IP_VFR-4-FRAG_TABLE_OVERFLOW

 

IP虚拟分片重组
为了避免每个业务模块(如:IPSec、NAT和防火墙)单独处理后片先到(报文分片后)这种情况而导致复杂度过高,设备需要收到IP报文后就对分片报文进行虚拟分片重组。IP虚拟分片重组功能可以对分片报文进行检验、排序和缓存,保证后续业务模块处理的都是顺序正确的分片报文。

同时,IP虚拟分片重组功能还可以对下面几种分片***进行检测。如果检测到分片***,则设备会丢弃收到的分片报文,从而提高了设备的安全性。

 

问题
*Nov 15 18:03:26.431: %IP_VFR-4-FRAG_TABLE_OVERFLOW: FastEthernet0/0: the fragment table has reached its maximum threshold 16
------------------------
官方提示
Recommended Action: Increase the maximum number of datagrams that can be reassembled
by entering the ip virtual-reassembly max-reassemblies number command, with number
being the maximum number of datagrams that can be reassembled at any one time.
--------------------------
具体操作
ip virtual-reassembly max-reassemblies 1024

 

 

近期单位路由器经常提示如下错误,并且网络速度明显降低:

%IP_VFR-4-FRAG_TABLE_OVERFLOW: FastEthernet0: the fragment table has reached its maximum threshold 16

经查,是受到了网络碎片***。采取以下措施,效果明显:

1. 在端口提高包重组能力:

int f0

ip virtual-reassembly max-reassemblies 1024

2. 在端口加acl拦截***包:

int f0

ip access-group 120 in

ip access-group 120 out

access-list 120

    deny ip any any fragments
     permit ip any any

从此cpu利用率恢复正常,网速也得到恢复。

=====================================================================================