¿Cómo manejar un switch que recibe una gran cantidad de solicitudes ARP?

Pubilicado 2019-1-24 23:02:39Última respuesta en. 28, 2019 17:18:56 83 1 0 0
  Recompensa Goldies : 0 (solución de problemas)

¿Cómo manejar un switch que recibe una gran cantidad de solicitudes ARP?

  • x
  • convención:

VictorSaa  Visitante   Pubilicado 2019-1-28 17:18:56 Útil(0) Útil(0)
Cuando los switches de la serie S reciben una gran cantidad de mensajes de solicitud o
respuesta ARP, pueden ocurrir los siguientes problemas:

Los usuarios se desconectan, se desconectan con frecuencia, experimentan un acceso lento
a Internet y la interrupción del servicio, o incluso no pueden acceder a la red.
Los conmutadores tienen un alto uso de la CPU o no pueden ser administrados por el sistema de
administración de red (NMS) y sus dispositivos conectados se desconectan.
Durante el retraso, la pérdida de paquetes o la falla.

1. Ejecute el comando: display cpu-defend statistics packet-type {arp-request | arp-reply}
en la vista de usuario para verificar si el recuento de los paquetes ARP Request o ARP Reply
aumentaron.
-Si el recuento es 0, los switches no eliminan ningún paquete de solicitud o respuesta ARP.
Luego ve al paso 6. Si el recuento no es 0, la tasa de paquetes de request o reply ARP excede
el límite de tasa CPCAR y los paquetes ARP en exceso se descartan. Luego ve al paso 2.

2.Ejecute el comando: display cpu-usage en la vista del usuario para verificar
el uso de la CPU de la MPU.
- Si el uso de la CPU está en el rango normal, vaya al paso 3.
- Si el uso de la CPU es superior al 70%, vaya al paso 5.

3.Ejecute el comando: car en la vista de políticas de defensa de ataques para
aumentar adecuadamente el límite de velocidad de CPCAP para los paquetes de ARP Request o ARP Reply.
Nota: la configuración incorrecta de CPCAR afectará los servicios en su red. Se recomienda
que se ponga en contacto con los ingenieros de Huawei antes de ajustar la configuración
de CPCAR. El comando car entra en vigor después de aplicar la política de defensa de ataque.
Si el fallo persiste o el fallo se elimina pero el uso de la CPU sigue siendo alto,
vaya al paso 4.

4.Capture los encabezados de paquetes en la interfaz del lado del usuario y encuentre
al atacante de acuerdo con las direcciones de origen de los paquetes de request o reply ARP.
Si se envían muchos paquetes de request o reply ARP desde una dirección MAC o IP de origen,
los switches consideran la dirección de origen como una fuente de ataque.
Ejecute el comando: arp speed-limit source-ip [<ip-address>] en la vista del sistema para
reducir el límite de velocidad de paquetes ARP en función de la dirección IP de origen
o ejecute el comando arp speed-limit source-mac [<mac-address >] maximum para configurar
el límite de velocidad de paquetes ARP en función de la dirección MAC de origen para adaptarse
a las situaciones reales de la red. De forma predeterminada, la función de límite de
velocidad de paquetes ARP basada en la dirección IP de origen está habilitada, y
los switche permiten un máximo de 30 paquetes ARP con la misma dirección IP de origen
para pasar cada segundo. Una vez que la tasa de paquetes ARP alcanza este límite, los switches
descartan los paquetes ARP posteriores. El límite de velocidad para los paquetes ARP con la
misma dirección MAC de origen es 0, es decir, los switches no limitan la velocidad de los
paquetes ARP en función de la dirección MAC de origen.
Después de que el límite de velocidad de paquetes ARP basado en la dirección IP de
origen o la dirección MAC se establezca en un valor más pequeño (como 5 bit / s),
- Si el error persiste, vaya al paso 5.
- Si la falla se corrige pero el uso de la CPU sigue siendo alto, configure una entrada
de dirección MAC de lista negra para descartar los paquetes ARP enviados por
la fuente de ataque. Después de eso, si el uso de la CPU sigue siendo alto, vaya al paso 6.

5. Capture los encabezados de paquetes en la interfaz del lado del usuario y encuentre al
atacante de acuerdo con las direcciones de origen de los paquetes de request o reply ARP.
Si se envían muchos paquetes de solicitud o respuesta ARP desde una dirección de origen,
los switches consideran la dirección de origen como una fuente de ataque.
Puede configurar una lista negra para descartar los paquetes ARP enviados
por la fuente de ataque. Si el fallo persiste, vaya al paso 6.

6. Recopile la siguiente información y póngase en contacto con el personal de asistencia técnica de Huawei:
Resultados del procedimiento de solución de problemas anterior
Archivos de configuración, logs y alarmas de los switches.
  • x
  • convención:

Mexicano, con más de 10 años de experiencia en el ámbito de Redes e ICT en general y más de dos dentro de Huawei, en donde cuento con doble certificación HCIP (Routing and Switching y WLAN), actualmente encargado de ayudarlos con sus dudas y comentarios dentro de la comunidad.

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba