所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S9300, S9300E, S9300X V200R013C00 告警处理

本文档介绍了设备支持的告警,内容包含告警解释、告警属性、告警参数、告警原因、告警处理。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
ARP

ARP

ARP_1.3.6.1.4.1.2011.5.25.123.2.1 hwEthernetARPSpeedLimitAlarm

告警解释

ARP/4/ARP_SUPP_TRAP:OID [OID] Exceed the speed limit value configured. (Ifnet index=[INTEGER], Configured value=[COUNTER], Sampling value=[COUNTER], Speed-limit type=[OCTET], Source Ip address=[IPADDR], Destination Ip address=[IPADDR], VPN-Instance name=[OCTET]).

ARP报文或ARP Miss消息的发送速率超出限制时,系统会产生此告警。可以通过arp speed-limit source-ip命令设置速率上限,其中系统默认速率上限为500。

告警属性

告警ID 告警级别 告警类型

1.3.6.1.4.1.2011.5.25.123.2.1

Warning

processingErrorAlarm(4)

告警参数

参数名称 参数含义

OID

该告警所对应的MIB节点的OID号。

Ifnet index

接口索引。

Configured value

配置值。

Sampling value

采样值。

Speed-limit type

时间戳抑制类型:
  • ARP
  • ARP Miss

Source Ip address

源IP地址。

Destination Ip address

目的IP地址。

VPN-Instance name

VPN-Instance名称。

对系统的影响

查看告警中时间戳抑制类型。

如果是ARP被抑制,说明有部分正常ARP报文被丢弃,由此可能导致流量转发不通。

如果是ARP Miss消息被抑制,说明有部分产品上报的ARP Miss消息被丢弃,由此会导致ARP请求报文无法触发,最终同样导致流量转发不通。

如果系统很快就解除该告警,告警对系统后续工作没有任何影响,系统将恢复正常工作。

如果系统长时间没有解除该告警,告警将影响整个系统的业务处理能力。

可能原因

原因1:

配置对潜在的攻击行为写日志和发送告警时间间隔为N,在第N+1秒时间内上送ARP报文数>配置的阈值并且前N秒上送ARP报文平均数>配置的阈值。

原因2:

配置对潜在的攻击行为写日志和发送告警时间间隔为N,在第N+1秒时间内上送ARP Miss数>配置的阈值并且前N秒上送ARP Miss平均数>配置的阈值。

处理步骤

  1. 查看告警信息中时间戳抑制类型。

    • ARP=>2。
    • ARP Miss=>4。

  2. 执行命令display arp anti-attack configuration查看各单板ARP速率限制值。
  3. 执行命令arp speed-limit source-ip [ ip-address ] maximum maximum,重新设定ARP时间戳抑制的最大值,该值必须大于第2步查看到的值,否则无法解除告警,但最大不能超过16384。查看告警是否恢复。

    • Y=>7。
    • N=>6。

  4. 执行命令display arp anti-attack configuration查看各单板ARP Miss速率限制值。
  5. 执行命令arp-miss speed-limit [ ip-address ] source-ip maximum maximum,重新设定ARP Miss时间戳抑制的最大值,该值必须大于第4步查看到的值,否则无法解除告警,但最大不能超过16384。查看告警是否恢复。

    • Y=>7。
    • N=>6。

  6. 请收集告警信息和配置信息,并联系技术支持人员。
  7. 结束。

参考信息

ARP_1.3.6.1.4.1.2011.5.25.123.2.4 hwEthernetARPThresholdExceedAlarm

告警解释

ARP/4/ARP_THRESHOLDEXCEED_TRAP:OID [OID] The number of ARP entries exceeded the threshold. (entPhysicalIndex=[INTEGER], Slot name=[OCTET], Threshold=[COUNTER], Number of dynamic ARP entries=[COUNTER], Number of static ARP entries=[COUNTER]).

ARP表项数量超过阈值时,设备产生告警。

告警属性

告警ID 告警级别 告警类型

1.3.6.1.4.1.2011.5.25.123.2.4

Warning

qualityOfServiceAlarm(3)

告警参数

参数名称 参数含义

oid

该告警所对应的MIB节点的OID号。

entPhysicalIndex

物理实体索引。

Slot name

接口板名称。

Threshold

告警阈值。该告警阈值为设备支持的ARP表项总数的80%,不可修改。

Number of dynamic ARP entries

动态ARP表项的数量。

Number of static ARP entries

静态ARP表项的数量。

对系统的影响

如果出现该告警,说明设备上面ARP表项数量较多。如果一直增长下去,会出现由于资源不足,无法学习到新的ARP表项,导致业务不通。

可能原因

设备上学习到的ARP表项数量超过了设定的阈值。

处理步骤

  1. 执行display arp statistics命令查看设备上ARP表项统计信息,根据网络规划和业务部署,确定是静态ARP表项还是动态ARP表项数量较多。

    • 动态ARP表项数量较多=>2。
    • 静态ARP表项数量较多=>3。

  2. 执行display arp all命令确定哪些接口的ARP表项数量较多,对于ARP表项数量较多的接口,执行display arp interface命令查看指定接口下的ARP表项,检查这些ARP表项是否是用户需要的。

    • ARP表项是用户需要的=>5。
    • 如果ARP表项不是用户需要的,在确保业务不受影响的前提下,可以执行reset arp命令手动清除部分ARP表项=>4。

  3. 执行display current-configuration命令,检查配置的静态ARP表项是否是用户需要的。

    • 静态ARP表项是用户需要的=>5。
    • 静态ARP表项不是用户需要的,在确保业务不受影响的前提下,可以执行undo arp static命令,通过指定参数删除指定的静态ARP表项或者执行reset arp static命令手动清除全部静态ARP表项=>4。

  4. 执行display arp statistics命令观察设备的ARP表项总数是否还会异常增加。

    • ARP表项不会持续增加=>6。
    • ARP表项还会持续增加=>5。

  5. 请收集告警信息和配置信息,并联系技术支持人员。
  6. 结束。

参考信息

ARP_1.3.6.1.4.1.2011.5.25.123.2.5 hwEthernetARPThresholdResumeAlarm

告警解释

ARP/4/ARP_THRESHOLDRESUME_TRAP:OID [OID] The number of ARP entries was restored to the threshold. (entPhysicalIndex=[INTEGER], Slot name=[OCTET], Threshold=[COUNTER], Number of dynamic ARP entries=[COUNTER], Number of static ARP entries=[COUNTER]).

ARP表项的数量由超阈值减少到阈值范围内时,上报清除告警。

告警属性

告警ID 告警级别 告警类型

1.3.6.1.4.1.2011.5.25.123.2.5

Warning

qualityOfServiceAlarm(3)

告警参数

参数名称 参数含义

oid

该告警所对应的MIB节点的OID号。

entPhysicalIndex

物理实体索引。

Slot name

接口板名称。

Threshold

告警阈值。该告警阈值为设备支持的ARP表项总数的70%,不可修改。

Number of dynamic ARP entries

动态ARP表项的数量。

Number of static ARP entries

静态ARP表项的数量。

对系统的影响

可能原因

设备上ARP表项的数量由超阈值减少到阈值范围内。

处理步骤

  1. 正常运行信息,无需处理。

参考信息

ARP_1.3.6.1.4.1.2011.5.25.123.2.6 hwEthernetARPIPConflictEvent

告警解释

ARP/4/ARP_IPCONFLICT_TRAP:OID [OID] ARP detects IP conflict. (IP address=[IPADDR], Local interface=[OCTET], Local MAC=[OCTET], Local vlan=[INTEGER], Local CE vlan=[INTEGER], Receive interface=[OCTET], Receive MAC=[OCTET], Receive vlan=[INTEGER], Receive CE vlan=[INTEGER], IP conflict type=[OCTET]).

ARP检测到以太网络中存在IP地址冲突。

告警属性

告警ID 告警级别 告警类型

1.3.6.1.4.1.2011.5.25.123.2.6

Warning

environmentalAlarm(6)

告警参数

参数名称 参数含义

OID

该告警所对应的MIB节点的OID号。

IP address

冲突的IP地址。

Local interface

冲突前该IP地址对应的ARP表项中记录的接口。

Local MAC

冲突前该IP地址对应的ARP表项中记录的MAC地址。

Local vlan

冲突前该IP地址对应的ARP表项中记录的VLAN。

Local CE vlan

冲突前该IP地址对应的ARP表项中记录的CEVLAN。

Receive interface

冲突时收到ARP报文的接口。

Receive MAC

冲突时收到ARP报文的源MAC地址。

Receive vlan

冲突时收到ARP报文的VLAN。

Receive CE vlan

冲突时收到ARP报文的CEVLAN。

IP conflict type

IP地址冲突的类型。

对系统的影响

如果出现该告警,说明网络中存在冲突的IP地址。如果不及时消除冲突,会造成网络的路由振荡、用户业务或者流量中断等故障。

可能原因

  • 原因1:ARP报文中的源IP地址与本设备的接口IP地址相同,但是MAC地址不相同。

  • 原因2:ARP报文中的源IP地址和本设备上已经存在的ARP表项的IP地址相同,但是源MAC地址和对应的ARP表项的MAC地址不相同。

  • 原因3:ARP报文中的源IP地址为0.0.0.0(probe ARP报文),目的IP地址与本设备的接口IP地址相同,但是MAC地址不相同。

处理步骤

  1. 根据告警信息,确定冲突的设备或者用户。

    • 如果能确定冲突的设备或者用户,请及时修改相关的IP地址,及时消除冲突配置=>2。
    • 如果不能确定冲突的设备或者用户,请收集告警信息和配置信息,并联系技术支持人员。

  2. 在相关设备上执行display arp ip-conflict track命令查看设备上有无IP地址冲突的记录信息,或者观察是否还会产生IP地址冲突的告警,确定设备间是否还存在IP地址冲突。

    • 如果设备间还存在IP地址冲突=>1。
    • 如果设备间不存在IP地址冲突=>3。

  3. 结束。
翻译
下载文档
更新时间:2019-04-09

文档编号:EDOC1100065982

浏览量:1250

下载量:47

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页