更新时间:2023-11-17 GMT+08:00
ALM-3276800100 全局arp-miss报文速率超过阈值
告警解释
SECE/4/ARPMISS_SIP_SPEEDLIMIT_ALARM: OID [OID] The arp-miss packet speed with source ip [OCTET] exceed the speed-limit value configed [INTEGER].
具有特定源IP的ARP Miss消息速率超过配置的告警阈值时,会发出告警。
4
告警属性
告警ID |
告警级别 |
告警类型 |
|---|---|---|
3276800100 |
提示 |
设备告警 |
告警参数
参数名称 |
参数含义 |
|---|---|
OID |
该告警所对应的MIB节点的OID号。 |
OCTET |
报文源IP。 |
INTEGER |
配置的告警阈值。 |
对系统的影响
如果产生了该告警,说明用户流量超过了配置的阈值,超过阈值的部分流量被设备丢弃,用户业务可能会时断时续。
可能原因
如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。当具有特定源IP的ARP Miss消息速率超过配置的告警阈值时,设备会产生告警。
处理步骤
- 执行命令reset cpu-defend statistics,清除上送CPU的ARP Miss消息统计计数。
- 等待一段时间(1分钟)后,执行命令display cpu-defend statistics all,查看这段时间内上送CPU的ARP Miss报文数量。查看丢弃的报文数量是否较大:
- 如果是,根据告警信息的IP地址,找到相应的攻击者,检查是否中毒。
- 如果是,建议杀毒,也可以配置黑名单或黑洞MAC对其报文进行丢弃处理。
- 如果不是,请执行步骤3。
- 如果不是,检查网络安全后,可以根据情况去屏蔽告警。
- 执行命令arp-miss speed-limit source-ip [ ip-address ] maximum 0,配置不根据源IP地址进行ARP Miss消息限速。
- 不指定ip-address参数时,所有源IP地址都不进行ARP Miss消息限速。如果某源IP地址产生大量的ARP Miss消息,可能会导致设备CPU占用率过高。
- 指定ip-address参数时,不根据该源IP地址进行ARP Miss消息限速,如果该源IP地址产生大量的ARP Miss消息,可能会导致设备CPU占用率过高。
- 执行命令info-center source SECE channel 4 log state off,配置不发送SECE告警信息。
- 如果是,根据告警信息的IP地址,找到相应的攻击者,检查是否中毒。
- 执行命令display arp anti-attack configuration arpmiss-speed-limit,查看ARP Miss源抑制配置信息。
- 执行命令arp-miss speed-limit source-ip [ ip-address ] maximum maximum,根据现网修改ARP Miss消息限速的限速值。
- 如果告警还是频繁产生,请收集告警信息并联系技术支持人员。
父主题: V200版本LSW设备告警
