0

我的帖子

个人中心

设置

  发新话题
首先说下大概的网络架构,有两个办公区,A和B。A区大概20台PC。B区大概10台PC。同属一个vlan。网关放在机房核心交换机,
如果A、B两个区接到核心下联的同一个傻瓜交换机下会同时掉包,如果不是,大多是分开掉包。
掉包现象分三种情况。
1、A区的终端ping机房的网关掉包,B区不掉包。
2、B区的终端ping机房的网关掉包,A区不掉包。
3、A和B区两个地方ping机房网关,同时掉包。
掉包也不是很有规律,偶尔掉那么几个,偶尔掉60左右个包。掉包的间隔时间在半小时到3小时不等,不是掉包时间,是间隔时间。


排查
1、核心和核心级联下的设备没换。因为其他vlan没影响。核心更换也比较麻烦。A区的网络设备都换过。
2、抓包发现有问题的PC已经拔掉网线了。其他基本没有发现什么异常
3、大多PC大概有10年左右了,网卡灰比较多。A区接5台PC的话,基本不掉包。接个10台以上就会出现上述的掉包情况了。

大概拓扑图




Statistics on slot 0:
--------------------------------------------------------------------------------
Packet Type          Pass(Packet/Byte)   Drop(Packet/Byte)  Last-dropping-time  
--------------------------------------------------------------------------------
arp-miss                       2392955              528136  2019-04-17 07:16:43
                             223864779            33887725
arp-reply                      7725545                   0  -                  
                             494435440                   0
arp-request                   11272727              187128  2019-04-17 09:06:43
                             793092918            11989744
dns                              17123                   0  -                  
                               1318502                   0
fib-hit                         238477              142082  2019-04-17 08:36:43
                              28709082            15634595
ftp                               3099                   0  -                  
                                198432                   0
gre-keepalive                        0                   0  -                  
                                     0                   0
http                              9098                   0  -                  
                                582533                   0
https                            12127                   0  -                  
                                776899                   0
hw-tacacs                            0                   0  -                  
                                     0                   0
icmp                           1390283                   0  -                  
                             109455034                   0
ldt                                  0                   0  -                  
                                     0                   0
lnp                                  0                   0  -                  
                                     0                   0
ntp                                  0                   0  -                  
                                     0                   0
portal                               0                   0  -                  
                                     0                   0
radius                               0                   0  -                  
                                     0                   0
snmp                             54454                   0  -                  
                              11796618                   0
ssh                                824                   0  -                  
                                 52736                   0
stp                             347748                   0  -                  
                              22271939                   0
tcp                             819264              224322  2019-04-17 09:16:43
                              52669772            14356880
telnet                           72442                   0  -                  
                               5315860                   0
ttl-expired                         83                   0  -                  
                                  6474                   0
vcmp                                 0                   0  -                  
                                     0                   0

以下是核心交换机主要告警信息

   .3.6.1.4.1.2011.5.25.165.2.2.1.3 Some packets are dropped because an attack is detected.(Interface=GigabitEthernet0/0/5, SourceMAC=0000-0000-0000, SourceIP=0.0.0.0, InnerVlan=0, OuterVlan=10)
#Apr 16 2019 09:30:37 hexin SECE/4/STRACKPORT:OID 1.3.6.1.4.1.2011.5.25.165.2.2.1.2 An attack occurred.(Interface=GigabitEthernet0/0/5, InnerVlan=0, OuterVlan=10, EndTime=2019/04/16 09:30:37, TotalPackets=1240)
#Apr 16 2019 09:25:42 hexin SNMP/4/AUTHFAIL:OID 1.3.6.1.6.3.1.1.5.5 authenticationFailure. (RemoteIpAddressType=1, RemoteIpAddress=10.173.1.28)
#Apr 16 2019 09:17:41 hexin SECE/4/STRACK_DENY:OID 1.3.6.1.4.1.2011.5.25.165.2.2.1.3 Some packets are dropped because an attack is detected.(Interface=GigabitEthernet0/0/1, SourceMAC=0000-0000-0000, SourceIP=0.0.0.0, InnerVlan=0, OuterVlan=10)
#Apr 16 2019 09:17:41 hexin SECE/4/STRACKPORT:OID 1.3.6.1.4.1.2011.5.25.165.2.2.1.2 An attack occurred.(Interface=GigabitEthernet0/0/1, InnerVlan=0, OuterVlan=10, EndTime=2019/04/16 09:17:40, TotalPackets=530)
#Apr 16 2019 09:02:10 hexin SECE/4/STRACK_DENY:OID 1.3.6.1.4.1.2011.5.25.165.2.2.1.3 Some packets are dropped because an attack is detected.(Interface=GigabitEthernet0/0/1, SourceMAC=0000-0000-0000, SourceIP=0.0.0.0, InnerVlan=0, OuterVlan=10)
#Apr 16 2019 09:02:10 hexin SECE/4/STRACKPORT:OID 1.3.6.1.4.1.2011.5.25.165.2.2.1.2 An attack occurred.(Interface=GigabitEthernet0/0/1, InnerVlan=0, OuterVlan=10, EndTime=2019/04/16 09:02:10, TotalPackets=725)
#Apr 16 2019 08:49:51 hexin SECE/4/STRACK_DENY:OID 1.3.6.1.4.1.2011.5.25.165.2.2.1.3 Some packets are dropped because an attack is detected.(Interface=GigabitEthernet0/0/4, SourceMAC=0000-0000-0000, SourceIP=0.0.0.0, InnerVlan=0, OuterVlan=30)
#Apr 16 2019 08:49:51 hexin SECE/4/STRACKPORT:OID 1.3.6.1.4.1.2011.5.25.165.2.2.1.2 An attack occurred.(Interface=GigabitEthernet0/0/4, InnerVlan=0, OuterVlan=30, EndTime=2019/04/16 08:49:50, TotalPackets=745)
#Apr 16 2019 08:49:07 hexin SNMP/4/AUTHFAIL:OID 1.3.6.1.6.3.1.1.5.5 authenticationFailure. (RemoteIpAddressType=1, RemoteIpAddress=10.173.1.28)
#Apr 16 2019 08:29:16 hexin SECE/4/STRACK_DENY:OID 1.3.6.1.4.1.2011.5.25.165.2.2.1.3 Some packets are dropped because an attack is detected.(Interface=GigabitEthernet0/0/5, SourceMAC=0000-0000-0000, SourceIP=0.0.0.0, InnerVlan=0, OuterVlan=10)
#Apr 16 2019 08:29:16 hexin SECE/4/STRACKPORT:OID 1.3.6.1.4.1.2011.5.25.165.2.2.1.2 An attack occurred.(Interface=GigabitEthernet0/0/5, InnerVlan=0, OuterVlan=10, EndTime=2019/04/16 08:29:15, TotalPackets=1000)
#Apr 16 2019 08:23:25 hexin LINE/5/VTYUSERLOGOUT:OID 1.3.6.1.4.1.2011.5.25.207.2.4 A user logout. (UserIndex=0, UserName=**, UserIP=**, UserChannel=CON0)
#Apr 16 2019 08:16:06 hexin SECE/4/STRACK_DENY:OID 1.3.6.1.4.1.2011.5.25.165.2.2.1.3 Some packets are dropped because an attack is detected.(Interface=GigabitEthernet0/0/1, SourceMAC=0000-0000-0000, SourceIP=0.0.0.0, InnerVlan=0, OuterVlan=10)
#Apr 16 2019 08:16:06 hexin SECE/4/STRACKPORT:OID 1.3.6.1.4.1.2011.5.25.165.2.2.1.2 An attack occurred.(Interface=GigabitEthernet0/0/1, InnerVlan=0, OuterVlan=10, EndTime=2019/04/16 08:16:06, TotalPackets=735)
#Apr 16 2019 08:13:23 hexin DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.191.3.1 configurations have been changed. The current change number is 37, the change loop count is 0, and the maximum number of records is 4095.
#Apr 16 2019 08:13:13 hexin DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.191.3.1 configurations have been changed. The current change number is 36, the change loop count is 0, and the maximum number of records is 4095.
#Apr 16 2019 08:12:38 hexin LINE/5/VTYUSERLOGIN:OID 1.3.6.1.4.1.2011.5.25.207.2.2 A user login. (UserIndex=0, UserName=**, UserIP=**, UserChannel=con0)
#Apr 16 2019 08:00:43 hexin SECE/4/STRACK_DENY:OID 1.3.6.1.4.1.2011.5.25.165.2.2.1.3 Some packets are dropped because an attack is detected.(Interface=GigabitEthernet0/0/1, SourceMAC=0000-0000-0000, SourceIP=0.0.0.0, InnerVlan=0, OuterVlan=10)
#Apr 16 2019 08:00:43 hexin SECE/4/STRACKPORT:OID 1.3.6.1.4.1.2011.5.25.165.2.2.1.2 An attack occurred.(Interface=GigabitEthernet0/0/1, InnerVlan=0, OuterVlan=10, EndTime=2019/04/16 08:00:43, TotalPackets=1245)
#Apr 16 2019 07:59:11 hexin SECE/4/STRACK_DENY:OID 1.3.6.1.4.1.2011.5.25.165.2.2.1.3 Some packets are dropped because an attack is detected.(Interface=GigabitEthernet0/0/24, SourceMAC=0000-0000-0000, SourceIP=0.0.0.0, InnerVlan=0, OuterVlan=1)
#Apr 16 2019 07:59:11 hexin SECE/4/STRACKPORT:OID 1.3.6.1.4.1.2011.5.25.165.2.2.1.2 An attack occurred.(Interface=GigabitEthernet0/0/24, InnerVlan=0, OuterVlan=1, EndTime=2019/04/16 07:59:11, TotalPackets=545)


以下是核心的主要日志信息

%%01DEFD/4/CPCAR_DROP_MPU(l)[53]:Rate of packets to cpu exceeded the CPCAR limit on the MPU. (Protocol=fib-hit, CIR/CBS=64/10000, ExceededPacketCount=581)
Apr 16 2019 16:56:43 hexin %%01DEFD/4/CPCAR_DROP_MPU(l)[54]:Rate of packets to cpu exceeded the CPCAR limit on the MPU. (Protocol=tcp, CIR/CBS=64/10000, ExceededPacketCount=617)
Apr 16 2019 16:51:49 hexin %%01SECE/4/PORT_ATTACK_OCCUR(l)[55]:Auto port-defend started.(SourceAttackInterface=GigabitEthernet0/0/15, AttackProtocol=ARP-REQUEST)
Apr 16 2019 16:38:39 hexin %%01SECE/4/STRACK_DENY(l)[56]:Some packets are dropped because an attack is detected.(Interface=GigabitEthernet0/0/1, sourceMAC=0000-0000-0000, sourceIP=0.0.0.0, CVLAN=0, PVLAN=10)
Apr 16 2019 16:38:39 hexin %%01SECE/4/PORT_ATTACK(l)[57]:Port attack occurred.(Slot=MPU, SourceAttackInterface=GigabitEthernet0/0/1, OuterVlan/InnerVlan=10/0, AttackProtocol=ARP, AttackPackets=130 packets per second)
Apr 16 2019 16:38:38 hexin %%01SECE/4/PORT_ATTACK_OCCUR(l)[58]:Auto port-defend started.(SourceAttackInterface=GigabitEthernet0/0/1, AttackProtocol=ARP-REQUEST)
Apr 16 2019 16:36:52 hexin %%01SECE/4/PORT_ATTACK_OCCUR(l)[59]:Auto port-defend started.(SourceAttackInterface=GigabitEthernet0/0/4, AttackProtocol=ARP-REQUEST)
Apr 16 2019 16:36:43 hexin %%01DEFD/4/CPCAR_DROP_MPU(l)[60]:Rate of packets to cpu exceeded the CPCAR limit on the MPU. (Protocol=arp-request, CIR/CBS=128/16000, ExceededPacketCount=87)
Apr 16 2019 16:30:03 hexin %%01SECE/4/PORT_ATTACK_OCCUR(l)[61]:Auto port-defend started.(SourceAttackInterface=GigabitEthernet0/0/15, AttackProtocol=ARP-REQUEST)
Apr 16 2019 16:26:43 hexin %%01DEFD/4/CPCAR_DROP_MPU(l)[62]:Rate of packets to cpu exceeded the CPCAR limit on the MPU. (Protocol=tcp, CIR/CBS=64/10000, ExceededPacketCount=498)
Apr 16 2019 16:26:43 hexin %%01DEFD/4/CPCAR_DROP_MPU(l)[63]:Rate of packets to cpu exceeded the CPCAR limit on the MPU. (Protocol=arp-request, CIR/CBS=128/16000, ExceededPacketCount=70)
Apr 16 2019 16:23:12 hexin %%01SECE/4/PORT_ATTACK_OCCUR(l)[64]:Auto port-defend started.(SourceAttackInterface=GigabitEthernet0/0/1, AttackProtocol=ARP-REQUEST)
Apr 16 2019 16:22:15 hexin %%01SECE/3/ARPS_DROP_PACKET_GLOBAL_SPDLMT(l)[65]:Rate of global arp packets exceeds the limit.(SourceMAC=4487-fc7b-4a9e, SourceIP=92.99.178.219, SourceInterface=GigabitEthernet0/0/4, DropTime=2019/04/16 16:22:15)
Apr 16 2019 16:20:45 hexin %%01SECE/4/PORT_ATTACK_OCCUR(l)[66]:Auto port-defend started.(SourceAttackInterface=GigabitEthernet0/0/15, AttackProtocol=ARP-REQUEST)
Apr 16 2019 16:18:24 hexin %%01SECE/4/PORT_ATTACK_OCCUR(l)[67]:Auto port-defend started.(SourceAttackInterface=GigabitEthernet0/0/24, AttackProtocol=ARP-REQUEST)
Apr 16 2019 16:17:15 hexin %%01SECE/3/ARPS_DROP_PACKET_GLOBAL_SPDLMT(l)[68]:Rate of global arp packets exceeds the limit.(SourceMAC=000d-482d-2398, SourceIP=10.173.139.229, SourceInterface=GigabitEthernet0/0/23, DropTime=2019/04/16 16:17:15)
Apr 16 2019 16:16:43 hexin %%01DEFD/4/CPCAR_DROP_MPU(l)[69]:Rate of packets to cpu exceeded the CPCAR limit on the MPU. (Protocol=tcp, CIR/CBS=64/10000, ExceededPacketCount=89)
Apr 16 2019 16:11:53 hexin %%01SECE/3/ARPS_DROP_PACKET_GLOBAL_SPDLMT(l)[70]:Rate of global arp packets exceeds the limit.(SourceMAC=00e0-81ce-fe5c, SourceIP=10.173.139.253, SourceInterface=GigabitEthernet0/0/20, DropTime=2019/04/16 16:11:53)


[hexin]dis interface Ethernet brief
PHY: Physical
*down: administratively down
#down: LBDT down
(l): loopback
(b): BFD down
InUti/OutUti: input utility/output utility
Interface                   PHY   Auto-Neg Duplex Bandwidth  InUti OutUti Trunk
GigabitEthernet0/0/1        up    enable   full       1000M     0%  0.01%    --
GigabitEthernet0/0/2        up    enable   full        100M  0.35%  0.21%    --
GigabitEthernet0/0/3        up    enable   full        100M     0%  0.07%    --
GigabitEthernet0/0/4        up    enable   full        100M  0.03%  0.09%    --
GigabitEthernet0/0/5        up    enable   full        100M  0.05%  0.08%    --
GigabitEthernet0/0/6        down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/7        down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/8        down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/9        down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/10       down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/11       down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/12       down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/13       down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/14       up    enable   full        100M     0%  0.04%    --
GigabitEthernet0/0/15       up    enable   full       1000M     0%  0.02%    --
GigabitEthernet0/0/16       down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/17       down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/18       up    enable   full       1000M  0.17%  0.18%    --
GigabitEthernet0/0/19       down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/20       up    enable   full       1000M  0.09%  0.10%    --
GigabitEthernet0/0/21       down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/22       up    enable   full       1000M     0%     0%    --
GigabitEthernet0/0/23       up    enable   full        100M  0.71%  0.66%    --
GigabitEthernet0/0/24       up    enable   full       1000M  0.01%  0.01%    --
GigabitEthernet0/0/25       down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/26       down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/27       down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/28       down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/29       down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/30       down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/31       down  enable   full       1000M     0%     0%    --
GigabitEthernet0/0/32       down  enable   full       1000M     0%     0%    --
MEth0/0/1                   down  enable   half         10M     0%     0%    --



抓包截图










本帖最后由 wzls16 于 2019-4-17 13:48 编辑
拓扑都不画出来   怎么帮你?



1 2层的问题



引用:
原帖由 jieyf 于 2019-4-17 02:18 发表
拓扑都不画出来   怎么帮你?
画拓扑图了



G0/0/1拔了。  A区ping网关啥情况啊



看不懂



电信天翼云www.ctyun.cn
云主机 云桌面 云存储
官网标准价格最低6折
微信号:smallfoxone
有速率限制,比如每秒最多允许多少个ping包?



引用:
原帖由 jaycome 于 2019-4-17 11:24 发表
G0/0/1拔了。  A区ping网关啥情况啊
一样会掉。



引用:
原帖由 wzls16 于 2019-4-17 13:00 发表

一样会掉。
在核心上  dis interface Ethernet brief  截图上来。



QQ:2213654938
引用:
原帖由 linux998 于 2019-4-17 13:36 发表

在核心上  dis interface Ethernet brief  截图上来。
你看下。。。。。



引用:
原帖由 wzls16 于 2019-4-17 13:50 发表

你看下。。。。。
A区的交换机用的百M的吗?

在核心使用dis interface g0/0/5

另外在掉包的时候使用 dis interface Ethernet brief 试试。



QQ:2213654938
引用:
原帖由 wzls16 于 2019-4-16 20:45 发表
首先说下大概的网络架构,有两个办公区,A和B。A区大概20台PC。B区大概10台PC。同属一个vlan。网关放在机房核心交换机,
如果A、B两个区接到核心下联的同一个傻瓜交换机下会同时掉包,如果不是,大多是分开掉包。
掉包现象分三 ...
看一下核心和下面级联的端口的详细信息,看看有没有错误的信息。



"大师,什么是快乐的秘诀?"
"不要和愚者争论."
"大师,我完全不同意这就是秘诀."
"是的,你是对的。"
同一个VLAN不同网段啥意思?IP SEC/SUB?(一直没明白这功能有啥用)



引用:
原帖由 wzls16 于 2019-4-17 13:00 发表

一样会掉。
那就吧G0/0/5拔了   A区终端互ping   丢不丢包啊



引用:
原帖由 jaycome 于 2019-4-17 16:03 发表

那就吧G0/0/5拔了   A区终端互ping   丢不丢包啊
5口接的A区啊,拔了肯定不通了



最小化网络测试



引用:
原帖由 wzls16 于 2019-4-17 19:12 发表

5口接的A区啊,拔了肯定不通了
是让你把G0/0/5拔了。  A区pc互ping



从你的描述和现象来看,我怀疑是核心网交换机由于限速的关系主动丢报文了,可以考虑a区多几个接入交换机,这样接入核心交换机可以多几个口分担吧




引用:
原帖由 jaycome 于 2019-4-18 10:31 发表

是让你把G0/0/5拔了。  A区pc互ping
不好意思看错了,拔不拔g0/0/5,A区互ping都没问题的,只是到全部的终端到网关会掉包



引用:
原帖由 lygzhan 于 2019-4-17 15:24 发表

看一下核心和下面级联的端口的详细信息,看看有没有错误的信息。
感谢版主



‹‹ 上一贴:求推荐两款千兆企业路由器   |   下一贴:dhcp问题各位大佬回答下 ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2019 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com