核心和樓層交換機(jī)都是傻瓜型的��,不能配置��。網(wǎng)關(guān)在AR路由器上����,用戶均通過傻瓜路由器接入�,傻瓜路由器分為兩個(gè)網(wǎng)段��,分別為x.x.1.0/16和x.x.3.0/16
AR2240 3網(wǎng)段有時(shí)不能正常訪問外網(wǎng)
查看cpu-defend��,發(fā)現(xiàn)有丟包
查看trapbuffer���,發(fā)現(xiàn)有ARP沖突
xxxx-xxxx-b688處理這種問題的較好方法就是根據(jù)沖突的mac地址找到設(shè)備,當(dāng)然這個(gè)mac也可能是偽造的
但是現(xiàn)網(wǎng)并沒有找到這個(gè)mac是哪臺(tái)設(shè)備
當(dāng)然我們可以采用第二種方案
在AR上 禁止掉這個(gè)MAC
如下配置方法
[Huawei]acl number 4444
[Huawei-acl-L2-4444]rule 5 deny l2-protocol arp
source-mac xxxx-xxxx-b688
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter
inbound acl 4000
根因
ip 沖突導(dǎo)致網(wǎng)絡(luò)異常
解決方案
在AR路由器上把這個(gè)異常mac通過acl 過濾掉
配置方法如下:
[Huawei]acl number 4444
[Huawei-acl-L2-4444]rule 5 deny l2-protocol arp
source-mac xxxx-xxxx-b688
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter
inbound acl 4000
測(cè)試網(wǎng)絡(luò)恢復(fù)正常
建議與總結(jié)
現(xiàn)網(wǎng)中我們經(jīng)常會(huì)遇到這種攻擊行為���,但是客戶并不一定能找的到攻擊的設(shè)備
然后我們?cè)赼r上將其過濾掉��,也是一種解決問題的方法
