某单位网速慢的处理分享
运网运营交付中心:吴腾宇
一、 问题现象
某用户单位反馈网速过慢,访问网页经常打不开的现象,请求查找原因解决问题。
二、 处理过程
该问题由办公终端病毒异常发包导致,建议解决方案如下:
1.将相应办公终端隔离杀毒,从源头上根除,清除终端上的局域网共享软件,在接入交换机上封杀445,2425等端口。
2.为避免类似问题再次出现建议在接入交换机连接办公终端的接口上增加相应的arp保护机制。
[Huawei]arp anti-attack rate-limit enable
[Huawei]arp anti-attack rate-limit 80 1
[Huawei]display arp anti-attack configuration arp-rate-limitARP rate-limit configuration:
-------------------------------------------------------------------------------Global configuration:
arp anti-attack rate-limit enablearp
anti-attack rate-limit 80 1
三、 故障分析
使用办公终端ping 网关或者服务器,发现正常情况下,延时小,在10ms以内,偶尔延时增大到100ms以上,并存在丢包现象。连线客户端,登陆交换机查看状态、分析ping包:
a)、 客户终端Ping网关 x.x.168.254,ping包1000个,丢包25个。
b)、 客户终端Ping服务器 x.x.168.10,ping包1000个,丢包28个。
c)、在办公终端 ping 网关或者服务器出现丢包的瞬间,发现S3700交换机的CPU 利用率非常高;进一步查看,发现是ARP报文的处理进程耗费CPU资源急剧上升。
查看交换设备信息,发现存在arp攻击告警。针对告警出现的多个mac地址,分析报文,获取报文10分钟,发现这些个办公终端在100ms之内,每个终端都发出了200个以上的arp请求报文。
经查,用户办公网的杀毒软件自动更新时间全部都是同一时间。大量的客户端同时更新病毒库,可能会有部分客户端在下班前升级不成功,当未成功升级天数超出策略限制阈值时,客户会收到不满足安全策略的告警信息。在策略未满足的前提下,访问是受限的。这也是导致客户部分终端无法访问某些网页的原因。
客户部分终端主机硬件配置陈旧;开启多任务时,物理内存几乎耗尽,虚拟内存使用近一半,CPU利用率达到60%以上,存在性能瓶颈,因此会出现访问网络资源慢的问题。
综合以上分析,向客户解释如下:部分办公终端中病毒(告知客户这些终端的IP地址和MAC地址),导致这些办公终端或是下一级的HUB,不定时的,在短的时间内(100ms内)发出数百个arp报文,导致接入交换机或核心交换机的CPU利用率瞬时升高,当CPU处理速度跟不上时,部分办公终端出现网络数据丢包现象,在用户流量大,上传下载频繁的时间段尤其突出。
针对类似情况,可以建议客户加强办公终端的防病毒能力,避免病毒再次出现;争取封掉短时间内大量发出ARP的端口。在条件允许的情况下,建议提升终端配置,定期清除系统垃圾,整理软件,做好优化。