。

END