XX园区办公网络网速慢、访问网页故障处理
问题描述
告警信息
处理过程
1.将相应办公终端隔离杀毒,从源头上根除,清除终端上的局域网共享软件,比如XX,XX等,在接入交换机上封杀445,2425等端口。
2.为避免类似问题再次出现建议在接入交换机连接办公终端的接口上增加相应的arp保护机制。
[Huawei]arp anti-attack rate-limit enable
[Huawei]arp anti-attack rate-limit 80 1
[Huawei]display arp anti-attack configuration arp-rate-limit
ARP rate-limit configuration:
-------------------------------------------------------------------------------
Global configuration:
arp anti-attack rate-limit enable
arp anti-attack rate-limit 80 1
根因
当客户反馈计算机网速较慢或网页卡住时段,登陆交换机查看状态、分析ping包:
a)、 客户终端Ping网关 x.x.160.98,ping包4033个,丢包39个。
b)、 客户终端PingOA服务器 x.x.160.16,ping包4025个,丢包28个。
c)、在办公终端 ping 网关或者服务器出现丢包的瞬间,发现S3700交换机的CPU 利用率非常高;进一步查看,发现是ARP报文的处理进程耗费CPU资源急剧上升。如下:
[Huawei]display cpu-usage
CPU Usage Stat. Cycle: 60 (Second)
CPU Usage : 85% Max: 100%
CPU Usage Stat. Time : 2014-03-12 14:32:15
CPU utilization for five seconds: 90%: one minute: 80%: five minutes: 70%.
查看S3700设备信息,发现存在arp攻击告警。针对告警出现的多个mac地址,分析报文,获取报文10分钟,发现这些个办公终端在100ms之内,每个终端都发出了200个以上的arp请求报文。
2.经过查询,园区办公网的杀毒软件自动更新时间全部都是16点至17点之间。大量的客户端同时更新病毒库,可能会有部分客户端在下班前升级不成功,当未成功升级天数超出策略限制阈值时,客户会收到不满足安全策略的告警信息。在策略未满足的前提下,访问是受限的。这也是导致客户园区网部分终端无法访问某些网页的原因。
3. 客户部分终端主机硬件配置陈旧;开启多任务时,物理内存几乎耗尽,虚拟内存使用近一半,CPU利用率达到60%以上,存在性能瓶颈,因此会出现访问网络资源慢的问题。
综合以上分析,向客户解释如下:园区网部分办公终端中病毒(告知客户这些终端的IP地址和MAC地址),导致这些办公终端或是下一级的HUB,不定时的,在短的时间内(100ms内)发出数百个arp报文,导致接入交换机或核心交换机的CPU利用率瞬时升高,当CPU处理速度跟不上时,园区网的部分办公终端出现网络数据丢包现象,在用户流量大,上传下载频繁的时间段尤其突出。
另分析,除了病毒造成的ARP攻击之外,某些通信软件也是元凶;比如XX、XX等局域网共享软件,某些专用的网络测试软件也能造成ARP泛洪。
