AR2220 V2R3C00版本ARP防御案例
2014/10/30 21:38:38點(diǎn)擊:
問題描述
用戶網(wǎng)絡(luò)未區(qū)分VLAN,用戶規(guī)模較大,共存在1萬(wàn)臺(tái)PC和手機(jī)用戶。每隔一段時(shí)間會(huì)出現(xiàn)用戶無(wú)法ping通網(wǎng)關(guān)的問題。
告警信息
可以看到告警中存在大量IP地址沖突告警
處理過(guò)程
通過(guò)IP地址沖突告警判斷網(wǎng)絡(luò)中應(yīng)該存在假冒ARP報(bào)文,應(yīng)當(dāng)進(jìn)行ARP防護(hù),于是啟用如下命令:
#
arp anti-attack gateway-duplicate enable //丟棄仿冒網(wǎng)關(guān)ARP報(bào)文
arp gratuitous-arp send enable //下發(fā)免費(fèi)ARP
arp gratuitous-arp send interval 50
#
interface Eth-Trunk1
arp validate source-mac destination-mac //ARP報(bào)文格式檢查
#
arp anti-attack gateway-duplicate enable //丟棄仿冒網(wǎng)關(guān)ARP報(bào)文
arp gratuitous-arp send enable //下發(fā)免費(fèi)ARP
arp gratuitous-arp send interval 50
#
interface Eth-Trunk1
arp validate source-mac destination-mac //ARP報(bào)文格式檢查
根因
非產(chǎn)品質(zhì)量問題
解決方案
進(jìn)行ARP防御
建議與總結(jié)
開局時(shí)不要使用默認(rèn)VLAN1,多劃分VLAN減小廣播域,同時(shí)做好ARP防御
- 上一篇:E1排錯(cuò)方法 2014/10/30
- 下一篇:S5700 V200R001C00SPC300 配置DHCP 2014/10/29