【运维小能手】大量icmp报文导致SDLB单板下专线业务丢包

[复制链接]
dhthongbin   版主    发表于 2016-9-2 21:08:38   最新回复:2016-09-04 09:19:31


问题描述
UA5000 SDLB单板下挂一台CE路由器提供专线业务,用户反映CE路由器与上层网关NE80E相互快速ping有丢包。
版本信息:UA5000 V100R017C02
组网描述:NE80E <==> CX300 <==> UA5000 <==> CE Router
告警信息
UA5000(config)#
! EVENT CRITICAL 2011-07-13 14:15:02 ALARM NAME OS attack appears
PARAMETERS :FrameID: 0, SlotID: 31, PortID: 0
处理过程
跟客户沟通,使其理解丢包的原因,并且知会正常的业务流量不会导致丢包。
根因
1、从NE80E侧快速ping CE路由器,发现有丢包,反ping也同样丢包。逐段排查,把CE路由器地址配置到UA5000上与网关NE80E进行ping测试,NE80E快速ping UA5000不丢包;把上层网关地址移到UA5000侧,从UA5000去ping CE路由器不丢包,此时从CE路由器快速ping UA5000发现有丢包,而正常ping不丢包。在CE快速ping UA5000时会发现在UA5000侧会收到DOS attack 告警。
2、NE80E侧和CE路由器侧快速ping测试命令举例如下:
< NE80E>ping -vpn-instance CP1 -c 2000 -m 50 10.10.10.2
--- 10.10.10.2 ping statistics ---
2000 packet(s) transmitted
1769 packet(s) received
11.55% packet loss
round-trip min/avg/max = 2/4/72 ms
通过检查命令发现由于PE和CE两侧在ping测试时增加了一个-m参数,以参数值50为例,网关每隔50ms向对端发送一个icmp报文,这意味着CE侧同样以50ms的速度返回一个echo报文,用户侧快速的发包导致UA5000认为是用户侧恶意的攻击,从而把报文丢弃。
3、结论验证:把UA5000侧防DOS攻击去使能,再从NE80E去快速ping CE,就会发现不再丢包。
跳转到指定楼层
qunwa   高级会员    发表于 2016-9-2 21:45:23

再来赞一个~
aoyan   高级会员    发表于 2016-9-2 21:55:23

赞一个!
douxi   高级会员    发表于 2016-9-2 22:02:02

支持一下
xunlao   中级会员    发表于 2016-9-2 22:08:56

对工作帮助很大
xinji   高级会员    发表于 2016-9-2 22:16:28

学习啦,哈哈,赞!
zhipao7495243   高级会员    发表于 2016-9-2 22:59:11

非常有帮助
摇一摇   高级会员    发表于 2016-9-2 23:02:56

支持一下
shanghan8882693   高级会员    发表于 2016-9-2 23:08:02

遇到问题冷静分析原因,找出解决问题的方法,很好!点赞!向你学习
queyou9117773   高级会员    发表于 2016-9-2 23:11:49

我只能静静地帮你看着,看着!
12
返回列表
快速回复 返回顶部