办公网WX3520X+WA6638,本地转发,1+1备份场景。
本地转发,故障时刻终端ping网关延时高(1000+ms)和丢包。
1、首先设备上了云简,查看云简告警日志,ac侧有“广播组播占比高告警”,告警级别“致命”,且ap侧有“AP radio发送广播/组播报文数告警”,告警级别“严重”且ap测有线口接口错包持续增长。
2、在云简上观察到一个终端,在故障时刻,发送了3519519广播报文(云简统计间隔为5分钟,约10000+pps),
3、怀疑此次故障为异常流量冲击导致,需要把部分ap流量统计清零。配合交换机流量统计峰值时间记录观察。通过交换机侧接口统计,查看在故障时刻接口接收方向的报文统计2000+pps。
最终该问题定位为网络中异常终端发送大量广播流量导致,针对此问题我们后续可以通过以下配置进行优化:
1、配置终端arp扫描抑制功能:rrop ul-arp attack-suppression enable。(开启本功能后,在1秒内,当AP收到某一无线客户端的ARP请求/应答报文个数超过门限值时,则认为受到了该无线客户端的ARP报文攻击,AP会在配置的阻断时间间隔内丢弃该无线客户端的所有ARP请求/应答报文。当环境中无线客户端发送的ARP报文过多时,建议开启本功能。需要注意的是,本功能不限制无线客户端请求网关的ARP报文。)
2、配置AP有线口的广播流量控制在100pps以下,broadcast-suppression pps 100。(本命令设置的是接口允许通过的最大广播报文流量。当接口上的广播流量超过用户设置的值后,系统将丢弃超出广播流量限制的报文,从而使接口广播流量所占的比例控制在限定的范围内,以便保证业务的正常运行。 执行broadcast-suppression命令能开启端口的广播风暴抑制功能,broadcast-suppression通过芯片物理上对广播报文进行抑制,对设备性能影响较小。)
3、AP相连poe交换机配置接口广播抑制,broadcast-suppression pps 200
4、配置rrop arp ap-proxy-gateway(开启本功能后,AP会对收到的无线客户端发送给网关的ARP请求报文进行响应代答。为了避免代答期间,网关的MAC地址发生变化,当一个周期内AP代答报文个数超过配置的个数时,AP会转发一个ARP请求报文给网关,由网关直接处理:
· 若网关答复,则使用新的网关MAC地址,并且进入下一个响应代答周期。
· 若网关未答复,则继续使用上一个周期的网关MAC,并且进入下一个响应代答周期。
当网关任务繁重或者网络状况不佳时,建议开启本功能,从而降低网关业务压力。)
你好,请教一下在云简上观察到一个终端,在故障时刻,发送了3519519广播报文,是在哪里看的呢,急
(0)
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
云简上的智能运维功能下,点击查看单个终端的流量详情,智能运维—终端—无线终端—终端连接详情