所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

FAQ:CE12800作网关时下挂终端学习不到网关ARP的可能原因

发布时间:  2019-07-12  |   浏览次数:  242  |   下载次数:  0  |   作者:  cWX466471  |   文档编号: EKB1100010234

目录

问题描述

CE12800作网关时下挂终端学习不到网关ARP的可能原因

解决方案

可能的情况有:网络中存在ARP攻击,或者网关仿冒攻击。或者二层环路导致ARP广播风暴。

网络中ARP数量多,超过TOR交换机全局软件CAR限制;或者网络中存在ARP攻击

该场景中,通过命令可以查看到问题发生时,设备有大量的攻击ARP报文和ARP-Miss报文上送(部分IP触发的),影响到了正常的ARP请求报文处理,所以 终端会出现学习不到网关ARP的情况。(网关12800的ARP老化

时间为20分钟,本地PC终端的ARP老化时间可能较短)

【排查命令】看drop计数是否增加:

display cpu-defend statistics all

display arp anti-attack record 

display arp miss anti-attack record 

【优化方案】:

(1)排查攻击源,找到发送大量ARP报文的终端,隔离处理

(2)在网关设备上进行ARP和ARP-Miss报文做软件限速处理:

arp anti-attack rate-limit source-ip maximum 50 

arp miss anti-attack rate-limit source-ip maximum 50


2. 网关仿冒攻击

如果有设备借用了网关的IP,那么网关下挂的终端可能学习ARP的MAC地址学习错误,这样就会导致终端与外部互访出现异常。