【运维小能手】大量icmp报文导致SDLB单板下专线业务丢包

dhthongbin
dhthongbin  Moderator  (1)
3 years 4 months ago  View: 4343  Reply: 17

问题描述
UA5000 SDLB单板下挂一台CE路由器提供专线业务,用户反映CE路由器与上层网关NE80E相互快速ping有丢包。
版本信息:UA5000 V100R017C02
组网描述:NE80E <==> CX300 <==> UA5000 <==> CE Router
告警信息
UA5000(config)#
! EVENT CRITICAL 2011-07-13 14:15 ALARM NAME OS attack appears
PARAMETERS :FrameID: 0, SlotID: 31, PortID: 0
处理过程
跟客户沟通,使其理解丢包的原因,并且知会正常的业务流量不会导致丢包。
根因
1、从NE80E侧快速ping CE路由器,发现有丢包,反ping也同样丢包。逐段排查,把CE路由器地址配置到UA5000上与网关NE80E进行ping测试,NE80E快速ping UA5000不丢包;把上层网关地址移到UA5000侧,从UA5000去ping CE路由器不丢包,此时从CE路由器快速ping UA5000发现有丢包,而正常ping不丢包。在CE快速ping UA5000时会发现在UA5000侧会收到DOS attack 告警。
2、NE80E侧和CE路由器侧快速ping测试命令举例如下:
< NE80E>ping -vpn-instance CP1 -c 2000 -m 50 10.10.10.2
--- 10.10.10.2 ping statistics ---
2000 packet(s) transmitted
1769 packet(s) received
11.55% packet loss
round-trip min/avg/max = 2/4/72 ms
通过检查命令发现由于PE和CE两侧在ping测试时增加了一个-m参数,以参数值50为例,网关每隔50ms向对端发送一个icmp报文,这意味着CE侧同样以50ms的速度返回一个echo报文,用户侧快速的发包导致UA5000认为是用户侧恶意的攻击,从而把报文丢弃。
3、结论验证:把UA5000侧防DOS攻击去使能,再从NE80E去快速ping CE,就会发现不再丢包。
qunwa
qunwa  Senior 
3 years 4 months ago
再来赞一个~
aoyan
aoyan  Senior 
3 years 4 months ago
赞一个!
douxi
douxi  Senior 
3 years 4 months ago
支持一下
xunlao
xunlao  Medium 
3 years 4 months ago
对工作帮助很大
xinji
xinji  Senior 
3 years 4 months ago
学习啦,哈哈,赞!
zhipao7495243
zhipao7495243  Senior 
3 years 4 months ago
非常有帮助
摇一摇
摇一摇  Senior 
3 years 4 months ago
支持一下
shanghan8882693
shanghan8882693  Senior 
3 years 4 months ago
遇到问题冷静分析原因,找出解决问题的方法,很好!点赞!向你学习
queyou9117773
queyou9117773  Senior 
3 years 4 months ago
我只能静静地帮你看着,看着!
1/2Page