关于TC报文攻击引起单播报文在vlan内广播的问题
问题描述:
如上图,PC-B上能够抓到大量的外网和PC-A的单播通信报文。
处理过程:
该问题是比较典型的单播报文在vlan内广播问题。导致该问题的唯一原因就是在转发报文的时候没有找到相应的mac表项。
查看S6503的MAC表项统计:
[S6503-testdiag]dis mac c
107 mac address(es) found
[S6503-testdiag]dis mac c
21 mac address(es) found
[S6503-testdiag]dis mac c
66 mac address(es) found
[S6503-testdiag]dis mac c
102 mac address(es) found
[S6503-testdiag]dis mac c
75 mac address(es) found
[S6503-testdiag]dis mac c
100 mac address(es) found
可以看出:交换机在不断的刷新mac地址表。而只有在收到STP TC报文的时候,交换机才会不断的刷新MAC地址表。
查看交换机配置,交换机启用了STP。剩下来的就只需要找到是谁发TC报文给该交换机就可以解决问题了。
使用display stp命令查看:
----[Port1(GigabitEthernet0/1/1)][FORWARDING]----
Port Protocol :enabled
Port Role :CIST Root Port
Port Priority :128
Port Cost(Legacy) :COnfig=auto / Active=20
Desg. Bridge/Port :32768.000f-e215-b758 / 128.49
Port Edged :COnfig=disabled / Active=disabled
Point-to-point :COnfig=auto / Active=true
Transit Limit :3 packets/hello-time
Protection Type :None
Receive/Send
MSTP BPDU format :legacy
Port Config
Digest Snooping :disabled
Num of Vlans Mapped :2
PortTimes :Hello 2s MaxAge 20s FwDly 15s RemHop 0
BPDU Sent :80036
TCN: 79984, Config: 44, RST: 0, MST: 8
BPDU Received :394972
TCN: 79895, Config: 315014, RST: 0, MST: 63 ------收到了大量的TCN报文
在GigabitEthernet0/1/1收到了大量的TCN报文,找到和GigabitEthernet0/1/1相连的交换机。使用display stp 命令查看,那么就可以逐步找到发送TC报文的“罪魁祸首”了。
找到发送TC报文的交换机,弄清楚为什么会不断的发送TC报文,那么该问题就比较好解决了。
注:如果6500系列的交换机是2000版本以上的话,还可以在隐藏视图下,使用_display stp tc 可以直接查看到交换机从哪个端口收到了TC报文。但是如果该交换机是运行在stp 模式的话,这个命令有的时候却查看不出。所以,碰到实际问题的时候,还需要分别对待。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作