二层交换机查看日志都是这条信息
- 0关注
- 0收藏,169浏览
问题描述:
DRVPLAT/4/SOFTCAR DROP: PktType=ARP, SrcMAC=18c0-092a-458c, Dropped from interface=Ten-GigabitEthernet1/0/28 at Stage=63, StageCnt=365875, TotalCnt=3913285901, MaxRateInterface=Ten-GigabitEthernet1/0/28.
进入probe看了板卡情况如图以下,麻烦有懂得大佬分析分析
- 2024-10-23提问
- 举报
-
(0)
最佳答案
arp超限。看下业务有没有问题,追一下源mac
检查arp攻击报文的特征。通过debug arp packet all或者抓包确认攻击源特征,如果是SIP/SMAC固定的arp攻击,根据SIP/SMAC确认攻击源进行排查;如果攻击源的SIP/SMAC不固定,需要根据报文入端口信息确定攻击源所在端口,沿着攻击源所在端口逐级排查。若客户排查攻击源有困难,想在交换机上进行规避,进入步骤5进行排查;
命令;配置镜像抓包或者使用下述命令:debug arp packet all
例如:通过上述命令查看,可以确认arp攻击报文的特征。
- 2024-10-23回答
- 评论(3)
- 举报
-
(0)
您好,针对arp超限速的问题,我们可以通过抓包或者debug arp packet interface +对应的端口(能不能加端口跟设备型号有关) 来找到大量arp报文的来源:
如果arp杂乱无序,那多半确实是大量arp上来了,可以看看是不是业务高峰期、或者下游TC抖动引起arp刷新等等,如果是正常上送突发太多,可以考虑优化交换机的arp限速值,或者分散业务部署,或者网关下沉;
如果arp源ip固定、或者源mac固定,那攻击的可能性就比较大,需要找到攻击源 。
- 2024-10-23回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
参考下这个