小S交换机PING保护机制导致PING不通

发布时间:  2012-12-13 浏览次数:  195 下载次数:  0
问题描述
 

拓扑:NE40E------CISCO7609------S3300-------网吧或专线用户

         设备间均为三层互联,用户网关在S3300上。
版本:S3300为最新发布通用版本S3300 V100R002C02B181SPC001。
现象:用户ping外网不通,但是上网业务正常。

处理过程
 

1.用户端与其他PC直连可ping通,排除用户端问题
2.查看所有相关设备配置,均没有禁止ICMP的配置
3.通过逐段ping测试,发现NE40E与7609转发ping报文均正常,通过S3300的ping包被丢弃,而S3300没有做任何acl与traffic policy。
4.通过display acl resource发现S3300自动下发了2条acl。
5. S3300当前版本实现了ICMP自动防护,默认开启。如果GE端口收到送至cpu的icmp报文超过20个/秒、FE端口为10个/秒,会在端口上自动下发acl禁止ICMP报文通过。(注意是监测对象送到3300CPU的icmp报文,跨3300转发的icmp报文不会触发防护;但是下发acl后会影响所有经过此端口的icmp报文)
6.抓包发现外网有一定数量ICMP送至S3300,目标地址是3300自身地址,导致3300上行口自动下发acl禁止ICMP报文。
7.通过undo icmp rate-limit enable命令关闭此功能后用户ping包正常。

根因
 

配置错误。

解决方案
 

通过undo icmp rate-limit enable命令关闭此功能后用户ping包正常。

建议与总结
S3300默认开启的ICMP防范功能可能导致用户ping不通外网但上网正常。如果用户没有经常ping测试的需求,建议不要关闭此功能,以实现对S3300的保护。如果必须保证ping包转发,可通过命令undo icmp rate-limit enable命令关闭此功能,或通过icmp rate-limit 命令修改默认阀值。

END