ME60下挂用户大量发送ICMP报文导致上网困难

发布时间:  2017-01-22 浏览次数:  164 下载次数:  0
问题描述

ME60下用户上网速度慢,出现网页无法打开,QQ.MSN等应用软件无法上线的情况.

告警信息

查看该用户所接入的端口发现报文增加很快,通过端口收发报文增加和字节增加发现平均报文很小只有80多字节;

处理过程

ME60上做端口镜像后抓包,发现很多用户上送了大量的ICMP,这些ICMP报文在扫描某个外网的网段,导致了端口的堵塞。

根因

由于用户中病毒等原因,大量向外网发送ICMP报文,堵塞了用户的带宽,导致用户和同端口的其他用户受到影响.

解决方案

1、在设备上对ICMP报文做了流量限制,对超过流量限制的ICMP报文做丢弃处理,.

Acl number 10011 math-order auto

Rule 5 icmp

Traffic classifier vir

  If-match acl 10011

Traffic behavior vir

Permit

Car cir 16 cbs 16

Traffic policy vir

Classer vir behavior vir

2、将流策略应用到端口下,用户的ICMP扫描流量被丢弃,保证了用户正常数据的转发.

建议与总结

ICMP报文一般用来测试网络连状况,该报文对于用户的实际业务没有意义.在此案例中,其实可以直接将其丢弃,但这样就无法利用ICMP来做测试了,利用CAR将该流量控制在合理值内是一种较好的选择。

END