AR2220 V2R3C00版本ARP防禦案例
2014/10/30 21:38:38點擊:
問題描述
用戶網絡未區(qū)分VLAN,用戶規模較大(dà),共存在1萬台PC和(hé)手機用戶。每隔一段時(shí)間(jiān)會(huì)出現用戶無法ping通(tōng)網關的問題。
告警信息
可(kě)以看到告警中存在大(dà)量IP地址沖突告警
處理(lǐ)過程
通(tōng)過IP地址沖突告警判斷網絡中應該存在假冒ARP報文,應當進行(xíng)ARP防護,于是啓用如下命令:
#
arp anti-attack gateway-duplicate enable //丢棄仿冒網關ARP報文
arp gratuitous-arp send enable //下發免費ARP
arp gratuitous-arp send interval 50
#
interface Eth-Trunk1
arp validate source-mac destination-mac //ARP報文格式檢查
#
arp anti-attack gateway-duplicate enable //丢棄仿冒網關ARP報文
arp gratuitous-arp send enable //下發免費ARP
arp gratuitous-arp send interval 50
#
interface Eth-Trunk1
arp validate source-mac destination-mac //ARP報文格式檢查
根因
非産品質量問題
解決方案
進行(xíng)ARP防禦
建議與總結
開(kāi)局時(shí)不要使用默認VLAN1,多(duō)劃分VLAN減小(xiǎo)廣播域,同時(shí)做(zuò)好ARP防禦
- 上(shàng)一篇:E1排錯方法 2014/10/30
- 下一篇:S5700 V200R001C00SPC300 配置DHCP 2014/10/29