S交换机有ARP Miss告警,怎么办?
先弄明白ARP Miss是怎么产生的:
设备在转发报文时,如果报文的目的地址和设备三层接口地址在同一个网段,正常情况下会查找arp进行直接转发,如果查找不到arp表项,就会上送CPU触发ARP-MISS流程来学习ARP。
上层软件收到ARP Miss消息后,首先生成一个ARP假表项发送给设备,防止相同的ARP Miss消息不断上报;然后上层软件发送ARP请求报文,在收到回应后,用学习到的ARP表项替换原有的假表项发送给设备,流量可以正常转发。
动态ARP假表项有一个老化时间,在老化时间之内,设备不再向上层软件发送ARP Miss消息。老化时间超时后,假表项被清除,设备转发时再次匹配不到对应的ARP表项,重新生成ARP Miss消息上报给上层软件。如此循环重复。
对于同一个源IP发送的触发ARP-MISS流程报文,一秒钟内如果超过门限值(默认为5个),系统会认为这是一种非法的***报文,就会针对该ip地址下发一条ACL规则,丢弃该源IP发送的所有需要上送CPU处理的报文;如果50s之内系统没有再次检测到该源ip发送的报文有arp-miss超过门限的情况,该ACL规则会自动删除,触发arp-miss流程的报文可以继续上送CPU处理
ARP Miss告警示例:
May 8 2014 18:02:00 7706-A %%01SECE/4/ARPMISS(l)[13]:Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=GigabitEthernet1/0/17, SourceIP=10.0.1.202, AttackPackets=92 packets per second)
May 8 2014 18:01:47 7706-A %%01SECE/4/ARPMISS(l)[14]:Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=GigabitEthernet1/0/14, SourceIP=10.0.1.22, AttackPackets=6 packets per second)
SECE/4/ARPMISS
日志信息
SECE/4/ARPMISS: Attack occurred.(AttackType=Arp Miss Attack, SourceInterface=[STRING], SourceIP=[STRING], AttackPackets=[ULONG] packets per second)
日志含义
超过了整机arp-miss限速值。
日志参数
参数名称参数含义
[STRING]
接口名。
[STRING]
***报文的源ip地址。
[ULONG]
***源报文数率(单位pps)。
可能原因
***用户发送arp-miss消息数超过了限速值。
处理步骤
系统视图下执行命令display this查看arp-miss消息速率检查值。
系统视图下执行命令arp-miss anti-attack rate-limit packet-number [ interval-value ]重新配置速率检查值。
如果日志产生频繁请联系华为技术支持工程师,否则不用处理。