5700交换机ARP警报信息处理

重庆环联科技李翔

1. 问题描述

1.1涉及产品和版本

华为S5720交换机版本V200R003C00

1.2联网

某个办公室的5720作为核心交换机下的访问交换机连接到5 2700，网关都在5720上；

1.3故障现象

订阅用户发现他们被卡在Internet上，对网关地址执行ping操作会导致数据包丢失和延迟；

2个（可选）警报信息

出现大量以下警告消息:

DEFD / 4 / CPCAR_DROP_MPU（l）[37]: 到cpu的数据包速率超过了MPU上的CPCAR限制. （协议= arp请求，ExceededPacketCount = 07690722）

3处理过程

1. 检查是否有这样的警报. 最初怀疑是大量的arp-request数据包导致设备无法将正常ARP数据包发送到CPU，从而导致数据包丢失. 全部使用display cpu-defend statistics

显示CPU防御统计信息

插槽0上的统计信息:

--------------------------------------------------- ---------------------------------

数据包类型通过（数据包/字节）丢弃（数据包/字节）上次丢弃时间

--------------------------------------------------- ---------------------------------

arp-miss 0 0-

0 0

arp-reply 0 0-

0 0

arp-request 0 0-

0 0

dns 0 0-

0 0

eoam-3ah 0 0-

0 0

fib-hit 0 0-

0 0

ftp 0 0-

0 0

hw-tacacs 0 0-

......

我发现很多arp请求消息的丢弃（数据包/字节）. 如果再次使用它，发现丢弃的消息数量仍在增加；

使用display cpu-usage检查设备的CPU使用率，

<HUAWEI> display cpu-usage

CPU Usage Stat. Cycle: 60 (Second)                                              

CPU Usage            : 20% Max: 99%   

利用率不是很高；

怀疑客户的下行链路2700是由环路引起的华为交换机清除告警，咨询客户无法确认是否存在物理环路；使用显示界面简介

<HUAWEI> display interface brief

PHY: Physical                                                                   

InUti/OutUti: input utility/output utility                                      

Interface                   PHY   Protocol InUti OutUti   inErrors  outErrors   

GigabitEthernet0/0/1        up    up       0.06%   10%          0   8   

GigabitEthernet0/0/2        up    up        89%   10%          0   0   

我发现接口GigabitEthernet0 / 0/2上的流量达到89％，并立即检查接口上的状态信息: 显示接口gigabitethernet 0/0/2，发现接口下有大量广播报文. 接口，以便客户可以连接端口gigabitethernet 0 / 0/2拔出；

当客户端拔出端口时，其他端口对网关执行ping操作，并且不丢失数据包，设备恢复正常；随后，客户通知客户端0/0/2端口下的客户端中存在病毒，并且在对设备进行消毒之后不会发送警报. 恢复正常.

4个根本原因

端口下的终端设备中毒华为交换机清除告警，导致大量ARP报文发送出去，导致设备处理arp报文丢失，并导致下行用户在接入网关上丢失报文；

5个解决方案

拔下端口，然后清理终端病毒.

6条建议和结论

定期对终端进行消毒并保持良好的Internet习惯. 如果出现故障，请注意是否存在环路，并注意端口流量.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-145946-1.html