问题描述
某客户网络两台S97堆叠作为内网的网关,因网络承载单位多而杂经常出现环路及网络攻击等问题,造成网络不可用。
告警信息
处理过程
根因
1.各种原因造成的环路。
2.用户部分设备携带病毒对网络造成的攻击。
解决方案
为解决以上问题,提出以下几种方案,可同时部署,也可按照实际情况部署。
1、根据网络用户数量、业务量,arp表项,适当调整接口板arp报文cpcar值,参考命令如下:
cpu-defend policy xxx
car packet-type arp-reply cir 96
car packet-type arp-request cir 96
cpu-defend-policy xxx global
2、对于arp-miss报文丢包,建议配置arp-miss消息限速,基于全局部署,参考命令如下:
arp-miss anti-attack rate-limit enable (默认1s内最多处理100个arp miss消息)
3、针对未知的IP攻击溯源,针对具体IP地址配置黑名单过滤,参考命令如下:
acl 3000
Rule permit ip source x.x.x.x .x.x.x.x
cpu-defend policy xxx
blacklist 1 acl 3000
cpu-defend-policy xxx global
4、在靠近业务侧设备上基于端口配置环路检测loopback-detection,配置处理动作为shutdown,当
环路消失后,手动执行shutdown和undo shutdown恢复端口,参考命令如下:
loopback-detect enable
loopback-detect untagged mac-address ffff-ffff-ffff
interface gigabitethernet x/x/x
loopback-detect action shutdown