在IE-LAB学习网络
国内高级网络工程师培训基地
现网中如何快速处理8条ARP告警报文进行故障排除?现在就来学习吧!
01
ARP_136141201152512321hwEthernetARPSpeedLimitAlarm
1报警说明
ARP/4/ARP_SUPP_TRAP:OID[OID]超出配置的速率值如果net索引=[INTEGER],配置的值=[COUNTER],采样值=[COUNTER],速率类型=[OCTET],源IP地址=[IPADDR],目标IP地址=[IPADDR],VPN实例名称=[OCTET]
当ARP报文或ARPMiss消息的传输速率超过时,系统会生成此警报。可以通过arpspeed-limitsource-ip命令设置限速,系统默认限速为500。
2报警原因
原因一
配置N记录潜在攻击活动和发送警报的时间间隔、N+1秒内发送的ARP报文数量、配置的阈值以及前N秒内发送的平均ARP报文数量。最大限度。
原因2
配置记录和发送潜在攻击活动警报之间的时间间隔,并发送N+1秒内ARP未命中数的配置阈值以及前N秒内ARP未命中平均数的配置阈值。
3个加工步骤
1在“告警信息”中查看时间戳抑制类型。
oARP=>2。
oARPMiss=>4。
2使用displayarpanti-attackconfiguration命令查看ARP限速值。
3执行命令arpspeed-limitsource-ip[ip-address]MaximumMaximum,重新设置ARP时间戳抑制的最大值。该值应大于步骤2中看到的值。否则,该报警无法删除,但不能超过最大值。16384.检查报警是否恢复。
4收集警报信息和配置信息并联系您的技术支持代表。
5结束了。
02
ARP_136141201152512324hwEthernetARPThresholdExceedAlarm
1报警说明
ARP/4/ARP_THRESHOLDEXCEED_TRAP:OID[OID]ARP表项数量超过阈值。entPhysicalIndex=[INTEGER],槽位名称=[OCTET],阈值=[COUNTER],动态ARP条目数=[COUNTER],静态ARP条目数=[COUNTER]
当ARP表项数量超过阈值时,设备会产生告警。
2报警原因
设备学习到的ARP表项数量超过设定的阈值。
3个加工步骤
1使用displayarpstats命令查看设备的ARP表项统计信息。根据您的网络规划和业务部署,确定静态ARP表项较多还是动态ARP表项较多。
o大量动态ARP条目=>2。
o大量静态ARP条目=>3。
2使用displayarp命令查看哪个接口的ARP表项数量最多。对于ARP表项较多的接口,可以使用displayarpinterface命令查看指定接口下的ARP表项,了解自己需要哪些ARP表项。
ousers=gt;5需要ARP表条目。
o如果ARP表项不是您需要的,可以通过Resetarp命令手动清除部分ARP表项,保证业务不受影响。
3运行ShowCurrentConfiguration命令以验证配置的静态ARP条目是否符合您的需要。
ousers=gt;5需要静态ARP条目。
o用户不需要静态ARP条目。在不影响您的业务的情况下,可以执行undoarpstatic命令并指定参数删除指定的静态ARP表项,也可以执行Resetarpstatic命令手动清除所有表项。静态ARP表项=>4.
4执行命令displayarpstats,观察设备上的ARP表项总数是否持续异常增加。
oARP表项不再继续增长=>6。
oARP表项继续增长=>5。
5收集警报信息和配置信息并联系您的技术支持代表。
6结束。
03
ARP_136141201152512325hwEthernetARPThresholdResumeAlarm
1报警说明
ARP/4/ARP_THRESHOLDRESUME_TRAP:OID[OID]ARP条目计数恢复到阈值。entPhysicalIndex=[INTEGER],槽位名称=[OCTET],阈值=[COUNTER],动态ARP条目数=[COUNTER],静态ARP条目数=[COUNTER]
当ARP表项数量从阈值以上减少到阈值范围内时,上报明确的告警。
2报警原因
设备上的ARP表项数量从阈值以上减少到阈值以内。
3个加工步骤
1正常运行信息,无需处理。
04
ARP_136141201152512326hwEthernetARPIPConferenceEvent
1报警说明
ARP/4/ARP_IPCONFLICT_TRAP:OID[OID]ARP检测IP冲突。IP地址=[IPADDR]、本地接口=[OCTET]、本地MAC=[OCTET]、本地vlan=[INTEGER]、本地CEvlan=[INTEGER]、侦听接口=[OCTET]、侦听MAC=[OCTET]、入口vlan=[INTEGER]、入口CEvlan=[INTEGER]、IP冲突类型=[OCTET]
ARP检测到以太网上存在IP地址冲突。
2个可能的原因
原因1ARP报文的源IP地址与设备接口IP地址相同,但MAC地址不同。
原因2ARP报文的源IP地址与设备上已有的ARP表项的IP地址相同,但源MAC地址与该ARP表项的MAC地址不同。
原因3ARP报文的源IP地址为0000,目的IP地址与设备接口IP地址相同,但MAC地址不同。
3个加工步骤
1根据告警信息确定冲突的设备或用户。
o如果可以识别出冲突的设备或用户,请及时更正相关IP地址,消除冲突配置=>2。
o如果您无法确定冲突的设备或用户,请收集警报信息和配置信息并联系您的技术支持代表。
2已完成。
05
ARP_136141201152512329hwEthernetARPLearnStopAlarm
1报警说明
ARP/4/ARP_LEARNSTOP_TRAP:OID[OID]由于内存使用量已达到阈值,ARP学习已停止。槽索引=[INTEGER],阈值=[COUNTER]
当设备单板内存使用率达到指定阈值时,ARP学习停止。
2个可能的原因
当前设备指定单板内存使用率达到重启阈值-1,ARP学习停止。
3个加工步骤
1执行displaystatus命令查看单板内存使用情况。
2收集警报信息和配置信息并联系您的技术支持代表。
06
ARP_1361412011525123210hwEthernetARPLearnResumeAlarm
1报警说明
ARP/4/ARP_LEARNRESUME_TRAP:OID[OID]ARP学习已恢复,因为内存使用量已降至阈值以下。槽索引=[INTEGER],阈值=[COUNTER]
当设备板的内存使用量恢复到指定阈值以下时,ARP学习将恢复。
2个可能的原因
当当前设备上给定板的内存使用量达到板内存重新启动阈值-1,然后返回到板内存重新启动阈值-1以下时,ARP学习将恢复。
3个加工步骤
1正常运行信息,无需处理。
07
ARP_1361412011525123211hwEthernetARPRemoteBackupFailAlarm
1报警说明
ARP/4/ARP_NO_ACCORD_TRAP:OID[OID]远程ARP条目备份失败Mainifname=[OCTET]
远程备份ARP表项失败。
2个可能的原因
备份设备检测到ARP远程备份报文处理失败。例如,备份报文入队列失败。
3个加工步骤
1使用displaymessage-queue命令查看设备上消息队列的使用情况,判断ARP消息队列是否已满。
oARP消息队列已满=>3。
oARP消息队列未满=>2。
2使用displayarp命令查看设备的ARP表项信息,查看master和
一、内网环路检测方法?
。
你好。内网环路检测方法包括
1-Traceroute使用Traceroute命令检测内网是否存在环路。此命令跟踪数据包的路径并显示每一跳的IP地址。
2-Ping使用ping命令检测内部网络是否存在环路。此命令发送ICMP数据包并等待响应。如果响应时间超过某个阈值,则说明存在环路。
3-ARP检测使用ARP检测工具检测您的内部网络是否存在ARP欺骗攻击,以确定是否存在环路。
4-网络拓扑图使用网络拓扑图清楚地显示内网中的设备及其连接方式,以检查是否存在环路。
5-流量分析使用流量分析工具检测内网的数据流量,检查是否存在异常数据流量和传输路径。
对于arp超过阀值的相关话题,本篇文章对arp表满这样的内容已经进行了解,希望能帮助到诸位!
No Comment