一客戶現(xiàn)場使用成都H3C S7500E交換機做為核心設備���,在使用過程中突然出來登錄設備卡頓���,ping設備延遲大,平均延遲100多毫秒���。 telnet登陸設備時很卡頓�,輸入用戶名的過程中�����,敲完一個字符需要隔幾秒才能顯示出來��,輸完密碼敲回車后�, 大概需要30秒左右的等待才能顯示出,讓客戶使用網線直接使用主控的管理口連接一臺PC來telnet登陸也是有這種現(xiàn)象 。telnet認證過程是使用hwtacas AAA服務器進行認證授權計費的�����。
查看設備cpu使用率情況如下���,可以看出當前設備的CPU使用率并不高
===============display cpu===============
Slot 0 CPU 0 CPU usage:
18% in last 5 seconds
13% in last 1 minute
13% in last 5 minutes
Slot 1 CPU 0 CPU usage:
14% in last 5 seconds
13% in last 1 minute
13% in last 5 minutes
Slot 2 CPU 0 CPU usage:
15% in last 5 seconds
15% in last 1 minute
15% in last 5 minutes
Slot 3 CPU 0 CPU usage:
18% in last 5 seconds
18% in last 1 minute
18% in last 5 minutes
Slot 4 CPU 0 CPU usage:
18% in last 5 seconds
18% in last 1 minute
18% in last 5 minutes
用戶使用主控板管理口登錄設備��,也存在卡頓的情況����。
將用戶的認證授權計費功能修改為本地認證計費,確認是否為AAA服務器與設備交互慢����,導致設備登錄卡頓。修改為本地認證后�����,用戶登錄的卡頓現(xiàn)象和之前沒有區(qū)別����,說明還是設備本身登錄卡頓���。
查看設備各槽位上送cpu報文情況�����,發(fā)現(xiàn)3槽位和4槽位都存在大量的IPv6 ND報文
===============debug rxtx softcar show 3===============
ID Type RcvPps Rcv_All DisPkt_All Pps Dyn Swi Hash ACLmax
45 IPV6_ND_PASS 781 46791425 0 600 S On SMAC 8
===============debug rxtx softcar show 4===============
ID Type RcvPps Rcv_All DisPkt_All Pps Dyn Swi Hash ACLmax
45 IPV6_ND_PASS 799 47387281 0 600 S On SMAC 8
查看設備配置信息���,發(fā)現(xiàn)用戶是使用了IPv6功能的,根據(jù)CPU收發(fā)包情況����,懷疑設備由于收到了過多的nd報文�����,導致登錄設備卡頓���。
通過在設備上打印上送cpu的報文,發(fā)現(xiàn)設備大量的ND報文�����,都是由同一個地址發(fā)送的�����,可以確認該地址發(fā)送的異常報文為攻擊報文����。
解決方法通過排查發(fā)送異常ND報文的mac地址,找到該pc�,將其關閉后,登錄設備正常�����,無卡頓��。
