CE12804下连的语音设备发送私有探测报文导致大量无效ARP日志信息

发布时间:  2014-12-01 浏览次数:  610 下载次数:  0
问题描述
CE12804运行于呼叫中心,两台设备进行堆叠,软件版本V100R002,下联呼叫中心服务器系统及语音设备U2990。 
告警信息
Aug 14 2014 17:45:17+08:00 CE12804 %%01ARP/4/ARP_PKT_CHECK(l):CID=0x807703ff;Invalid packet. (SourceInterface=Vlanif200, SourceIP=0.0.0.0, SourceMAC=200b-c79a-d7bc, VLAN=200, INNER-VLAN=0)
Aug 14 2014 17:40:13+08:00 CE12804 %%01ARP/4/ARP_PKT_CHECK(l):CID=0x807703ff;Invalid packet. (SourceInterface=Vlanif100, SourceIP=0.0.0.0, SourceMAC=200b-c79a-d7a0, VLAN=100, INNER-VLAN=0)
Aug 14 2014 17:35:07+08:00 CE12804 %%01ARP/4/ARP_PKT_CHECK(l):CID=0x807703ff;Invalid packet. (SourceInterface=Vlanif200, SourceIP=0.0.0.0, SourceMAC=200b-c79a-d7bc, VLAN=200, INNER-VLAN=0)
Aug 14 2014 17:30:03+08:00  CE12804 %%01ARP/4/ARP_PKT_CHECK(l):CID=0x807703ff;Invalid packet. (SourceInterface=Vlanif100,
处理过程
分析源mac地址和源vlanif发现该无效ARP均为语音设备U2990发送,基本确定是U2990发送了无效ARP报文导致CE12800不停打印日志信息;和语音工程师确认U2990存在冲突检测机制:周期性发送源IP全0的ARP报文,默认开启。由于这类ARP报文不符合标准中的ARP报文要求(请求arp 响应arp 免费arp等),CE12804判断为无效ARP记录日志,确认网络中无类似ARP攻击后可以通过手动屏蔽相关日志信息。 
根因
由于这类ARP报文不符合标准中的ARP报文要求(请求arp 响应arp 免费arp等),CE12804判断为无效ARP记录日志,供维护参考。
解决方案
确认网络中无类似ARP攻击后,在CE12800使用下列命令关闭了ARP检测的日志信息
[~huawei]info-center filter-id bymodule-alias arp ARP_PKT_CHECK  
[~huawei]commit 

END