AR2220 V2R3C00版本ARP防御案例
2014/10/30 21:38:38点击:
问题描述
用户网络未区分VLAN,用户规模较大,共存在1万台PC和手机用户。每隔一段时间会出现用户无法ping通网关的问题。
告警信息
可以看到告警中存在大量IP地址冲突告警
处理过程
通过IP地址冲突告警判断网络中应该存在假冒ARP报文,应当进行ARP防护,于是启用如下命令:
#
arp anti-attack gateway-duplicate enable //丢弃仿冒网关ARP报文
arp gratuitous-arp send enable //下发免费ARP
arp gratuitous-arp send interval 50
#
interface Eth-Trunk1
arp validate source-mac destination-mac //ARP报文格式检查
#
arp anti-attack gateway-duplicate enable //丢弃仿冒网关ARP报文
arp gratuitous-arp send enable //下发免费ARP
arp gratuitous-arp send interval 50
#
interface Eth-Trunk1
arp validate source-mac destination-mac //ARP报文格式检查
根因
非产品质量问题
解决方案
进行ARP防御
建议与总结
开局时不要使用默认VLAN1,多划分VLAN减小广播域,同时做好ARP防御
- 上一篇:E1排错方法 2014/10/30
- 下一篇:S5700 V200R001C00SPC300 配置DHCP 2014/10/29