问题描述
某客户网络采用S9700堆叠作为网络网关,部署STP协议,并作为根节点,网络接入部分包含多厂家的网络设备,部分厂家设备不支持STP协议,只在我司设备上开启了STP协议,客户反馈某时间部分业务网段中断过几分钟后业务恢复。
告警信息
SPECIFY_SIP_ATTACK
处理过程
1.查看问题时间段日志,发现有大量SPECIFY_SIP_ATTACK,
#Sep 12 2017 15:52:40 W-ZX-HX-00-S9706 %%01SECE/4/SPECIFY_SIP_ATTACK(l)[39]:The specified source IP address attack occurred.(Slot=MPU, SourceAttackIP=192.168.18.1, AttackProtocol=ARP, AttackPackets=32 packets per second)
#Sep 12 2017 15:52:40 W-ZX-HX-00-S9706 %%01SECE/4/SPECIFY_SIP_ATTACK(l)[41]:The specified source IP address attack occurred.(Slot=LPU16, SourceAttackIP=10.14.7.95, AttackProtocol=ARP, AttackPackets=32 packets per second)
因为此问题也是导致业务中断的一个原因,需要首先确认,在s97上配置arp攻击源查找,但攻击量太少,不足以造成网络业务中断,因此排除ARP攻击原因导致,攻击源查找配置参考如下:
[W-ZX-HX-00-S9706]dis auto-defend attack-source detail
Attack Source User Table (MPU):
----------------------------------------------------
MAC Address 0023-2443-3158
Interface XGigabitEthernet2/4/0/0
VLAN: Outer/Inner 2240
ARP: 60240
Total 60240
----------------------------------------------------
----------------------------------------------------
MAC Address 00b4-0027-3502
Interface XGigabitEthernet2/4/0/0
VLAN: Outer/Inner 1073
ARP: 5280
Total 5280
----------------------------------------------------
Total: 2
Attack Source IP Table (MPU):
----------------------------------------------------
IP address 10.14.7.95
ARP: 60304
Total 60304
----------------------------------------------------
----------------------------------------------------
IP address 192.168.1.1
ARP: 137170736
Total 137170736
----------------------------------------------------
Total: 2
配置参考:
cpu-defend policy test
auto-defend enable
auto-defend threshold 30
auto-defend trace-type source-mac source-ip
auto-defend protocol arp igmp
cpu-defend-policy test global
cpu-defend-policy test
2.查看问题时间段trap信息,发现部分接口的STP转发状态发生了变化,
#Sep 12 2017 15:52:40 W-ZX-HG-00-S7706 MSTP/4/PFWD:OID 1.3.6.1.4.1.2011.5.25.42.4.2.1 The port has been set to forwarding state. (InstanceID=0, PortInstanceID=0, PortID=89, IfIndex=88, PortName=GigabitEthernet4/0/34)
#Sep 12 2017 15:52:40 W-ZX-HG-00-S7706 MSTP/1/TOPOC:OID 1.3.6.1.2.1.17.0.2 Bridge topology change.
#Sep 12 2017 15:52:40 W-ZX-HG-00-S7706 MSTP/4/PDISC:OID 1.3.6.1.4.1.2011.5.25.42.4.2.2 The port has been set to discarding state. (InstanceID=0, PortInstanceID=0, PortID=89, IfIndex=88, PortName=GigabitEthernet4/0/34)
查看设备STP状态,发现某一端口变成了root,分析配置,S97已经被指定根桥,现在出现root角色明显是根桥被抢占,逐一查询生成树设备状态,发现某接入设备变成了根桥。
<W-ZX-HG-00-S7706>dis stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet3/0/0 DESI FORWARDING NONE
0 GigabitEthernet3/0/2 DESI FORWARDING NONE
0 GigabitEthernet3/0/3 DESI FORWARDING NONE
0 GigabitEthernet4/0/34 ROOT FORWARDING NONE
0 GigabitEthernet4/0/36 DESI FORWARDING NONE
根因
与客户确认问题发生时间段因某接入交换机故障做了硬件替换,硬件替换完成后,新设备抢占根桥,STP收敛导致部分业务网段转发中断。
解决方案
在与新替换设备上联设备接口上配置边缘端口,防止新加设备再次抢占根桥。
建议与总结
生成树协议的收敛会造成网络的中断,如果网络中包含多个业务网段,尽量部署成MSTP,一旦有问题发生,可尽量缩小影响范围。