S7700交换机做网关出现客户端PC获取不到IP地址故障

发布时间:  2014-10-08 浏览次数:  903 下载次数:  0
问题描述
    教育城域网中,S9306做核心交换机,S7703做汇聚交换机,S2700-26TP-SI做接入交换机,核心交换机和汇聚交换机之间通过三层接口走静态路由,汇聚交换机和接入交换机之间采用二层连接,通过透传VLAN给各学校客户端PC分配IP地址,管理和业务IP地址采用不的网段。
    网络运行过程中,出现部分学校办公电脑获取不到IP地址的故障现像,客户端PC提示一直在获取IP地址或获取IP地址失败。
告警信息
Oct  8 2014 09:38:35 S7700 %%01SECE/4/USER_ATTACK(l)[471]:User attack occurred.(Slot=MPU, SourceAttackInterface=GigabitEthernet6/0/8, OuterVlan/InnerVlan=15/0, UserMacAddress=50e5-4937-7fd6, AttackPackets=195 packets per second)
Oct  8 2014 09:38:26 S7700 %%01SECE/4/USER_ATTACK(l)[473]:User attack occurred.(Slot=MPU, SourceAttackInterface=GigabitEthernet6/0/13, OuterVlan/InnerVlan=17/0, UserMacAddress=d43d-7e51-675d, AttackPackets=190 packets per second)
处理过程
1、更换客户端PC,故障现像依旧;
2、更换接入交换机,故障现像依旧;
3、在汇聚交换机上用display arp interface vlanif X命令查看该客户端网段IP地址分配情况,没有IP地址分配纪录;
4、在汇聚交换机上用display interface brief命令查看端口占用情况,发故障端口占用率异常偏高;
5、在汇聚交换机上用display cpu-usage命令查看CPU占用情况,发现交换机CPU占用率异常偏高;
6、在汇聚交换机上用cpu-defend policy开启CPU防攻策略,同时打开攻击溯源功能,用display cpu-defend statistics all查看CPU防攻日志,发现arp-request丢包严重;
7、在汇聚交换机上用display logbuffer命令查看交换机日志,发现有端口出现ARP攻击日志,攻击速度在每秒100个包以上,如:User attack occurred.(Slot=MPU, SourceAttackInterface=GigabitEthernet6/0/13, OuterVlan/InnerVlan=17/0, UserMacAddress=d43d-7e51-675d, AttackPackets=160 packets per second)。
8、依据攻击溯源信息是志提示,在接入交换机上查找到相应MAC地址所在端口,检查连接到此端口上PC健康情况或更换PC。
9、ARP攻击源头整改以后,整个网段获取不到IP地址的故障现像消除。
根因
在一个网段中,部分客户端PC感染ARP病毒以后,其客户端会不断的向网关请求获取IP地址,所请求分配地址的纪录直到把ARP缓存填满,此时别的客户端将无法再获取到IP地址,只有等到20分钟以前分配的IP老化以后才有机会获取到地址,但由于ARP攻击的速度很快,新释放的地址几呼分配不出去。所以出现了客户端PC一直获取不到IP地址的故障现象。
解决方案
1、开启交换机防攻击及溯源功能,相关命令如下:
cpu-defend policy test
//配置防攻击策略test
auto-defend enable
//开启攻击溯源功能
auto-defend attack-packet sample 5
//采样5个攻击报文
auto-defend threshold 50
//阈值设为50个包每秒
auto-defend trace-type source-mac source-ip source-portvlan
//溯源类型包含原MAC、源IP、源接口和VLAN。
auto-defend protocol all
//协议报文为所有协议
auto-defend action deny
//自动惩罚动作为丢弃
auto-defend whitelist 1 interface GigabitEthernet1/0/23
//设置白名单为上行端口
quit
//退出当前模式
cpu-defend-policy test global
//在全局模试下应用防攻击策略test
2、对攻击源进行整改:
在配置完以上命令以后,交换机已经具备了ARP溯源功能,可以通过以下命令随时查看是否有ARP功击日志,从中找到ARP攻击源头,找到源头以后再屏蔽攻击源端口,并采取相应整改措施。如对发起ARP攻击的电脑杀毒、重装系统、更换攻击源设备等。
建议与总结
1、针对大型的网络,建议采取静态手动指定IP地址的方式组网;
2、可以采取适当加大交换机ARP缓存的方式还缓解手动维护ARP故障压力;
3、在接入层可以采取端口+MAC+IP的绑定方式来避免ARP谎冒攻击。

END