组网如下,现网出现拓扑变更会导致核心下联设备出现管理网段不通的情况,三分钟后自动恢复。
现场在11:10:34秒的时候触发了一次拓扑变更,在11:12:19秒的时候开始出现ping不通的情况,直至11:15:50恢复。这期间通过流量统计发现核心交换机上连接网管主机的接口G1/3/0/35在收到报文后没有转发出去,同时核心交换机有网管主机的ARP和MAC地址表项,但是没有被纳管交换机的arp和MAC地址表项(对应接口为聚合3口)。
分析现场故障时候没有arp,并且每次复现的时候都是一样的情况,组网拓扑变更导致arp学习不到,查看配置核心开启了ARP源地址抑制
arp source-mac filter
arp source-suppression enable
arp rate-limit log enable
之后和现场测试确认现场测试关闭arp防攻击后问题就消失了
arp source-mac filter
这个命令默认是5秒内收到30个以上源mac相同的arp报文就会把该arp过滤掉,5分钟后恢复
现场的部分业务在组网变更期间受到影响,是有大量arp报文,触发了防攻击命令
建议现场打开debugging开关看下具体是哪个mac发送的arp,然后具体排查下
<gateway>debugging arp source-mac
<gateway>debugging arp packet
<gateway> t m
<gateway>t d
另外arp防攻击建议这样配置
[gateway]arp source-mac monitor
[gateway]arp check log enable
关闭arp source-mac filter,或者arp防攻击建议这样配置
[gateway]arp source-mac monitor
[gateway]arp check log enable
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作