ALM-303046918 当接口收到ARP报文的速率超过ARP时间戳抑制设定的速率,发送告警信息
告警解释
ARP/4/ARP_SUPP_TRAP:OID [OID] Exceed the speed limit value configured. (Ifnet index=[INTEGER], Configured value=[COUNTER], Sampling value=[COUNTER], Speed-limit type=[OCTET],Source Ip address=[IPADDR], Destination Ip address=[IPADDR]).
ARP报文或ARP Miss消息的发送速率超出限制时,系统会产生此告警。
ARP报文或ARP Miss消息的发送速率小于限制时,系统会恢复此告警。
可以通过arp speed-limit命令设置速率上限,其中系统默认速率上限为5个/秒。
告警属性
|
告警ID |
告警级别 |
告警类型 |
|---|---|---|
|
303046918 |
提示 |
处理出错告警 |
告警参数
|
参数名称 |
参数含义 |
|---|---|
|
OID |
告警索引。 |
|
Ifnet index |
接口索引。 |
|
Configured value |
配置值。 |
|
Sampling value |
采样值。 |
|
Speed-limit type |
时间戳抑制类型, ARP|ARP MISS。 |
|
Source Ip address |
源IP地址。 |
|
Destination Ip address |
目的IP地址。 |
对系统的影响
查看告警中时间戳抑制类型。
如果是ARP被抑制,说明有部分正常ARP报文被丢弃,由此可能导致流量转发不通。
如果是ARP Miss消息被抑制,说明有部分产品上报的ARP Miss消息被丢弃,由此会导致ARP请求报文无法触发,最终同样导致流量转发不通。
如果该告警很快就恢复了,告警对系统后续工作没有任何影响,系统将恢复正常工作。
如果该告警长时间没有恢复,将影响整个系统的业务处理能力。
可能原因
原因1:配置对潜在的攻击行为写日志和发送告警时间间隔为N,在第N+1s时间内上送ARP报文数>配置的阈值并且前N秒上送ARP报文平均数>配置的阈值。
原因2:配置对潜在的攻击行为写日志和发送告警时间间隔为N,在第N+1s时间内上送ARP MISS数>配置的阈值并且前N秒上送ARP MISS平均数>配置的阈值。
处理步骤
- 查看告警信息中时间戳抑制类型。
- ARP=>2。
- ARP Miss=>4。
- 执行命令display arp anti-attack configuration查看ARP速率限制值。
- 执行命令arp speed-limit source-ip [ ip-address ]maximum maximum,重新设定ARP时间戳抑制的最大值,该值必须大于第2步查看到的值,否则无法解除告警,但最大不能超过32768。查看告警是否恢复。
- Y=>7。
- N=>6。
- 执行命令display arp anti-attack configuration查看ARP-Miss速率限制值。
- 执行命令arp-miss speed-limit [ ip-address ]source-ip maximum maximum,重新设定ARP-Miss时间戳抑制的最大值,该值必须大于第4步查看到的值,否则无法解除告警,但最大不能超过32768。查看告警是否恢复。
- Y=>7。
- N=>6。
- 请联系技术支持人员。
- 结束。
参考信息
无
