Part1问题现象描述
如图1所示,Switch为网关,Switch_1经常脱管,且Switch_1下用户存在掉线、Ping网关存在时延、不通等现象,而Switch_2下联业务正常、Ping网关正常。
图1 故障组网图
Part2问题根因说明
Switch_1上存在源MAC固定的ARP攻击导致用户无法进行正常ARP交互。
Part3问题判断方法
在Switch_1上执行以下操作:
查看设备CPU占用率,判断CPU占用率较高。
<HUAWEI>displaycpu CPUutilizationstatisticsat2015-12-0411:04:40820ms SystemCPUUsingPercentage:82% CPUutilizationforfiveseconds:82%,oneminute:82%,fiveminutes:82%. MaxCPUUsage:87% MaxCPUUsageStat.Time:2015-11-2816:55:21599ms
发现CPU占用率达到82%。
查看存在临时ARP表项,初步判断设备的ARP表项学习存在问题。
<HUAWEI>displayarp ARPEntryTypes:D-Dynamic,S-Static,I-Interface,O-OpenFlow EXP:Expire-timeVLAN:VLANorBridgeDomain IPADDRESSMACADDRESSEXP(M)TYPE/VLANINTERFACEVPN-INSTANCE ------------------------------------------------------------------------------ 10.137.222.13900e0-fc01-4422I-MEth0/0/0 10.1.1.1200b-c739-130cIVlanif10 10.2.3.4200b-c739-1316IVlanif200 12.1.1.1200b-c739-1302I10GE4/0/8 12.1.1.2f84a-bff0-cac212D10GE4/0/8 50.1.1.2Incomplete1D10GE4/0/22 50.1.1.3Incomplete1D10GE4/0/22 ...... ------------------------------------------------------------------------------
发现有两条ARP表项的“MAC ADDRESS”字段为“Incomplete”即为临时表项,表示有ARP表项学习不到。
判断设备正遭受ARP攻击。由于有未学习到的ARP表项,查看上送CPU的ARP-Request报文统计信息。
<HUAWEI>displaycpu-defendstatisticspacket-typearpall Statistics(packets)onslot2: -------------------------------------------------------------------------------- PacketTypeTotalPassedTotalDroppedLastDroppingTime Last5MinPassedLast5MinDropped -------------------------------------------------------------------------------- arp00- 00 -------------------------------------------------------------------------------- Statistics(packets)onslot4: -------------------------------------------------------------------------------- PacketTypeTotalPassedTotalDroppedLastDroppingTime Last5MinPassedLast5MinDropped -------------------------------------------------------------------------------- arp10654944380928- 30 --------------------------------------------------------------------------------
发现交换机的4号单板上存在大量ARP报文丢包。
配置攻击溯源识别攻击源。
<HUAWEI>system-view [~HUAWEI]cpu-defendpolicypolicy1 [*HUAWEI-cpu-defend-policy-policy1]auto-defendenable [*HUAWEI-cpu-defend-policy-policy1]auto-defendattack-packetsample5//每5个报文抽样识别一次,抽样值过小会消耗过多CPU [*HUAWEI-cpu-defend-policy-policy1]auto-defendthreshold30//报文达30pps即被识别为攻击,若攻击源较多可调低该值 [*HUAWEI-cpu-defend-policy-policy1]auto-defendtrace-typesource-mac//基于源MAC进行攻击源识别 [*HUAWEI-cpu-defend-policy-policy1]auto-defendprotocolarp//针对ARP攻击进行识别 [*HUAWEI-cpu-defend-policy-policy1]quit [*HUAWEI]cpu-defend-policypolicy1 [*HUAWEI]commit
查看攻击源信息。
[~HUAWEI]displayauto-defendattack-source AttackSourceUserTableonSlot4: ------------------------------------------------------------------------- MACAddressInterfacePacketTypeVLAN:Outer/InnerTotal ------------------------------------------------------------------------- 0000-c102-010210GE4/0/22ARP1000/4832 -------------------------------------------------------------------------
发现攻击源的MAC地址为0000-c102-0102,位于10GE4/0/22端口。
Part4解决方案
配置黑名单。
# aclnumber4000 rule10permittypearpsource-mac0000-c102-0102 # cpu-defendpolicy1 blacklist1acl4000//针对来自特定用户恶意报文的攻击,设备通过ACL把符合特定特征的用户纳入到黑名单中,被纳入黑名单的用户所发的报文到达设备后均会被丢弃 # cpu-defend-policy1 #
配置攻击溯源的惩罚功能。
# cpu-defendpolicypolicy1 auto-defendenable auto-defend action deny //使能攻击溯源的惩罚功能,并指定惩罚措施。在默认惩罚时间300s内,将识别为攻击的报文全部丢弃 auto-defendalarmenable auto-defendthreshold30 auto-defendtrace-typesource-mac auto-defendprotocolarp # cpu-defend-policypolicy1 #
