某栋楼一些用户断网的故障

电脑病毒。在 4 楼 2 台接入 实现了对送 CPU ARP 报文的
交 换 机 上 也 发 现 一 些 NFPP 限速和攻击检测。IP-Guard
隔离的 IP 地址，其中有 2 台 可以识别当主机发出的报文
里 都 有 172.X.X.200，且 在 目的地址为交换机直连网段
是上联端口，而这个地址段 不 存 在 或 未 上 线 用 户 的 IP
CPU 利用率过高，导致交换机 spoofing ip 172.X.X.1”命
无法正常运行。
令，刚 刚 做 完 4 台 交 换 机 配
NFPP 可以有效地防止系 置就有从 K 栋楼有信息反馈
统 受 这 些 攻 击 的 影 响。 在 回来，说是表项不足，无法认
受攻击情况下，保护系统各 证了！
种 服 务 的 正 常 运 行，以 及 保
击 ARP 报 文 送 CPU 导 致 CPU 时最多只有 200 左右个用户，
也就没配置。 先是在此楼的汇聚交换
机上对 NFPP 马上增加配置 ： ip-guard rate-limit
per-src-ip 30 ip-guard rate-limit
per-port 300 ip-guard attack-
per-port 300 arp-guard attack-
threshold per-src-ip 50 arp-guard attack-
threshold per-src-mac 50 arp-guard attack-
这 栋 Y 楼 的 接 入 交 换 机，但 文将被丢弃。当 ARP 报文速
发 现 NFPP 里 没 有 隔 离 任 何 率超过告警水线时，将打印
的 IP 地址。
警告信息，并发送 TRAP，基于
说明下单位使用的是锐 主机的攻击识别还可以对攻
捷交换机，锐捷交换机有网 击源头采取硬件隔离措施。
络 基 础 保 护 策 略（Network
责任编辑：赵志远 投稿信箱：netadmin@ 故障诊断与处理 Trouble Shooting
某栋楼一些用户断网的故障
■ 湖南工业大学现代教育技术中心 郭兆宏
有一段时间， 编者按 ： 单位某栋楼一些用户断网，通过排查交换机发 登 录 其 中 2 台 单 位 某 栋 K 楼 有 现是 NFPP 保护机制起做用，交换机对一些大量发包的 接 入 交 换 机 看
【上接第158页】 射 到 主 机 的卷中，选中对应的卷，点击 “编辑 SCSI 标识”，输入标识 为“9”，点击“确定”，如图 4 所示。
（4）分别对主机 Flex0114、Flex02-13、Flex02-14 重 复 以 上 操 作，确 保 同 一 集 群主机的 LUN ID 值相同。
修 改 完 成 后，可 以 方 便 地 对 存 储 卷 进 行 扩 充，并 在 线 添 加 到 虚 拟 化 环 境 中，如 图 5 所示。
图 4 点击“编辑 SCSI 标识”，输入标识 图 5 可对存储卷进行扩充，并在线添加到虚拟化环境中
2020.01 159
Trouble Shooting 故障诊断与处理 责任编辑：赵志远 投稿信箱：netadmin@
网的电脑有安全问题，要杀 利用率升高，所以 ARP-Guard
threshold per-src-ip 50 ip-guard attack-
threshold per-port 500 arp-guard rate-limit
per-src-ip 30 arp-guard rate-limit
per-src-mac 30 arp-guard rate-limit
不通，但过一段时间就好了， 时，笔者以为是交换机断网， 查看，CPU 正常，端口流量正
让用户查杀病毒。
但检查此楼的所有交换机都 常，用 命 令“sh nfpp arp-
某一天这栋 K 楼有很多 运行正常，最近一个月没有 guard hosts”、“sh nfpp
个电话打来说断网了，马上 掉线的。此楼有 1 台汇聚交 ip-guard hosts”发 现 都 有
172.X.X.200 段 用 户 实 际 不 地 址 时，交 换 机 会 发 出 ARP
在这栋楼，是离这栋 K 楼 100 进行请求，如果存在这样的
米左右的另外一栋 Y 楼的 Y 连续不断的攻击，会导致设
部门用的，只是网络从这栋 K 备 CPU 很高。当 ARP 报文速
楼的汇聚上接的，马上登录 率超过限速水线时，超限报
先将4楼的4台交换机重启过一段时间此楼4层还是有电话打来登录汇聚交换机查看cpu正常端口流量正常用命令shnfpparpguardhostsshnfppipguardhosts发现都有多个隔离的ip平时也有隔离的ip不过今天隔离的数量有点多一看ip地址基本是打电话说断网的回复断某栋楼一些用户断网的故障湖南工业大学现代教育技术中心郭兆宏编者按
Foundation Protection 调整交换机的 NFPP 参数
Policy，NFPP）。 在 网 络 环
又回到K栋楼的4楼
境中经常发现一些恶意的攻 2 台 NFPP 隔 离 最 多 的 接 入
击，这些攻击会给交换机带 交 换 机 上，在 端 口 上 增 加
来过重的负担，引起交换机 “arp-check” 及“anti-arp-
检 查 此 楼 的 16 台 交 换 机 都 换机 16 台接入交换机，对反 多个隔离的 IP，平时也有隔
运行正常，最近一个月都没 映较多的 2 和 4 楼各 4 台接 离的 IP，不过今天隔离的数
有掉线的，于是开始网络排 入交换机进行查看，流量带 量有点多，一看 I记录。 是打电话说断网的，回复断
笔者只好立即删除这 2
持 较 低 的 CPU 负 载，从 而 保 行新增加的命令，再检查发
障了整个网络的稳定运行。 现 此 楼 交 换 机 NFPP 基 本 没
ARP-Guard 功 能 主 要 目 标 为 配 置，使 用 的 都 是 默 认 值。
保 护 设 备 CPU，防 止 大 量 攻 因为此楼是行政办公楼，平
几个用户打电话 IP 地址进行隔离。
了下在线时间
说 断 网 了，网 络
都有 30 多天了。
故障处理的老师去现场发现 交换机 NFPP 保护造成断网
先将 4 楼的 4 台交换机重启，
802.1X 认证有时成功有时不
当某一天单位的某栋 K 过一段时间此楼 4 层还是有
成功，ping 网关有时通有时 楼 有 很 多 电 话 打 来 说 断 网 电话打来，登录汇聚交换机