知

SR66SR66-X系列路由器ARP异常导致直连不通问题经验案例

其他

2014-11-07 发表

0关注
0收藏 1487浏览

何理

何理四段

粉丝：7人关注：2人

SR66SR66-X系列路由器ARP异常导致直连不通

问题经验案例

一、   组网：

二、   问题描述：

客户网络中有两台SR6608路由器，下联交换机，某天客户发现，其中有一台SR6608设备间接性不能访问，SR6608-1与SR6608-2 OSPF邻居DOWN，两设备直连不通。设备CPU及内存利用率正常。

三、   过程分析：

故障发生后，收集了设备的诊断信息以及logfile文件，查看诊断信息发现SR6608-2路由器下连接口G3/1/0入方向有大量异常等广播报文：

GigabitEthernet3/1/0 current state: UP

Line protocol current state: UP

Description: AHYC-EX8208-2

The Maximum Transmit Unit is 1500

Internet protocol processing : disabled

IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e2de-b040

IPv6 Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e2de-b040

Media type is twisted pair, loopback not set, promiscuous mode not set

1000M, Full, link type is autonegotiation

Output flow-control is disabled, input flow-control is disabled

Output queue : (Urgent queuing : Size/Length/Discards) 0/100/0

Output queue : (Protocol queuing : Size/Length/Discards) 0/500/0

Output queue : (FIFO queuing : Size/Length/Discards) 0/1024/0

Last clearing of counters: Never

    Last 300 seconds input rate 79676680.00 bytes/sec, 637413440 bits/sec, 1171713.12 packets/sec

    Last 300 seconds output rate 45.33 bytes/sec, 360 bits/sec, 0.66 packets/sec

    Input: 9800983650 packets, 666468478676 bytes, 3293422820 no buffers

           9800868552 broadcasts, 115098 multicasts, 0 pauses

           0 errors, 0 runts, 0 giants

           0 crc, 0 align errors, 0 overruns

           0 dribbles, 0 drops

    Output:5644 packets, 383792 bytes

           5644 broadcasts, 0 multicasts, 0 pauses

           0 errors, 0 underruns, 0 collisions

           0 deferred, 0 lost carriers

查看设备Slot 3 VCPU信息，发现VCPU 20有大量的报文溢出：

=============================================================

===============display dfwd-queue slot 3===============

=============================================================

Distribute Flow VCPU information:

VCPU 1: Total Tokens = 2048     Used Tokens = 0

VCPU 2: Total Tokens = 2048     Used Tokens = 1023

Forwarding VCPU information:

VCPU 4: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 5: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 6: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 7: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 8: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 9: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 10: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 11: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 12: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 13: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 14: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 15: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 16: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 17: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 18: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 19: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 20: TotalPkts = 1022     Overflows(no buffers) = 3316792199

VCPU 21: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 22: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 23: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 24: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 25: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 26: TotalPkts = 0        Overflows(no buffers) = 0

VCPU 27: TotalPkts = 0        Overflows(no buffers) = 0

再通过logfile查看当天设备的异常信息，发现自凌晨三点左右，从G3/1/0接口收到大量的ARP异常报文，从而导致VCPU20利用率较高：

%@126133%Sep 14 03:27:29:092 2014 AH_SR66_02 DMON/7/MSG: -Slot=3; arp:warning(25893 pps)

%@126134%Sep 14 03:27:29:092 2014 AH_SR66_02 DMON/7/MSG: -Slot=3; arp:peak(25893 pps)

%@126135%Sep 14 03:28:29:089 2014 AH_SR66_02 DMON/7/MSG: -Slot=3; arp:recover(1 pps)

%@126136%Sep 14 03:29:29:087 2014 AH_SR66_02 DMON/7/MSG: -Slot=3; arp:warning(152689 pps)

%@126137%Sep 14 03:29:29:087 2014 AH_SR66_02 DMON/7/MSG: -Slot=3; arp:peak(152689 pps)

%@126138%Sep 14 03:29:29:087 2014 AH_SR66_02 DMON/7/MSG: -Slot=3; GigabitEthernet3/1/0 broadcast input rate warning : 346253 pps

%@126139%Sep 14 03:29:29:087 2014 AH_SR66_02 DMON/7/MSG: -Slot=3; GigabitEthernet3/1/0 broadcast input rate peak : 346253 pps

%@126140%Sep 14 03:29:33:893 2014 AH_SR66_02 DMON/7/MSG: -Slot=3; VCPU 20 Warning(66%)

%@126141%Sep 14 03:29:33:893 2014 AH_SR66_02 DMON/7/MSG: -Slot=3; VCPU 20 Peak(66%)

%@126142%Sep 14 03:29:59:085 2014 AH_SR66_02 DMON/7/MSG: -Slot=3; GigabitEthernet3/1/0 broadcast input rate peak : 901066 pps

%@126143%Sep 14 03:30:29:084 2014 AH_SR66_02 DMON/7/MSG: -Slot=3; arp:recover(0 pps)

%@126144%Sep 14 03:30:29:084 2014 AH_SR66_02 DMON/7/MSG: -Slot=3; GigabitEthernet3/1/0 broadcast input rate peak : 1345190 pps

综上所述，9月14日凌晨开始SR6608-2从G3/1/0接口收到大量的ARP广播报文，导致VCPU 20利用率较高，从而挤掉了正常的ARP报文，设备学习不到对端设备的MAC地址，导致转发不通。Shutdown G3/1/0接口后，通信恢复正常。

三、   解决方法：

建议排查G3/1/0接口下的ARP攻击报文源头，并配置ARP攻击防范。

该案例对您是否有帮助：

您的评价：1

若您有关于案例的建议，请反馈：

作者在2019-06-11对此案例进行了修订

0 个评论

该案例暂时没有网友评论

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 知了APP下载; 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

SR66SR66-X系列路由器ARP异常导致直连不通问题经验案例

编辑评论

提出建议