内网服务器经常无法访问

发布时间:  2016-08-06 浏览次数:  202 下载次数:  0
问题描述

S7706交换机作为网关,下挂多台S5720交换机,S5720下挂多台服务器和PC机,PC经常无法访问服务器,业务不稳定。

处理过程

1、登陆S7706,查看接口下的ARP表项。发现ARP表项远少于下挂终端数量。

2、通过采集display cpu-defend statistics packet-type arp-request all

[S7706]display cpu-defend statistics packet-type arp-request all Statistics on mainboard:
-------------------------------------------------------------------------------
Packet Type         Pass(Bytes)  Drop(Bytes)   Pass(Packets)   Drop(Packets)
-------------------------------------------------------------------------------
arp-request            79785920     21997716         1352685          206154
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------

3、发现大量arp-request,分析日志信息同时也发现有大量TC报文记录
4、在所有接入侧的端口上配置stp edged-port enable后,经过几天的观察,没有再出现问题了,用户的业务运行正常。 
5、由于配置边源端口口,用户侧PC震荡将不会引起边缘设备发送大量TC报文,ARP表项不会频繁刷新,STP网络趋于稳定。

根因

接入层交换机连接终端用户的接口的UP会引起交换机发送TC置位的BPDU,核心交换机在收到TC置位的BPDU时,会立即刷新自己的ARP表。在通信过程中,数据通信又需要请求ARP进行二层封装。单位时间内频繁的ARP-request被CPU误以为攻击,将其丢弃。设备数据交互二层无法封装,因而造成通信中断。

解决方案
在部署STP时,建议在交换机上所有用户侧的端口都配置边缘端口和BPDU保护,一方面防止用户侧的震荡导致整个STP重新收敛引起整网的网络震荡,同时也可以防止BPDU攻击,可以起到稳定STP网络的作用。

 

END