现网S12500设备1框4号槽位单板下有很多用户反馈不能正常PING通网关,也不能通过三层访问其他网络业务。诊断日志中有如下的打印:
%@1493461564 Jun 18 10:26:25:508 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b2e, P2:ffffffff, P3:11.
%@1493461565 Jun 18 10:26:25:508 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b2f, P2:ffffffff, P3:11.
%@1493461564 Jun 18 10:26:25:508 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b2e, P2:ffffffff, P3:11.
%@1493461565 Jun 18 10:26:25:508 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b2f, P2:ffffffff, P3:11.
通过进一步查看诊断日志,发现在出现问题开始4号槽位单板打印类似如下信息, P1后面对应的是需要访问的IP地址(十六进制表示,如a8b1b3b转换成十进制为10.139.27.59)。从信息中,也可以看到这些访问的地址是递增的。当网络中存在连续的IP扫描或ARP攻击时才会出现地址递增的可能。
%@1493461564 Jun 18 10:26:25:508 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b2e, P2:ffffffff, P3:11.
%@1493461565 Jun 18 10:26:25:508 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b2f, P2:ffffffff, P3:11.
%@1493461566 Jun 18 10:26:25:508 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b30, P2:ffffffff, P3:11.
%@1493461567 Jun 18 10:26:25:508 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b31, P2:ffffffff, P3:11.
%@1493461568 Jun 18 10:26:25:509 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b32, P2:ffffffff, P3:11.
%@1493461569 Jun 18 10:26:25:509 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b33, P2:ffffffff, P3:11.
%@1493461570 Jun 18 10:26:25:509 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b34, P2:ffffffff, P3:11.
%@1493461571 Jun 18 10:26:25:509 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b35, P2:ffffffff, P3:11.
%@1493461572 Jun 18 10:26:25:509 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b36, P2:ffffffff, P3:11.
%@1493461573 Jun 18 10:26:25:509 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b37, P2:ffffffff, P3:11.
%@1493461574 Jun 18 10:26:25:509 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b38, P2:ffffffff, P3:11.
%@1493461575 Jun 18 10:26:25:509 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b39, P2:ffffffff, P3:11.
%@1493461576 Jun 18 10:26:25:509 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b3a, P2:ffffffff, P3:11.
%@1493461577 Jun 18 10:26:25:509 2012 ZJ-DS-S9512E Chassis=1-Slot=4; DRVL3/3/GET_PARA_INVALID:Get para invalid: 0xcc440000 [594]: P1:a8b1b3b, P2:ffffffff, P3:11.
2.软件实现上,当收到IP扫描或ARP攻击时,为了实现防攻击功能,会申请一个下一跳资源,如果此时IP扫描过多会导致下一跳资源占用过多,甚至出现资源不足的情况,影响正常用户的上网。
3.从目前的正常情况下,下一跳资源占用也是在一个比较高的数量上,而其中大部分为ARP占用的:
Ipv4 route prefix : 27332
Ipv6 route prefix : 15
Allocated route entry : 9195
Ipv4Uc allocated nexthop: 9055 18 0 1 0 0 0 0 0 0 0
Ipv6Uc allocated nexthop: 0 14 0 0 0 1 0 0 0 0 0
Ipv4Mc allocated nexthop: 3
Ipv6Mc allocated nexthop: 0
Tunnel allocated nexthop: 0
Ipv4Vn allocated nexthop: 25 0 0 0 0 0 0 0 0 0 0
Max support vrf : 1024
Max support ipv4 prefix : 262144
Max support ipv6 prefix : 65536
Max support nexthop : 13312
即此时已经占用9195个下一跳,而此单板只支持13312个下一跳资源。
纵上所述,此问题是由于当时网络中存在IP扫描和ARP攻击导致下一跳资源被异常占用,引发正常用户无法访问网络的情况。
1.可以在网络中部署ARP主动确认功能,以及关闭ARP黑洞路由功能,命令如下:
undo arp resolving-route enable
关闭ARP黑洞路由后当收到IP扫描的报文时不再下发黑洞路由,减少下一跳资源占用,这可能会导致CPU比正常情况下高的情况,但硬件中可以通过CPU-CODE机制限速这类上送CPU的报文。
arp anti-attack active-ack enable
启用ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项,异常占用下一跳资源。
2.可以在网络中部署源MAC地址固定的ARP攻击检测功能,命令入下:
arp anti-attack source-mac filter
在5秒内,如果收到同一源MAC地址的ARP报文超过一定的阈值(默认为150),则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。
一些重要的设备,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该MAC地址存在攻击也不会被检测、过滤。 命令如下:
arp anti-attack source-mac exclude-mac mac-address &<1-n>
3.把部分设备的网关下移,把网关分散到不同网络设备上。
如果网络中存在IP扫描和ARP攻击会导致下一跳资源被异常占用,引发正常用户无法访问网络的情况。这个时候要根据日志信息,诊断信息,诊断文件以及现网情况共同分析。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作