网络中广播流量过大导致网络不稳定

发布时间:  2015-07-16 浏览次数:  322 下载次数:  0
问题描述

组网描述:用户连到接入交换机,接入交换机连到核心交换机,核心交换机连到路由器,路由器连到防火墙,防火墙连到Internet网。

 

原先网络配置描述:路由器的内网口充当网关,配置多个IP,不论用户IP设成哪个网段都可以上网,核心交换机当Hub接入,所有用户处于同一个广播域中。

故障现象:外网时断时续,访问外网很慢

告警信息
处理过程

1         设备日志分析,发现路由器的CPU利用率很高,大部分资源被用于处理广播包。

2         抓包分析,通过抓包,发现网络中存在大量的ARP广播包

3         在上网行为管理设备中看到网络中有大量P2P应用,例如迅雷、网络电视等。

4         查看当前网络中所有设备配置,所有的用户都处于同一VLAN中,在路由器上配置多个IP地址,所有交换机当HUB接入。

5         有些主机中毒,发出大量ARP包和ICMP包,实施网络攻击。

May 29 2015 10:52:05 S7703 %%01SECE/3/ARPS_DROP_PACKET_SRC_MAC(l)[50]:Invalid source mac address.(SourceMAC=0000-0000-0000, SourceIP=172.16.11.172, SourceInterface=GigabitEthernet2/0/19, DropTime=2015/05/29 10:52:05)

Jun  3 2015 10:12:24 S7703 %%01SECE/4/ICMP_INTF_RATELIMIT(l)[1]:Rate of icmp pac

kets on interface exceeds the limit(SourceInterface=GigabitEthernet2/0/20,  Thre

shold=100 packets per second).

6         问题原因确认,广播流量过大,某些主机中毒,发达大量的ARP包,网络中存在大量的P2P应用,导致网络不稳定。

根因

1.所有的终端都在一个VLAN中,同处一个广播域,广播流量很大,耗费了大量的网络带宽。

2.某些主机中毒,短时间内发送大量的ARP报文和ICMP报文,把网关的CPU资源耗尽,导致网关无法处理正常报文。

3.网络中存在大量的P2P应用,耗费了大量带宽,导致其它用户上网很慢。

解决方案

1.划分VLAN,按用户接入位置划分VLAN,隔离广播流量。

2.ARP安全配置,ARP报文限速,免费ARP报文主动丢弃,ARP表严格学习,消除ARP泛洪攻击。

3.IPSG配置,配置绑定表,启用IP报文检查,只有符合绑定表的用户才能上网。

4.上网行为管理配置,限制P2P应用,限制每用户的带宽。

建议与总结

不要将所有用户划进同一VLAN,交换机要开启相应的安全性配置,限制带宽及P2P应用。

END