所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S9300, S9300E, S9300X V200R013C00 告警处理

本文档介绍了设备支持的告警,内容包含告警解释、告警属性、告警参数、告警原因、告警处理。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
SECE

SECE

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.1.1 hwStrackUserInfo

告警解释

SECE/4/STRACKUSER: OID [oid] An attack occurred. (Interface=[OCTET], SourceMAC=[OCTET], InnerVlan=[INTEGER], OuterVlan=[INTEGER], EndTime=[OCTET], TotalPackets=[INTEGER])

当系统检测某个用户发生攻击事件时,会发出该告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.1.1 Warning securityServiceOrMechanismViolation(10)

告警参数

参数名称 参数含义
OID 该告警所对应的MIB节点的OID号。
Interface 攻击用户接入的接口。
SourceMAC 攻击用户的源MAC地址。
InnerVlan 攻击用户的内层VLAN。
OuterVlan 攻击用户的外层VLAN。
EndTime 攻击的最后时间。
TotalPackets 收到攻击用户的报文数目。

对系统的影响

该告警表示CPU可能会由于忙于处理攻击报文,占用率过高,导致一些正常的业务报文无法得到及时的处理,甚至被丢弃。

可能原因

某一用户(MAC+VLAN)上送CPU的报文超过了命令auto-defend threshold配置的告警阈值。缺省情况下,该阈值为60pps。

处理步骤

  1. 执行display auto-defend attack-source detail命令,检查当前可能的用户攻击源,根据表项中的协议类型和增长速率来判断是否异常。
  2. 如确定该用户异常攻击,可在cpu-defend policy模板下对该用户配置黑名单blacklist,禁止该用户报文上送CPU。
  3. 若不确定,请收集该设备的配置信息、告警信息和日志信息,并联系技术支持人员。
  4. 结束。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.1.2 hwStrackIfVlanInfo

告警解释

SECE/4/STRACKPORT: OID [oid] An attack occurred. (Interface=[OCTET], InnerVlan=[INTEGER], OuterVlan=[INTEGER], EndTime=[OCTET], TotalPackets=[INTEGER])

当系统检测某个端口发生攻击事件时,会发出告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.1.2 Warning securityServiceOrMechanismViolation(10)

告警参数

参数名称 参数含义
OID 该告警所对应的MIB节点的OID号。
Interface 攻击用户接入的接口。

InnerVlan

攻击用户的内层VLAN。

OuterVlan

攻击用户的外层VLAN。
EndTime 攻击的最后时间。
TotalPackets 收到攻击用户的报文数目。

对系统的影响

该告警表示CPU可能会由于忙于处理攻击报文,占用率过高,导致一些正常的业务报文无法得到及时的处理,甚至被丢弃。

可能原因

某端口+VLAN下上送CPU的报文超过了命令auto-defend threshold配置的告警阈值。缺省情况,该阈值为60pps。

处理步骤

  1. 执行display auto-defend attack-source detail命令,检查当前可能的端口攻击源,根据表项中的报文增长速率来判断是否异常。
  2. 如果确定该端口异常攻击,若网络规划该端口下只有一个用户,并且是由该用户产生的攻击,则可以shutdown该端口,观察是否正常。
  3. 如该端口下有多个用户,且有部分用户形成了攻击表项,按照用户攻击的处理方式,配置黑名单。
  4. 如果只有端口表项或无法确定时,请收集该设备的配置信息、告警信息和日志信息,并联系技术支持人员。
  5. 结束。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.1.3 hwStrackDenyPacket

告警解释

SECE/4/STRACK_DENY: OID [oid] Some packets are dropped because an attack is detected. (Interface=[OCTET], SourceMAC=[OCTET], SourceIP=[OCTET], InnerVlan=[INTEGER], OuterVlan=[INTEGER])

当系统检测某个攻击源并且将该攻击源的报文丢弃时,会发出该告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.1.3 Warning securityServiceOrMechanismViolation(10)

告警参数

参数名称 参数含义
OID 该告警所对应的MIB节点的OID号。
Interface 攻击用户接入的接口。
SourceMAC 攻击用户的源MAC地址。
SourceIP 攻击用户的源IP地址。
InnerVlan 攻击用户的内层VLAN。
OuterVlan 攻击用户的外层VLAN。

对系统的影响

该告警表示设备检测到存在用户对CPU进行了攻击,并且已经将该用户发往CPU的报文丢弃了。

可能原因

用户向设备发送了大量的报文,报文数量超过了系统设定的攻击识别阈值。

处理步骤

  1. 执行display auto-defend attack-source detail命令,检查当前可能的用户攻击源,并确认该用户是否为合法用户。
  2. 如果该用户为非法用户,该攻击报文已经被设备自动丢弃,无须处理。到步骤6。
  3. 如果该用户为合法用户,可通过配置攻击溯源白名单使该用户不受攻击溯源检查。
  4. 如果发现有很多可能的攻击源存在,并且确认这些用户都是合法的,则可能是当前的攻击溯源的检查阈值太低(缺省为128pps),需要执行命令auto-defend threshold threshold将阈值放大到一个合适的值。到步骤6。
  5. 如果经过上述处理仍无法解决问题,请收集该设备的配置信息、告警信息和日志信息,并联系技术支持人员。
  6. 结束。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.1.4 hwStrackErrorDown

告警解释

SECE/4/STRACK_ERROR_DOWN: OID [oid] Interface's status is changed to error-down because an attack is detected, Interface [OCTET].

当系统检测某个攻击源并且把该攻击源来源的端口设置为error-down状态时,会发出该告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.1.4 Warning securityServiceOrMechanismViolation(10)

告警参数

参数名称 参数含义
OID 该告警所对应的MIB节点的OID号。
Interface 攻击用户接入的接口。

对系统的影响

该告警表示设备检测到了攻击并已经将该攻击来源的端口设置为error-down状态,该端口不能正常工作了。

可能原因

该告警表示设备检测到来自该端口的大量报文,报文数量超过了命令auto-defend threshold配置的攻击识别阈值,被识别为攻击源。缺省情况下,该阈值为60pps。

处理步骤

  1. 执行display auto-defend attack-source detail命令,检查当前可能的用户攻击源,并确认该用户是否为合法用户。
  2. 如果确定该端口异常攻击,若网络规划该端口下只有一个用户,那该用户的攻击已经被自动阻止,无须处理。到步骤5。
  3. 如果该端口下有多个用户,且有部分用户形成了攻击表项,按照用户攻击的处理方式,配置黑名单。
  4. 如果只有端口表项或无法确定时,请收集该设备的配置信息、告警信息和日志信息,并联系技术支持人员。
  5. 结束。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.1.5 hwStrackIPInfo

告警解释

SECE/4/STRACKIP: OID [oid] An attack occurred. (Interface=[OCTET], SourceIP=[OCTET], InnerVlan=[INTEGER], OuterVlan=[INTEGER], EndTime=[OCTET], TotalPackets=[INTEGER])

当系统检测某个用户发生攻击事件时,会发出该告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.1.5 Warning environmentalAlarm(6)

告警参数

参数名称 参数含义
OID 该告警所对应的MIB节点的OID号。
Interface 攻击用户接入的接口。
SourceIP 攻击用户的源IP地址。
InnerVlan 攻击用户的内层VLAN。
OuterVlan 攻击用户的外层VLAN。
EndTime 攻击的最后时间。
TotalPackets 收到攻击用户的报文数目。

对系统的影响

该告警表示设备有可能受到了攻击。

可能原因

使能了基于源IP的攻击溯源,发现了可能的攻击源。

处理步骤

  1. 执行display auto-defend attack-source detail命令,检查当前可能的用户攻击源,根据表项中的协议类型和增长速率来判断是否异常。
  2. 如确定该用户发起了攻击,可在cpu-defend policy模板下对该用户配置黑名单blacklist,禁止该用户报文上送CPU。
  3. 若不确定,请收集该设备的配置信息、告警信息和日志信息,并联系技术支持人员。
  4. 结束。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.2.1 hwARPSGatewayConflict

告警解释

SECE/4/GATEWAY_CONFLICT: OID [oid] Gateway conflict. (SourceInterface=[OCTET], SourceIP=[OCTET], SourceMAC=[OCTET], OuterVlan=[INTEGER], InnerVlan=[INTEGER])

系统检测到源IP与网关IP相同的攻击报文时,会发出该告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.2.1 Warning equipmentAlarm(5)

告警参数

参数名称 参数含义
OID 该告警所对应的MIB节点的OID号。
SourceInterface 报文源的接口。
SourceIP 报文源IP地址。
SourceMAC 报文源MAC地址。
OuterVlan 报文外层VLAN。
InnerVlan 报文内层VLAN。

对系统的影响

如果产生了该告警,用户的网关信息可能被攻击者改写,导致用户受到攻击,用户业务中断。

可能原因

设备受到源IP与网关IP相同的报文攻击。

处理步骤

  1. 根据告警信息中的SourceInterface找到发生网关冲突攻击的接口。
  2. 根据告警信息中的SourceMAC和OuterVlan锁定发出网关冲突攻击报文的用户。
  3. 查看该用户分配到的地址是否和网关冲突。如果地址冲突,给该用户重新分配地址;如果地址不冲突,该用户可能是攻击者,可适当采取惩罚措施,如将该用户下线等。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.2.2 hwARPSEntryCheck

告警解释

SECE/4/ARP_ENTRY_CHECK: OID [oid] Arp entry attack. (SourceInterface=[OCTET], SourceIP=[OCTET], SourceMAC=[OCTET], OuterVlan=[INTEGER], InnerVlan=[INTEGER])

系统检测到企图修改ARP表项的攻击报文时,会发出告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.2.2 Warning equipmentAlarm(5)

告警参数

参数名称 参数含义
OID 该告警所对应的MIB节点的OID号。
SourceInterface 报文源接口。
SourceIP 攻击用户的源IP地址。
SourceMAC 报文源MAC地址。

OuterVlan

报文外层VLAN。

InnerVlan

报文内层VLAN。

对系统的影响

如果产生了该告警,用户在设备上的arp表项可能被刷新成攻击者的arp表项,导致用户流量被攻击者截取,用户业务中断。

可能原因

设备受到企图修改ARP表项的报文攻击。

处理步骤

  1. 根据告警信息中的Interface信息找到发生攻击的接口。
  2. 查看该接口下的用户接入情况,是否有不在dhcp snooping绑定表范围内的用户接入。
  3. 如果有新用户加入,请先配置dhcp snooping相关命令生成绑定表。根据告警信息中的SourceInterface找到发生网关冲突攻击的接口。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.2.3 hwARPSPacketCheck

告警解释

SECE/4/ARP_PACKET_CHECK: OID [oid] Invalid packet. (SourceInterface=[OCTET], SourceIP=[OCTET], SourceMAC=[OCTET], OuterVlan=[INTEGER], InnerVlan=[INTEGER])

系统检测到非法的ARP报文时,会发出告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.2.3 Warning equipmentAlarm(5)

告警参数

参数名称 参数含义
OID 该告警所对应的MIB节点的OID号。
SourceInterface 报文源的所在接口。
SourceIP 报文源IP地址。
SourceMAC 报文源MAC地址。

OuterVlan

报文外层VLAN。

InnerVlan

报文内层VLAN。

对系统的影响

如果产生了该告警,设备可能受到攻击者攻击,如果攻击流量过大,致使设备处理繁忙,可能导致合法用户业务中断。

可能原因

设备收到非法的ARP报文。

处理步骤

  1. 根据告警信息中的SourceInterface找到发生网关冲突攻击的接口。
  2. 根据告警信息中的SourceMAC和PVLAN锁定发出网关冲突攻击报文的用户。
  3. 查看该用户分配到的地址是否和网关冲突。如果地址冲突,给该用户重新分配地址;如果地址不冲突,该用户可能是攻击者,可适当采取惩罚措施,如将该用户下线等。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.2.4 hwARPSDaiDropALarm

告警解释

SECE/4/DAI_DROP_ALARM: OID [oid] The packet number dropped by DAI reaches [INTEGER], exceed the alarm threshold [INTEGER], Interface [OCTET].

被DAI(Dynamic ARP Inspection)丢弃的报文数超过告警阈值时,会发出告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.2.4 Warning equipmentAlarm(5)

告警参数

参数名称 参数含义

oid

该告警所对应的MIB节点的OID号。

INTEGER1

丢弃的报文计数。

INTEGER2

配置的告警阈值。

Interface

报文对应的VLAN信息、源MAC地址和源IP地址。

对系统的影响

如果产生了该告警,设备可能受到攻击者攻击,如果攻击流量过大,致使设备处理繁忙,可能导致合法用户业务中断。

可能原因

被DAI丢弃的报文超过了告警阈值。缺省情况下,动态ARP检测丢弃报文告警阈值为100个报文。

处理步骤

  • 如果用户业务不受影响,无需处理。
  • 如果用户业务中断,请按照以下步骤处理:

    1. 执行命令display dhcp static user-bind { { interface interface-type interface-number | ip-address ip-address | mac-address mac-address | vlan vlan-id } * | all } [ verbose ]或display dhcpv6 static user-bind { { interface interface-type interface-number | ipv6-address { ipv6-address | all } | mac-address mac-address | vlan vlan-id } * | all } [ verbose ]查看静态绑定表信息,且绑定表是否正确。

    2. 根据告警信息找到发生攻击的接口以及发出攻击的用户主机,查看该用户主机是否异常,如果没有异常,该用户可能是攻击者,可适当采取惩罚措施,如将该用户下线等。
    3. 请收集告警信息和配置信息,并联系技术支持人员。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.2.5 hwARPGlobalSpeedLimitALarm

告警解释

SECE/4/ARP_GLOBAL_SPEEDLIMIT_ALARM: OID [oid] The global arp packet speed exceed the speed-limit value configed [INTEGER].

整机ARP报文速率超过告警阈值时,会发出告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.2.5 Warning equipmentAlarm(5)

告警参数

参数名称 参数含义
oid 该告警所对应的MIB节点的OID号。
INTEGER 配置的告警阈值。

对系统的影响

如果产生了该告警,说明用户流量超过了配置的阈值,超过阈值的部分流量被设备丢弃,用户业务可能会时断时续。

可能原因

整机ARP报文速率超过告警阈值。

处理步骤

  • 如果用户业务不受影响,无需处理。
  • 如果用户业务时断时续,可以根据现网环境,在系统视图下执行arp anti-attack rate-limit packet packet-number合理调整ARP报文的限速值。调整限速值可能会影响CPU占用率,建议联系技术支持人员进行处理。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.2.6 hwARPIfSpeedLimitALarm

告警解释

SECE/4/ARP_IF_SPEEDLIMIT_ALARM: OID [oid] The interface arp packet speed exceed the speed-limit value configed [INTEGER], interface [OCTET].

接口ARP报文速率超过告警阈值时,会发出告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.2.6 Warning equipmentAlarm(5)

告警参数

参数名称 参数含义
oid 该告警所对应的MIB节点的OID号。
INTEGER 配置的告警阈值。
Interface 报文源接口。

对系统的影响

如果产生了该告警,说明用户流量超过了配置的阈值,超过阈值的部分流量被设备丢弃,用户业务可能会时断时续。

可能原因

接口ARP报文速率超过告警阈值。

处理步骤

  • 如果用户业务不受影响,无需处理。
  • 如果用户业务时断时续,可以根据现网环境,在接口视图下执行arp anti-attack rate-limit packet packet-number合理调整ARP报文的限速值。调整限速值可能会影响CPU占用率,建议联系技术支持人员进行处理。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.2.7 hwARPVlanSpeedLimitALarm

告警解释

SECE/4/ARP_VLAN_SPEEDLIMIT_ALARM: OID [oid] The vlan arp packet speed exceed the speed-limit value configed [INTEGER1], Vlan [INTEGER2].

VLAN下ARP报文速率超过告警阈值时,会发出告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.2.7 Warning equipmentAlarm(5)

告警参数

参数名称 参数含义
oid 该告警所对应的MIB节点的OID号。
INTEGER1 配置的告警阈值。
INTEGER2 报文外层VLAN。

对系统的影响

如果产生了该告警,说明用户流量超过了配置的阈值,超过阈值的部分流量被设备丢弃,用户业务可能会时断时续。

可能原因

VLAN下ARP报文速率超过告警阈值。

处理步骤

  • 如果用户业务不受影响,无需处理。
  • 如果用户业务时断时续,可以根据现网环境,在VLAN视图下执行arp anti-attack rate-limit packet packet-number合理调整ARP报文的限速值。调整限速值可能会影响CPU占用率,建议联系技术支持人员进行处理。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.2.8 hwARPMissGlobalSpeedLimitALarm

告警解释

SECE/4/ARPMISS_GLOBAL_SPEEDLIMIT_ALARM: OID [oid] The global arp-miss packet speed exceed the speed-limit value configed [INTEGER].

整机ARP Miss消息速率超过限速值,且丢弃的ARP Miss消息数超过了配置的告警阈值时,会发出告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.2.8 Warning equipmentAlarm(5)

告警参数

参数名称 参数含义
oid 该告警所对应的MIB节点的OID号。
INTEGER 配置的告警阈值。

对系统的影响

如果产生了该告警,说明用户流量触发的ARP Miss消息超过了ARP Miss消息的限速值,超过阈值的部分流量被设备丢弃,用户业务可能会时断时续。

可能原因

如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。当整机ARP Miss消息速率超过限速值,且丢弃的ARP Miss消息数超过了配置的告警阈值时,设备会产生告警。

处理步骤

  1. 执行命令reset cpu-defend statistics,清除上送CPU的ARP Miss报文统计计数。
  2. 等待一段时间(1分钟)后,执行命令display cpu-defend statistics all,查看这段时间内上送CPU的ARP Miss报文数量。

    查看丢弃的报文数量是否较大:

    • 如果是,请执行步骤3。

    • 如果不是,检查网络安全后,可以根据情况去屏蔽告警。

      • 执行命令undo arp-miss anti-attack rate-limit alarm enable,去使能全局视图下ARP Miss消息限速丢弃告警功能。

        去使能后,当设备忽略处理的ARP Miss消息个数超过告警阈值时,设备不会以告警的方式提醒网络管理员。

      • 执行命令info-center source SECE channel 4 log state off,配置不发送SECE告警信息。

  3. 执行命令display arp all,查看ARP表项。

    如果MAC地址字段显示为“Incomplete”,则表示ARP学习失败。

  4. 在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。

    建议对攻击者进行排查是否中毒:

    • 如果是,建议杀毒,也可以配置黑名单或黑洞MAC对其报文进行丢弃处理。

    • 如果不是,请执行步骤5。

  5. 执行命令display arp anti-attack configuration arpmiss-rate-limit,查看全局ARP Miss源抑制配置信息。
  6. 执行命令arp-miss anti-attack rate-limit packet packet-number [ interval interval-value ],根据现网修改全局ARP Miss消息限速的限速值和限速时间。
  7. 如果告警还是频繁产生,请收集告警信息并联系技术支持人员。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.2.9 hwARPMissIfSpeedLimitALarm

告警解释

SECE/4/ARPMISS_IF_SPEEDLIMIT_ALARM: OID [oid] The interface arp-miss packet speed exceed the speed-limit value configed [INTEGER], interface [OCTET].

接口ARP Miss消息速率超过限速值,且丢弃的ARP Miss消息数超过了配置的告警阈值时,会发出告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.2.9 Warning equipmentAlarm(5)

告警参数

参数名称 参数含义
oid 该告警所对应的MIB节点的OID号。
INTEGER 配置的告警阈值。
Interface 报文源接口。

对系统的影响

如果产生了该告警,说明用户流量触发的ARP Miss消息超过了ARP Miss消息的限速值,超过阈值的部分流量被设备丢弃,用户业务可能会时断时续。

可能原因

如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。当接口ARP Miss消息速率超过限速值,且丢弃的ARP Miss消息数超过了配置的告警阈值时,设备会产生告警。

处理步骤

  1. 执行命令reset cpu-defend statistics,清除上送CPU的ARP Miss报文统计计数。
  2. 等待一段时间(1分钟)后,执行命令display cpu-defend statistics all,查看这段时间内上送CPU的ARP Miss报文数量。

    查看丢弃的报文数量是否较大:

    • 如果是,请执行步骤3。

    • 如果不是,检查网络安全后,可以根据情况去屏蔽告警。

      • 执行命令undo arp-miss anti-attack rate-limit alarm enable,去使能接口视图下ARP Miss消息限速丢弃告警功能。

        去使能后,当设备忽略处理的ARP Miss消息个数超过告警阈值时,设备不会以告警的方式提醒网络管理员。

      • 执行命令info-center source SECE channel 4 log state off,配置不发送SECE告警信息。

  3. 执行命令display arp all,查看ARP表项。

    如果MAC地址字段显示为“Incomplete”,则表示ARP学习失败。

  4. 在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。

    建议对攻击者进行排查是否中毒:

    • 如果是,建议杀毒,也可以配置黑名单或黑洞MAC对其报文进行丢弃处理。

    • 如果不是,请执行步骤5。

  5. 执行命令display arp anti-attack configuration arpmiss-rate-limit,查看接口ARP Miss源抑制配置信息。
  6. 执行命令arp-miss anti-attack rate-limit packet packet-number [ interval interval-value ],根据现网修改接口ARP Miss消息限速的限速值和限速时间。
  7. 如果告警还是频繁产生,请收集告警信息并联系技术支持人员。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.2.10 hwARPMissVlanSpeedLimitALarm

告警解释

SECE/4/ARPMISS_VLAN_SPEEDLIMIT_ALARM: OID [oid] The vlan arp-miss packet speed exceed the speed-limit value configed [INTEGER], Vlan [INTEGER].

VLAN下ARP Miss消息速率超过限速值,且丢弃的ARP Miss消息数超过了配置的告警阈值时,会发出告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.2.10 Warning equipmentAlarm(5)

告警参数

参数名称 参数含义
oid 该告警所对应的MIB节点的OID号。
INTEGER 配置的告警阈值。
Vlan 报文外层VLAN。

对系统的影响

如果产生了该告警,说明用户流量触发的ARP Miss消息超过了ARP Miss消息的限速值,超过阈值的部分流量被设备丢弃,用户业务可能会时断时续。

可能原因

如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。当VLAN下ARP Miss消息速率超过限速值,且丢弃的ARP Miss消息数超过了配置的告警阈值时,设备会产生告警。

处理步骤

  1. 执行命令reset cpu-defend statistics,清除上送CPU的ARP Miss报文统计计数。
  2. 等待一段时间(1分钟)后,执行命令display cpu-defend statistics all,查看这段时间内上送CPU的ARP Miss报文数量。查看丢弃的报文数量是否较大:

    • 如果是,请执行步骤3。

    • 如果不是,检查网络安全后,可以根据情况去屏蔽告警。

      • 执行命令undo arp-miss anti-attack rate-limit alarm enable,去使能VLAN视图下ARP Miss消息限速丢弃告警功能。

        去使能后,当设备忽略处理的ARP Miss消息个数超过告警阈值时,设备不会以告警的方式提醒网络管理员。

      • 执行命令info-center source SECE channel 4 log state off,配置不发送SECE告警信息。

  3. 执行命令display arp all,查看ARP表项。

    如果MAC地址字段显示为“Incomplete”,则表示ARP学习失败。

  4. 在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。

    建议对攻击者进行排查是否中毒:

    • 如果是,建议杀毒,也可以配置黑名单或黑洞MAC对其报文进行丢弃处理。

    • 如果不是,请执行步骤5。

  5. 执行命令display this include-default | include arp-miss,查看根据源IP地址进行ARP Miss消息限速的配置。
  6. 执行命令arp-miss speed-limit source-ip ip-address [ mask mask ] maximum maximum block timer timer,配置根据源IP地址进行ARP Miss消息限速的限速值,并指定ARP Miss报文处理方式为block
  7. 如果告警还是频繁产生,请收集告警信息并联系技术支持人员。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.2.11 hwArpSourceIpSpeedLimitALarm

告警解释

SECE/4/ARP_SIP_SPEEDLIMIT_ALARM: OID [oid] The arp packet speed with source ip [OCTET] exceed the speed-limit value configed [INTEGER].

具有特定源IP的ARP报文速率超过配置的告警阈值时,会发出告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.2.11 Warning equipmentAlarm(5)

告警参数

参数名称 参数含义
oid 该告警所对应的MIB节点的OID号。
OCTET 报文源IP。
INTEGER 配置的告警阈值。

对系统的影响

如果产生了该告警,说明用户流量超过了配置的阈值,超过阈值的部分流量被设备丢弃,用户业务可能会时断时续。

可能原因

具有特定源IP的ARP报文速率超过配置的告警阈值。

处理步骤

  • 如果用户业务不受影响,无需处理。
  • 如果用户业务时断时续,可以根据现网环境,执行arp speed-limit source-ip ip-address maximum maximum合理调整指定IP地址用户的ARP报文的限速值。调整限速值会影响CPU占用率,建议联系技术支持人员进行处理。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.2.12 hwARPMissSIPSpeedLimitALarm

告警解释

SECE/4/ARPMISS_SIP_SPEEDLIMIT_ALARM: OID [oid] The arp-miss packet speed with source ip [OCTET] exceed the speed-limit value configed [INTEGER].

具有特定源IP的ARP Miss消息速率超过配置的告警阈值时,会发出告警。

4

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.2.12 Warning equipmentAlarm(5)

告警参数

参数名称 参数含义
oid 该告警所对应的MIB节点的OID号。
OCTET 报文源IP。
INTEGER 配置的告警阈值。

对系统的影响

如果产生了该告警,说明用户流量超过了配置的阈值,超过阈值的部分流量被设备丢弃,用户业务可能会时断时续。

可能原因

如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。当具有特定源IP的ARP Miss消息速率超过配置的告警阈值时,设备会产生告警。

处理步骤

  1. 执行命令reset cpu-defend statistics,清除上送CPU的ARP Miss消息统计计数。
  2. 等待一段时间(1分钟)后,执行命令display cpu-defend statistics all,查看这段时间内上送CPU的ARP Miss报文数量。查看丢弃的报文数量是否较大:

    • 如果是,根据告警信息的IP地址,找到相应的攻击者,检查是否中毒。

      • 如果是,建议杀毒,也可以配置黑名单或黑洞MAC对其报文进行丢弃处理。

      • 如果不是,请执行步骤3。

    • 如果不是,检查网络安全后,可以根据情况去屏蔽告警。

      • 执行命令arp-miss speed-limit source-ip [ ip-address ] maximum 0,配置不根据源IP地址进行ARP Miss消息限速。

        • 不指定ip-address参数时,所有源IP地址都不进行ARP Miss消息限速。如果某源IP地址产生大量的ARP Miss消息,可能会导致设备CPU占用率过高。
        • 指定ip-address参数时,不根据该源IP地址进行ARP Miss消息限速,如果该源IP地址产生大量的ARP Miss消息,可能会导致设备CPU占用率过高。
      • 执行命令info-center source SECE channel 4 log state off,配置不发送SECE告警信息。

  3. 执行命令display arp anti-attack configuration arpmiss-speed-limit,查看ARP Miss源抑制配置信息。
  4. 执行命令arp-miss speed-limit source-ip [ ip-address ] maximum maximum,根据现网修改ARP Miss消息限速的限速值。
  5. 如果告警还是频繁产生,请收集告警信息并联系技术支持人员。

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.2.13 hwArpIfRateLimitBlockALarm

告警解释

SECE/4/ARP_RATELIMIT_BLOCK_ALARM: OID [oid] All arp packets will be blocked on interface [OCTET], block time [INTEGER] seconds.

配置ARP报文的速率抑制功能后,ARP报文超过了限速值。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.2.13 Warning securityServiceOrMechanismViolation(10)

告警参数

参数名称 参数含义
[oid] 该告警所对应的MIB节点的OID号。
OCTET 接口名称。
INTEGER ARP报文阻断时间。

对系统的影响

端口上所有的ARP报文都被丢弃。

可能原因

端口收到的ARP报文超过了限速值。

处理步骤

  • 如果用户业务不受影响,无需处理。
  • 如果用户业务时断时续,可以根据现网环境,在接口视图下执行arp anti-attack rate-limit packet packet-number合理调整ARP报文的限速值。调整限速值可能会影响CPU占用率,建议联系技术支持人员进行处理。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.2.15 hwArpSourceMacSpeedLimitAlarm

告警解释

SECE/4/ARP_SMAC_SPEEDLIMIT_ALARM: OID [oid] The arp packet speed with source mac [OCTET] exceed the speed-limit value configed [INTEGER].

具有特定源MAC的ARP报文速率超过了配置的告警阈值时,会发出告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.2.15 Warning QoS Alarm(2)

告警参数

参数名称 参数含义

oid

该告警所对应的MIB节点的OID号。

OCTET

报文源MAC

INTEGER

配置的告警阈值

对系统的影响

如果产生了该告警,说明用户流量超过了配置的阈值,超过阈值的部分流量被设备丢弃。如果是正常业务,该源MAC地址的正常业务可能会时断时续;如果是ARP攻击报文,限速会保证设备的带宽不被ARP攻击报文大量占用。

可能原因

  • 原因一:用户设置特定源MAC的ARP报文速率的告警阈值过小。
  • 原因二:特定源MAC地址的用户发送了ARP攻击报文。

处理步骤

  1. 原因一:用户设置特定源MAC的ARP报文速率的告警阈值过小

    执行arp speed-limit source-mac [ mac-address ] maximum maximum命令调整特定源MAC的ARP报文速率的告警阈值。

  2. 原因二:特定源MAC地址的用户发送了ARP攻击报文

    根据MAC地址查找攻击源并进行处理。

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.3.1 hwIPSGDropALarm

告警解释

SECE/4/IPSG_DROP_ALARM: OID [oid] The packet number dropped by IPSG reaches [INTEGER1], exceed the alarm threshold [INTEGER2], interface [OCTET].

被IPSG丢弃的报文数超过告警阈值时,会发出告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.3.1 Warning equipmentAlarm(5)

告警参数

参数名称 参数含义
oid 该告警所对应的MIB节点的OID号。
INTEGER1 丢弃的报文计数。
INTEGER2 配置的告警阈值。
OCTET 报文源接口、对应的VLAN信息、源MAC地址和源IP地址。

对系统的影响

如果产生了该告警,设备可能受到攻击者攻击,如果攻击流量过大,致使设备处理繁忙,可能导致合法用户业务中断。

可能原因

被IPSG丢弃的报文超过了告警阈值。该阈值通过命令ip source check user-bind alarm threshold配置,缺省情况,该阈值为100个报文。

处理步骤

  1. 根据告警信息中的Interface信息找到发生攻击的接口。
  2. 查看该接口下的用户接入情况,是否有不在dhcp snooping绑定表范围内的用户接入。
  3. 如果有新用户加入,请先配置dhcp snooping相关命令生成绑定表。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.4.1 hwIcmpGlobalDropALarm

告警解释

SECE/4/ICMP_GLOBAL_SPEEDLIMIT_ALARM: OID [oid]. Global icmp packet speed exceed the speed-limit value configed [INTEGER].

整机ICMP报文速率超过告警阈值时,会发出告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.4.1 Warning equipmentAlarm(5)

告警参数

参数名称 参数含义
oid 该告警所对应的MIB节点的OID号。
INTEGER 配置的告警阈值。

对系统的影响

如果产生了该告警,说明用户流量超过了配置的阈值,超过阈值的部分流量被设备丢弃,用户业务可能会时断时续。

可能原因

整机ICMP报文速率超过告警阈值。

处理步骤

  • 如果用户业务不受影响,无需处理。
  • 如果用户业务时断时续,可以根据现网环境,在系统视图下执行icmp rate-limit total threshold threshold-value合理调整全局的ICMP报文限速阈值。调大限速阈值可能会影响CPU占用率,建议联系技术支持人员进行处理。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.4.2 hwICMPIfDropALarm

告警解释

SECE/4/ICMP_IF_SPEEDLIMIT_ALARM: OID [oid] Interface icmp packet speed exceed the speed-limit value configed [INTEGER], Interface [OCTET].

接口ICMP报文速率超过告警阈值时,会发出告警。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.4.2 Warning equipmentAlarm(5)

告警参数

参数名称 参数含义
oid 该告警所对应的MIB节点的OID号。
INTEGER1 配置的告警阈值。
Interface 报文源接口。

对系统的影响

如果产生了该告警,说明用户流量超过了配置的阈值,超过阈值的部分流量被设备丢弃,用户业务可能会时断时续。

可能原因

接口ICMP报文速率超过告警阈值。

处理步骤

  • 如果用户业务不受影响,无需处理。
  • 如果用户业务时断时续,可以根据现网环境,在系统视图下执行icmp rate-limit interface interface-type interface-number [ to interface-number ] threshold threshold-value合理调整接口的ICMP报文限速值。调大限速值可能会影响CPU占用率,建议联系技术支持人员进行处理。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.7.1 hwCpcarDropPacketAlarm

告警解释

SECE/4/DEFEND_CPCAR_DROP_PACKET: OID [oid] Rate of packets to CPU exceeded the CPCAR limit in slot [OCTET]. (Protocol=[OCTET], CIR/CBS=[INTEGER]/[INTEGER], ExceededPacketCount=[OCTET])

协议报文上送CPU的速率超过相应的CPCAR值,出现丢包。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.7.1 Warning qualityOfServiceAlarm(3)

告警参数

参数名称 参数含义
[oid] 该告警所对应的MIB节点的OID号。
slot [OCTET] 槽位号。
Protocol =[OCTET] 协议类型。
CIR/CBS=[INTEGER]/[INTEGER] 承诺信息速率/承诺突发尺寸。
ExceededPacketCount=[OCTET] 超出部分的丢包计数。

对系统的影响

协议报文丢包,可能导致相关协议中断。

可能原因

协议报文上送CPU的速率超过相应的CPCAR值,出现丢包。

处理步骤

  1. 执行命令car packet-type packet-type cir cir-value [ cbs cbs-value ],将相应协议报文的CPCAR值调大。查看告警是否恢复。
    • Y=>3
    • N=>2

    调整CPCAR不当将会影响网络业务,如果需要调整CPCAR,建议联系技术支持人员处理。

  2. 请收集告警信息、日志信息和配置信息,并联系技术支持人员处理。
  3. 结束。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.165.2.2.9.1 hwStrackPortAtk

告警解释

SECE/4/STRACKPORT: OID [oid] An port attack occurred. (Interface=[OCTET], Protocol=[OCTET])

端口防攻击启动。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.165.2.2.9.1 Warning securityServiceOrMechanismViolation(10)

告警参数

参数名称 参数含义
OID 该告警所对应的MIB节点的OID号。
Interface 攻击源端口。
Protocol 攻击报文的协议类型。

对系统的影响

业务性能可能下降,同时CPU可能升高。

可能原因

设备检测到端口存在某种协议报文的攻击后,启动端口防攻击。

处理步骤

  1. 排查设备受到的攻击是否是真实的攻击。
  2. 如果是真实攻击,请排除攻击源;如果不是,请重新配置端口防攻击功能,确保协议报文能够正常上送CPU处理。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.32.4.1.14.1 hwXQoSStormControlTrap

告警解释

SECE/4/TRAP:STORMCONTROL: OID [oid],StormControlAlarm. (IfIndex=[INTEGER], BroadcastMinRate=[INTEGER], BroadcastMaxRate=[INTEGER], MulticastMinRate=[INTEGER], MulticastMaxRate=[INTEGER], Action=[INTEGER], Interval=[INTEGER], Status=[INTEGER], UnicastMinRate=[INTEGER], UnicastMaxRate=[INTEGER], BroadcastMode=[INTEGER], MulticastMode=[INTEGER], UnicastMode=[INTEGER])

端口状态机发生变化。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.32.4.1.14.1 Warning securityServiceOrMechanismViolation(10)

告警参数

参数名称 参数含义
OID 该告警所对应的MIB节点的OID号。
IfIndex 风暴控制告警(端口索引)。
BroadcastMinRate 广播报文低水位线。
BroadcastMaxRate 广播报文高水位线。
MulticastMinRate 组播报文低水位线。
MulticastMaxRate 组播报文高水位线。
Action 风暴控制惩罚动作。
Interval 风暴控制惩罚时间间隔。
Status 端口状态。包括:
  • block:当速率大于MaxRate且风暴控制动作为阻塞报文时,状态为阻塞报文。
  • normal:正常转发。
  • error-down:当速率大于MaxRate且风暴控制动作为关闭接口时,状态为关闭接口。
UnicastMinRate 未知单播报文低水位线。
UnicastMaxRate 未知单播报文高水位线。
BroascastMode 广播报文风暴控制模式。
MulticastMode 组播报文风暴控制模式。
UnicastMode 未知单播报文风暴控制模式。

对系统的影响

超出极限值,可能引起风暴,对系统业务会产生影响。

可能原因

端口流量(pps)超过风暴控制的上限阈值或低于风暴控制的下限阈值。

处理步骤

  1. 请执行命令display storm-control interface查看端口风暴控制配置端口状态。
  2. 若端口状态为“error-down”,可根据应用场景需要,确定是否可以进行打开端口的操作。

    • 如果是,手动执行shutdownundo shutdown操作=>4。

    • 如果否=>3。

  3. 请收集该设备的配置信息、告警信息和日志信息,并联系技术支持人员。
  4. 结束。

参考信息

SECE_1.3.6.1.4.1.2011.5.25.32.4.1.14.2 hwXQoSStormControlTrapExt

告警解释

SECE/4/TRAP:STORMCONTROL: OID [oid] StormControlAlarm. (IfIndex=[INTEGER], IfName=[OCTET], BroadcastMinRate=[INTEGER], BroadcastMaxRate=[INTEGER], MulticastMinRate=[INTEGER], MulticastMaxRate=[INTEGER], Action=[INTEGER], Interval=[INTEGER], Status=[INTEGER], UnicastMinRate=[INTEGER], UnicastMaxRate=[INTEGER], BroadcastMode=[INTEGER], MulticastMode=[INTEGER], UnicastMode=[INTEGER], BroadcastRate=[INTEGER], MulticastRate=[INTEGER], UnicastRate=[INTEGER])

接口状态机发生变化。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.5.25.32.4.1.14.2 Warning securityServiceOrMechanismViolation(10)

告警参数

参数名称 参数含义
OID 该告警所对应的MIB节点的OID号。
IfIndex 接口索引。
IfName 接口名称。
BroadcastMinRate 广播报文速率的低阈值。
BroadcastMaxRate 广播报文速率的高阈值。
MulticastMinRate 组播报文速率的低阈值。
MulticastMaxRate 组播报文速率的高阈值。
Action 风暴控制惩罚动作。
Interval 风暴控制惩罚时间间隔。
Status 接口状态,包括:
  • block:当速率大于MaxRate且风暴控制动作为阻塞报文时,状态为阻塞报文。
  • normal:正常转发。
  • shutdown:当速率大于MaxRate且风暴控制动作为关闭接口时,状态为关闭接口。
UnicastMinRate 未知单播报文速率的低阈值。
UnicastMaxRate 未知单播报文速率的高阈值。
BroadcastMode 广播报文风暴控制模式。
MulticastMode 组播报文风暴控制模式。
UnicastMode 未知单播报文风暴控制模式。
BroadcastRate 在风暴控制检测时间间隔内,当前接口广播报文的平均速率。
MulticastRate 在风暴控制检测时间间隔内,当前接口组播报文的平均速率。
UnicastRate 在风暴控制检测时间间隔内,当前接口未知单播报文的平均速率。

对系统的影响

超出高阈值或者低阈值,可能引起风暴,对系统业务会产生影响。

可能原因

报文速率(pps)超过风暴控制的高阈值或低于风暴控制的低阈值。

处理步骤

  1. 请执行命令display storm-control [ interface interface-type interface-number ],查看接口的风暴控制信息。
  2. 若接口状态为“shutdown”,可根据应用场景需要,确定是否可以进行打开接口的操作。

    1)如果是,手动执行undo shutdown操作=>4。

    2)如果否=>3。

  3. 请收集该设备的配置信息、告警信息和日志信息,并联系技术支持人员。
  4. 结束。
翻译
下载文档
更新时间:2019-04-09

文档编号:EDOC1100065982

浏览量:1157

下载量:47

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页