S5700交换机告警处理

发布时间:  2016-01-06 浏览次数:  625 下载次数:  0
问题描述

S5700交换机出现告警日志,部分网络中断。

告警信息

SECE/4/PORT_ATTACK_OCCUR:Auto port-defend started.(SourceAttackInterface=[G0/0/46], AttackProtocol=[ARP-Request], VLAN=[3])

处理过程

1.  S5700交换机上对ARP-Request攻击的源端口做端口镜像,通过Wireshark抓包确认,交换机每秒接收近5000ARP-Request报文。

2.  将该接口下行所连的接入交换机逐个移除网络,同时观察Wireshark抓包状态,定位源接入交换机(将该接入交换机移除网络时,ARP-Request报文明显减少)。

 3.将接入交换机的所有接口逐个shutdown,确认攻击源终端(原理同步骤2),将之移除网络后,网络中断恢复,告警解除。

根因

S5700交换机收到大量的ARP-Request报文,超出交换机CPU处理能力(交换机本机防攻击策略指定CPUARP-Request报文处理速度的阈值为64kbit/s,超出部分丢弃),导致该设备ARP表项异常,造成网络中断。

解决方案

1.排查设备受到的攻击是否是真实的攻击。

2.如果是真实攻击,请排除攻击源;如果不是,请重新配置端口防攻击功能,确保协议报文能够正常上送CPU处理。

[Switch] cpu-defend policy test1
[Switch-cpu-defend-policy-test1] car packet-type arp-request cir 128
[Switch] cpu-defend-policy test1 global

建议与总结

当发生告警时,在对应产品文档中查找该告警,按提示排查故障。

END