交换机a(网关)分别连接接入交换机b,c,d
插拔a连接b网线,重新插上时,c ping d下连终端,或者ping网关有一分钟丢包。
a为根桥,设备stp快速收敛,不通时各设备表项没有异常,流统发现流量丢在了汇聚设备上,抓包查看封装报文也没有问题
进一步检查汇聚设备配置,发现如下配置:
arp ip-conflict log prompt
arp user-ip-conflict record enable
arp source-mac filter
arp source-mac aging-time 64
arp source-mac threshold 15
arp active-ack enable
arp source-suppression enable
arp source-suppression limit 32
现场配置了源MAC地址固定的ARP攻击检测功能,配置了filter模式。 而且门限配置成了15,即设备在5秒内收到同一个源mac发送的arp广播请求报文个数超过15个,就会认为是攻击,将这个mac下黑洞处理。
下黑洞后,根据配置的aging-time 64,黑洞表项64S后老化
拔出汇聚交换机下连一根光钎,网络无影响,插上后,会产生TC,并在整个二层网内透传TC报文。 下行接入设备收到TC后,会发起针对已经学习到的arp的广播探测报文(arp广播请求报文)
只要发起的arp广播请求报文超过15个,设备就会认为是arp攻击,针对接入设备的源mac下发黑洞,导致流量异常。
现场去掉arp source-mac filter配置后,测试流量正常
建议:
1)
2)
另外,现场没有arp攻击的情况存在,可建议不开启arp防攻击功能。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作