S5120-48P-EI+使用中出现大量arp超限log信息
- 0关注
- 0收藏,468浏览
问题描述:
%Feb 6 08:12:06:480 2024 DYJT-BQ-Access_KF.4.65 ARP/4/RATELIMIT: The ARP packet rate(192pps) exceeded the rate limit(50pps) on interface GigabitEthernet1/0/50 in the last 60 seconds.
%Feb 6 08:13:06:582 2024 DYJT-BQ-Access_KF.4.65 ARP/4/RATELIMIT: The ARP packet rate(254pps) exceeded the rate limit(50pps) on interface GigabitEthernet1/0/47 in the last 60 seconds.
%Feb 6 08:13:06:582 2024 DYJT-BQ-Access_KF.4.65 ARP/4/RATELIMIT: The ARP packet rate(162pps) exceeded the rate limit(50pps) on interface GigabitEthernet1/0/50 in the last 60 seconds.
%Feb 6 08:14:06:613 2024 DYJT-BQ-Access_KF.4.65 ARP/4/RATELIMIT: The ARP packet rate(118pps) exceeded the rate limit(50pps) on interface GigabitEthernet1/0/47 in the last 60 seconds.
%Feb 6 08:14:06:614 2024 DYJT-BQ-Access_KF.4.65 ARP/4/RATELIMIT: The ARP packet rate(179pps) exceeded the rate limit(50pps) on interface GigabitEthernet1/0/50 in the last 60 seconds.
%Feb 6 08:15:06:711 2024 DYJT-BQ-Access_KF.4.65 ARP/4/RATELIMIT: The ARP packet rate(112pps) exceeded the rate limit(50pps) on interface GigabitEthernet1/0/47 in the last 60 seconds.
%Feb 6 08:15:06:712 2024 DYJT-BQ-Access_KF.4.65 ARP/4/RATELIMIT: The ARP packet rate(177pps) exceeded the rate limit(50pps) on interface GigabitEthernet1/0/50 in the last 60 seconds.
%Feb 6 08:16:06:784 2024 DYJT-BQ-Access_KF.4.65 ARP/4/RATELIMIT: The ARP packet rate(127pps) exceeded the rate limit(50pps) on interface GigabitEthernet1/0/47 in the last 60 seconds.
%Feb 6 08:16:06:785 2024 DYJT-BQ-Access_KF.4.65 ARP/4/RATELIMIT: The ARP packet rate(153pps) exceeded the rate limit(50pps) on interface GigabitEthernet1/0/50 in the last 60 seconds.
%Feb 6 08:17:06:924 2024 DYJT-BQ-Access_KF.4.65 ARP/4/RATELIMIT: The ARP packet rate(148pps) exceeded the rate limit(50pps) on interface GigabitEthernet1/0/50 in the last 60 seconds.
%Feb 6 08:18:06:049 2024 DYJT-BQ-Access_KF.4.65 ARP/4/RATELIMIT: The ARP packet rate(150pps) exceeded the rate limit(50pps) on interface GigabitEthernet1/0/50 in the last 60 seconds.
%Feb 6 08:19:06:195 2024 DYJT-BQ-Access_KF.4.65 ARP/4/RATELIMIT: The ARP packet rate(155pps) exceeded the rate limit(50pps) on interface GigabitEthernet1/0/50 in the last 60 seconds.
%Feb 6 08:20:06:364 2024 DYJT-BQ-Access_KF.4.65 ARP/4/RATELIMIT: The ARP packet rate(145pps) exceeded the rate limit(50pps) on interface GigabitEthernet1/0/50 in the last 60 seconds.
%Feb 6 08:21:06:528 2024 DYJT-BQ-Access_KF.4.65 ARP/4/RATELIMIT: The ARP packet rate(160pps) exceeded the rate limit(50pps) on interface GigabitEthernet1/0/50 in the last 60 seconds.
组网及组网描述:
组网拓扑:
接入交换机通过G1/0/50连接汇聚设备,,通过G1/0/47连接下行接入交换机,display logbuffer 一直显示大量ARP/4/RATELIMIT ,如何排查网络中是否存在异常,比如如何排查出现环路,出现攻击的源在哪里?
- 2024-02-06提问
- 举报
-
(0)
最佳答案
通常情况下,这可能是由以下原因导致的:
网络拓扑问题:可能存在网络环路或数据包洪泛,导致大量的ARP请求发送到了接口GigabitEthernet1/0/50上。
异常行为:某些网络设备可能存在异常的ARP活动,例如频繁地发送ARP请求。
网络攻击:可能遭到了ARP洪泛攻击,攻击者故意发送大量的ARP请求以消耗目标设备的资源。
配置错误:可能存在配置错误,导致错误的ARP包发送或接收情况
要排查网络中的环路问题,你可以采取以下步骤:
物理检查:确保网络中的所有链路连接正确,没有错误连接或者额外的连接导致环路的出现。
查看交换机配置:检查交换机配置,尤其是STP(Spanning Tree Protocol)或RSTP(Rapid Spanning Tree Protocol)的配置情况,确认是否启用了环路保护机制。
端口分析:使用交换机的命令行界面或者Web界面,查看交换机端口的状态信息,确认是否存在端口之间的互连或者环路。
网络流量分析:使用网络流量分析工具,分析网络中的数据流量,寻找异常的数据包转发路径或者循环转发的现象。
网络拓扑图:绘制网络拓扑图,标记出网络中各设备之间的连接关系,有助于发现潜在的环路路径。
日志分析:检查交换机和路由器的日志信息,寻找关于环路的警告或者错误信息。
物理标记:在物理布线上标记线缆,以帮助识别和隔离特定的链路,避免造成环路。
- 通过display mac-address mac-move看下是否存在地址漂移
- 2024-02-06回答
- 评论(0)
- 举报
-
(0)
根据您的日志信息,您的 S5120-48P-EI+ 交换机在使用中出现了大量的 ARP 超限日志,这可能意味着您的网络中存在以下几种情况:
1. 网络中存在 ARP 攻击,导致交换机接收到大量的 ARP 请求或响应报文,超过了接口的限速阈值。
2. 网络中存在环路,导致 ARP 报文在网络中不断转发,造成 ARP 风暴,影响交换机的性能。
3. 网络中存在广播风暴,导致交换机接收到大量的广播报文,包括 ARP 报文,占用了交换机的资源。
为了排查网络中是否存在异常,您可以采取以下几种方法:
1. 使用 `display arp rate-limit` 命令查看接口的 ARP 限速配置,如果没有配置或者配置过低,可以适当增加接口的 ARP 限速阈值,以减少 ARP 超限日志的产生。
2. 使用 `display arp` 命令查看 ARP 表项,如果发现有大量的不合法或者不正常的 ARP 表项,可以使用 `arp filter` 命令或者 `arp sender-ip-range` 命令对 ARP 报文进行过滤,以防止 ARP 攻击或者 ARP 欺骗。
3. 使用 `display stp` 命令查看 STP 的运行状态,如果发现有端口的 STP 状态不正常,或者有大量的 TC 报文,可以使用 `stp loop-protection` 命令或者 `stp root-protection` 命令对端口进行环路保护,以防止环路的产生。
4. 使用 `display interface` 命令查看接口的流量统计,如果发现有端口的流量异常高,或者有大量的广播报文,可以使用 `broadcast-suppression` 命令或者 `storm-control` 命令对端口进行广播抑制,以防止广播风暴的发生。
- 2024-02-06回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论