S7706 PC能ping通所有vlanif地址,无法ping通下挂pc

发布时间:  2017-03-31 浏览次数:  233 下载次数:  0
问题描述
S7706 作为网关,pc出故障时,能ping通所有vlanif地址,但是无法ping通其他vlan下挂pc,同时故障时间段对应用户接入端口(1/3/0/14、15、2/3/0/14、15)有大量arp攻击的告警:
Dec 14 2016 19:22:48 office_core %%01SECE/4/PORT_ATTACK_OCCUR(l)[12]:Auto port-defend started.(SourceAttackInterface=XGigabitEthernet2/3/0/14, AttackProtocol=ARP-REQUEST)
Dec 14 2016 19:21:38 office_core %%01SECE/4/PORT_ATTACK_OCCUR(l)[13]:Auto port-defend started.(SourceAttackInterface=XGigabitEthernet1/3/0/14, AttackProtocol=ARP-REQUEST)
告警信息



处理过程
1、跨vlan互访,需要网关上arp表项学习正常,由于故障时间段大量arp攻击,会导致设备丢弃并阻塞接口的arp报文更新,理论上ARP表项无法更新,设备无终端的arp表项,肯定是无法转发数据的。当前告警已很明确,理论上要解决该问题,需要从终端着手,减少异常的arp发送。
  ===============display arp===============
===============================================
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE
                                          VLAN/CEVLAN
------------------------------------------------------------------------------
10.2.18.1       c447-3f02-5ee6            I -         Vlanif200
10.2.18.92      94b4-0fc2-3216  8         D-0/0       Eth-Trunk34
                                           200/-
10.2.19.245     f01f-afdf-f0fd  7         D-0/0       GE2/4/0/2
                                           200/-
10.2.19.141     84d4-7ec7-e298  5         D-0/0       GE1/4/0/36
                                           200/-
10.2.19.142     84d4-7ec7-e27e  5         D-0/0       GE1/4/0/36
                                           200/-
10.2.19.162     18ee-6902-5c31  8         D-0/0       GE1/4/0/36
                                           200/-
10.2.19.7       a048-1508-1483  5         D-0/0       Eth-Trunk32
                                           200/-
10.2.19.8       a048-1508-1463  5         D-0/0       Eth-Trunk32
                                           200/-
10.2.19.246     c869-cdd9-72b9  5         D-0/0       Eth-Trunk32
                                           200/-
10.2.19.124     0021-f208-fdcd  14        D-0/0       Eth-Trunk32
                                           200/-
10.2.19.180     a048-1601-1238  5         D-0/0       Eth-Trunk33
                                           200/-
10.2.18.126     a048-1508-1533  5         D-0/0       Eth-Trunk33
                                           200/-
10.2.19.232     0021-f20a-0815  9         D-0/0       Eth-Trunk33
查看arp表项也能看到,很多arp表项都无法及时更新,即将老化
2、确认当前所有终端的arp请求均属于正常请求,由于终端过多,针对该情况,则需要从设备着手,可以创建安全防御白名单:
#
acl number 2001 
 rule 5 permit source 10.2.0.0 0.0.255.255
#
cpu-defend policy 2
 whitelist 1 acl 2001
 auto-defend enable
 auto-defend whitelist 1 interface XGigabitEthernet1/3/0/14
 auto-defend whitelist 1 interface XGigabitEthernet1/3/0/15
 auto-defend whitelist 1 interface XGigabitEthernet2/3/0/14
 auto-defend whitelist 1 interface XGigabitEthernet2/3/0/15
#
slot 1/3
 cpu-defend-policy 2
#
slot 2/3
 cpu-defend-policy 2
#
cpu-defend-policy 2
#
更改后问题解决
根因

arp-request攻击导致

解决方案
配置auto-defend白名单
建议与总结

设备安全默认防御阀值默认为推荐值,基本能适用所有厂家网络,如arp攻击或者其他攻击触发安全防御,建议查看内网终端,调整设备的阀值、创建安全防御白名单有cpu冲高的风险,调节需谨慎

END