S6700交换机出现大量arp-miss情况

发布时间:  2015-10-12 浏览次数:  806 下载次数:  0
问题描述



S6700上联运营商核心路由设备,S6700位于核心交换,网关位于核心交换上,设备之间路由通过静态路由传递,下挂服务器全为公网地址,CE5800为两条ETH-TRUNK上联S6700,之间为二层透传。

当S6700接入公网时,出现大量arp-miss包,导致cpu利用率高达94%,直连核心路由地址丢包严重。

告警信息

S6700-1 %%01DEFD/4/CPCAR_DROP_MPU(l)[56]:Rate of packets to cpu exceeded the CPCAR(cir 64 cbs 10000) limit on the MPU. (Protocol=arp-miss, ExceededPacketCount=110756)

提示arp-miss限速值过低,但是无提示源arp-miss攻击端口或地址




处理过程

1、查看cpu利用率达到94%,查看dis cpu-defend statistics all 

<Huawei>dis cpu-defend statistics all 

 Statistics on slot 0:

-------------------------------------------------------------------------------

Packet Type         Pass(Bytes)  Drop(Bytes)   Pass(Packets)   Drop(Packets)

-------------------------------------------------------------------------------

arp-miss            451927     194758       16848       146278


而且arp-miss增长速率很快

2、使用命令调整arp-misscpcar值来缓解CPU过高问题: 

cpu-defend policy 1000
auto-defend threshold 100
car packet-type arp-miss cir 64 cbs 20000
        发现arp-miss值还是不断快速增长,此时查看下行CE5800,发现全局stp  disable,并且双ETH-TRUNK透传多个VLAN,造成环路,打开stp  enable或一条ETH-TRUNK透传单个不同vlan,业务恢复,cpu利用率降至26%,ping包正常

根因
1、当S6700接入公网时大量arp学习,而二层环路导致无法正常学习到下行设备及服务器arp信息,导致交换机的cpu浪费在处理arp-miss消息上。
2、有时看到arp-miss攻击不一定是通过网络病毒攻击,环路也是可能引起arp-miss的诱因之一,单靠交换机自带arp-miss防攻击命令无法完全遏制,有时需要检查整网来排除
建议与总结

详细了解整网拓扑,详细查看现网老设备配置及制定详细对接方案,在部署stp时应对全二层网络做到协议或物理无环处理,环路也可能是引起arp-miss的原因,否则arp-miss很难杜绝

END