用户反馈每天都有一次断网,查看日志DRVPLAT/4/SOFTCAR DROP; PKTType = UKNOWN_SMAC,SrcMAC= xxxx-xxxx-xxxx(用户的mac),dropped from interface=G1/0/32(用户的接口) at Stage = 0,StageCnt = 1,TotalCnt = 1,MaxRateInterface = G1/0/32.
这个应该怎么解决呢
(0)
看到日志中的DRVPLAT/4/SOFTCAR DROP
信息,这通常表明网络设备(可能是交换机或路由器)正在丢弃某些数据包。在这个特定的情况下,数据包类型被标记为UKNOWN_SMAC
,意味着源MAC地址(SrcMAC
)可能被认为是未知的或不符合预期的行为模式。数据包是从接口G1/0/32
被丢弃的,且只发生了1次。
当设备检测到异常行为,如未知的源MAC地址,它可能会根据其安全策略丢弃这些数据包,以防止潜在的威胁,如ARP欺骗、MAC泛洪攻击或类似的网络层攻击。这种情况如果每天重复发生,可能意味着存在某种持续的或定时的问题。
以下是一些排查步骤:
检查MAC地址:
查看接口配置:
G1/0/32
的配置,确认没有限制MAC地址学习或设置了MAC地址过滤规则。(0)
说明这个源mac的设备给本设备发送了太多ARP请求,导致ARP超限速丢弃。
请确认:
1、口是否通过网络设备或者直连mac为xxxx的交换机,如果不是,怀疑有仿冒mac攻击;
2、如果是,建议去mac为xxxx 的交换机上查看是否有收到TC,如果有TC会刷新arp表项;
3、如果没有TC建议debug arp,看是不是这台设备在发arp,如果是请联系400,如果不是怀疑攻击。
参考这个案例
https://zhiliao.h3c.com/Theme/details/213879
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
这个交换机上有三个接口一样的配置,没有限速,没有限制mac学习,只有dot1x,但是有俩接口经常报这个错误