S7500交换机STP TC报文攻击引起单播报文广播问题的解决办法

S7500交换机STP TC报文攻击引起单播报文广播问题的解决办法

一、组网图

 

 

二、故障描述

如上图，PC-B上能够抓到大量的外网和PC-A的单播通信报文。

 

三：过程分析

该问题是比较典型的单播报文在vlan内广播问题。而导致该问题的最大唯一原因就是在转发报文的时候没有找到相应的mac表项。查看S7503的MAC表项统计：

[S7503-testdiag]dis mac c                                                        

 107 mac address(es) found                                                     

[S7503-testdiag]dis mac c                                                       

 21 mac address(es) found                                                       

[S7503-testdiag]dis mac c                                                       

 66 mac address(es) found                                                      

[S7503-testdiag]dis mac c                                                       

 102 mac address(es) found                                                     

[S7503-testdiag]dis mac c                                                       

 75 mac address(es) found                                                      

[S7503-testdiag]dis mac c                                                       

 100 mac address(es) found      

可以看出，交换机在不断的刷新mac地址表。一般情况下，交换机只有在收到STP TC报文的时候才会不断的刷新MAC地址表。   

                                            

 四、解决办法

查看交换机配置，所有交换机启用了STP。只要找到是谁发TC报文给该交换机就可以解决这个问题了。

使用display stp命令查看：

----[Port1(GigabitEthernet0/1/1)][FORWARDING]----                              

 Port Protocol       :enabled                                                   

 Port Role           :CIST Root Port                                           

 Port Priority       :128                                                      

 Port Cost(Legacy)   :COnfig=auto / Active=20                                   

 Desg. Bridge/Port   :32768.000f-e215-b758 / 128.49     

 Port Edged          :COnfig=disabled / Active=disabled                        

 Point-to-point      :COnfig=auto / Active=true                                

 Transit Limit       :3 packets/hello-time                                     

 Protection Type     :None                                                     

 Receive/Send                                                                  

 MSTP BPDU format    :legacy                                                   

 Port Config                                                                   

 Digest Snooping     :disabled                                                 

 Num of Vlans Mapped :2                                                         

 PortTimes           :Hello 2s MaxAge 20s FwDly 15s RemHop 0                   

 BPDU Sent           :80036                                                    

          TCN: 79984, Config: 44, RST: 0, MST: 8                                

 BPDU Received       :394972                                                   

          TCN: 79895, Config: 315014, RST: 0, MST: 63    ------收到了大量的TCN报文

根据信息显示，在GigabitEthernet0/1/1收到了大量的TCN报文。找到和GigabitEthernet0/1/1相连的交换机，使用display stp 命令查看，那么就可以逐步找到发送TC报文的“罪魁祸首”了。

找到发送TC报文的交换机，弄清楚为什么会不断的发送TC报文，那么该问题就可以解决了。

通常，只有在链路不稳定，造成启用了STP的端口频繁UP/DOWN的情况下，交换机才会不断的发送TC报文。另外，直连PC机的端口，如果没有配置成边缘端口(Edge-Port)，PC的开、关机也会造成交换机端口的UP/DOWN，这样交换机也会产生TC报文。这种情况下，可以把直连PC机的端口配置成边缘端口，或者在端口上把STP Disable就可解决问题。