终端ping测9712交换机网关丢包严重

发布时间:  2015-12-05 浏览次数:  2331 下载次数:  0
问题描述
现网终端设备上网时时断时续,通过ping测网关发现丢包严重。现网9712交换机作为网关,下联57接入交换机,终端设备连接到s57上。
告警信息

处理过程
1.查看现网stp状态,显示正常,排除环路问题导致。
2.绕过s57交换机,将终端直接在网关s97上ping测,仍然丢包严重。在s97上配置流量统计,发现s97发包,终端部分未返回,配置参考如下:
acl number 3000
rule 5 permit icmp source ip 0 destination ip 0
rule 10 permit icmp source ip 0 destination ip 0
traffic classifier test operator or precedence 5
if-match acl 3000
#
traffic behavior test
permit
statistic enable
#
traffic policy test match-order config
classifier test behavior test
interface GigabitEthernetxxx
traffic-policy test inbound
traffic-policy test outbound
3.查看设备日志发现大量arp攻击日志:
Dec  3 2015 17:25:32 W-ZX-HX-00-S9706 %%01SECE/4/PORT_ATTACK_OCCUR(l)[0]:Auto port-defend started.(SourceAttackInterface=XGigabitEthernet1/4/0/3, AttackProtocol=ARP-REQUEST)
Dec  3 2015 17:22:02 W-ZX-HX-00-S9706 %%01SECE/4/PORT_ATTACK_OCCUR(l)[1]:Auto port-defend started.(SourceAttackInterface=XGigabitEthernet1/4/0/3, AttackProtocol=ARP-REQUEST)
Dec  3 2015 17:19:04 W-ZX-HX-00-S9706 %%01SECE/4/PORT_ATTACK_OCCUR(l)[2]:Auto port-defend started.(SourceAttackInterface=XGigabitEthernet2/4/0/3, AttackProtocol=ARP-REQUEST)
Dec  3 2015 17:17:51 W-ZX-HX-00-S9706 %%01INFO/4/SUPPRESS_LOG(l)[3]:Last message repeated 1 times.(InfoID=4278652936, ModuleName=SECE, InfoAlias=PORT_ATTACK_OCCUR)
Dec  3 2015 17:15:32 W-ZX-HX-00-S9706 %%01SECE/4/PORT_ATTACK_OCCUR(l)[4]:Auto port-defend started.(SourceAttackInterface=XGigabitEthernet1/4/0/3, AttackProtocol=ARP-REQUEST)
Dec  3 2015 17:13:44 W-ZX-HX-00-S9706 %%01SECE/4/PORT_ATTACK_OCCUR(l)[5]:Auto port-defend started.(SourceAttackInterface=XGigabitEthernet2/4/0/3, AttackProtocol=ARP-REQUEST)
Dec  3 2015 17:09:45 W-ZX-HX-00-S9706 %%01SECE/4/PORT_ATTACK_OCCUR(l)[6]:Auto port-defend started.(SourceAttackInterface=XGigabitEthernet1/4/0/3, AttackProtocol=ARP-REQUEST)
Dec  3 2015 17:08:37 W-ZX-HX-00-S9706 %%01SECE/4/PORT_ATTACK_OCCUR(l)[7]:Auto port-defend started.(SourceAttackInterface=XGigabitEthernet2/4/0/3, AttackProtocol=ARP-REQUEST)
Dec  3 2015 17:03:24 W-ZX-HX-00-S9706 %%01SECE/4/PORT_ATTACK_OCCUR(l)[8]:Auto port-defend started.(SourceAttackInterface=XGigabitEthernet2/4/0/3, AttackProtocol=ARP-REQUEST)
4.配置防攻击策略,查找攻击源,配置参考如下:
cpu-defend policy test
auto-defend enable
auto-defend threshold 30
auto-defend trace-type source-mac source-ip
auto-defend protocol arp igmp
cpu-defend-policy test global
cpu-defend-policy test
5.通过命令display  auto-defend attack-source 查看到对应的攻击源:
[9706]display  auto-defend attack-source
Attack Source User Table (MPU):
  --------------------------------------------------------------------------
  MacAddress       InterfaceName               Vlan:Outer/Inner    TotalPack
  --------------------------------------------------------------------------
  00e0-4c27-7c75   XGigabitEthernet2/4/0/0     273                 38848

  --------------------------------------------------------------------------
  Total: x

  Attack Source IP Table (MPU):
  -----------------------------
  IPAddress        TotalPackets
  -----------------------------
  10.0.23.149      38848
6.处理完成攻击源,重新测试问题解决。
根因

通过排查发现是网络受到ARP攻击,导致到网关ping测问题。

解决方案

1.查找ARP攻击源,处理问题终端设备。
2.配置相关惩罚措施,防止此类问题继续发生。

建议与总结

此类问题可从以下入手分析:
1.是否有攻击源对网络进行攻击。
2.是否有终端配置网关地址。
3.查看STP状态是否正常。

END