动态ARP检测,引发上网断断续续pc软件 文章资讯 手机软件

您当前的位置→图文中心ARP文章ARP经验动态ARP检测,引发上网断断续续

动态ARP检测,引发上网断断续续


2011/4/23 9:47:59 编辑:admin 来源:本站整理 

以下的文章主要向大家讲述的是动态ARP检测, 引起上网断断续续, 为了协助各位归纳这方面故障的经验, 本文就是从实战角度出发, 来向各位还原一则由动态ARP检测功能引起的上网断断续续故障的排查过程, 真的希望下面的内容能起到抛砖引玉的作用!

局域网网络net使用起来很方便, 但管理起来却不是一件容易的事情, 单单用户不同的上网需求, 就能让网络net管理员忙得不亦乐乎, 更不用说频繁出现的各种网络net故障了。 这不, 上网断断续续故障现象十分常见, 引起该故障的因素也是复杂、多变, 该故障解决处理起来自然也容易多走弯路;`为了协助各位积累这方面故障的经验, 本文现就在就从实战角度出发, 来向各位还原一则由动态ARP检测功能引起的上网断断续续故障的排查过程, 真的希望下面的内容能起到抛砖引玉的作用!


组网环境

某单位大楼局域网规模适中, 位于中心机房的核心交换机采用的是H3C品牌的S8500交换机, 所有客户端系统system可以通过超5类网络net线缆连载到分布就在六个楼层中的接入交换机上, 接入交换机统一采用2组堆叠的H3C品牌S3050交换机, 这些交换机全部位于每个楼层的弱电间中, 所有接入交换机全部使用千兆多模光纤与局域网核心交换机相连。

为了抑制局域网中的网络net风暴现象, 网络net管理员特意按照工作部门的不同, 将局域网网络net划分成12个虚拟工作子网, 各个虚拟工作子网的网关全部布置设置就在局域网核心交换机上;此外, 为了提高网络net管理效率, 局域网中还特意架设了一台DHCP服务器, 局域网中的每一台客户端系统system都采用动态获取地址方式来进行上网, 平时局域网中的所有系统system都能快速、稳定stable地上网访问。

考虑到最近一段时间ARP病毒比较猖獗, 为了保证网络net能够始终运行, 网络net管理员就在各个接入交换机中分别启用了防ARP病毒功能。 为了配合单位大楼建设视频传输系统system的要求, 将位于各个楼层中办公室内的视频设备划分到同一个个虚拟工作子网中, 并调整了各个接入交换机的相关配置, 例如统一增加了两个虚拟工作子网。

故障现象

自从接入交换机被调整过之后, 局域网网络net运行会一直不断就不稳定stable, 许多用户纷纷打来电话反映情况, 说他们的客户端系统system托盘区域处经常弹出网络net连载受限的提示信息, 这个提示说明客户端系统system普遍存就在再也不能够从局域网DHCP服务器那里获得对的的上网参数。

即便有的客户端系统system能够勉强上网, 网络net连载也是断断续续, 使用ping命令测试线路连通性时, 发现网络net传输延迟现象非常的严重, 而且数据信息丢包率会一直不断很高;由于各个楼层的所有客户端系统system都存就在相同的故障现象, 笔者下意识以为局域网的核心交换机出现了类似缓存溢出这样的软错误, `于是尝试着重新启动了一下核心交换机后台系统system, 发现故障现象依然存就在。 后来, 笔者顺便重新启动了一台普通楼层接入交换机, 发现对应交换机下面的客户端系统system就在交换机就在刚才启动稳定stable的那一刻, 上网速度稍微有点正常, 可是没有多长时间, 相同的故障现象又出现了。

排查故障

既然重新启动楼层接入交换机, 可以能够暂时让上网速度恢复正常, 那问题看来与楼层接入交换机有关联系。 为了能够探清究竟, 笔者立即以系统system管理员身份登录进入其中一个楼层的接入交换机后台系统system, 使用“dis dia”命令对交换机的各个交换端口来进行扫描检查, 看看它们的数据信息流量状态是否正常, 结果果然发现局域网中有广播数据信息包存就在, 并且该广播数据信息包容量就在会一直不断变大, 难道是局域网网络net中存就在有网络net病毒或网络net环路现象?

为了排除这方面因素的干扰, 笔者立即进入流量异常的交换端口视图模式状态, 就在该状态下执行字符串命令“shutdown”, 将数据信息流量不正常的交换端口全部关闭, 可是这样的努力没有换来任意一个效果, 显然上网断断续续故障与网络net病毒或网络net环路没有任意一个关系。

后来, 笔者随意找了一台客户端系统system, 依次单击“现在开始”/“运行”命令, 就在弹出的系统system运行对话框中, 执行ping命令来测试对应客户端系统system所就在虚拟工作子网的网关地址, 发现数据信息丢包率达到了惊人的85%, 同一个时间数据信息传输延迟时间平均达到500ms左右。

可是, 当笔者尝试从局域网的核心交换机上, 使用ping命令测试Internet网络net中的某个站点时, 发现这项测试操作一切正常, 并且数据信息丢包率只只只有1%左右, 显然局域网与Internet网络net之间的连载是正常的, 而问题有可能出现就在核心交换机与故障客户端系统system之间。

为了能去寻找到具体的故障原因, 笔者就在局域网的核心交换机后台系统system, 使用ping命令测试了其中一台接入交换机的管理IP地址, 测试反馈回来的结果是再也不能够ping通, 会将不会是核心交换机与楼层接入交换机之间的物理连载存就在问题呢?为了排除物理线缆因素, 笔者特意找来了专业的光功率计, 来测试连载核心交换机与楼层接入交换机的多模光纤线路连通性, 结果发现光纤线路具有收发信号, 看来问题还是出就在楼层接入交换机上。

不得已, 笔者只好再次使用Console控制线缆直接连载到楼层接入交换机上, 使用“display interface”命令查看该交换机与核心交换机的级联端口状态, 发现级联端口的数据信息流量还是特别大, 同一个时间大量的广播数据信息包依然存就在;为了阻止广播数据信息包反应影响局域网的稳定stable运行, 笔者特意就在该接入交换机后台系统system, 启用了广播风暴抑制功能, 然而该功能的启用并没有带来任意一个改变。

之后, 笔者随手执行了“display cpu”字符串命令, 查看了故障交换机的系统system资源消耗情况, 结果让笔者很是吃惊, 该交换机的系统systemCPU资源消耗率竟然达到了惊人的100%, 而正常情况下交换机的系统systemCPU资源消耗率应该为25%左右, 这也难怪笔者再也不能够从局域网的核心交换机上ping通故障楼层接入交换机。

将故障楼层接入交换机与局域网核心交换机之间的物理连载断开之后, 笔者再次执行了“display cpu”字符串命令, 结果看到该交换机的CPU资源消耗率迅速下降到30%左右;可是重新连载之后, 故障楼层接入交换机的CPU资源消耗率很快又回到了100%, 这是什么原因呢?

经过仔细分析、对比, 笔者认为自从就在接入交换机中启用了防ARP病毒功能后, 局域网中才出现了上网不稳定stable的故障现象, 会将不会是这项功能就在暗中“捣乱”呢?`为了验证我自己的猜想是否对的, 笔者立即将接入交换机的动态ARP检测功能给关闭掉, 之后又就在对应交换机后台系统system, 使用“display cpu”命令查看了系统systemCPU资源消耗情况, 果然CPU使用率立即从原先的100%下降到30%左右, 对应交换机下面的客户端系统system上网速度也恢复了正常。

与此同一个时间, 另外几台暂时没有关联闭动态ARP检测功能的接入交换机, 其CPU使用率仍然会一直不断居高不下, 并且这些交换机下面的客户端系统system上网速度还是断断续续, 数据信息丢包现象仍然十分严重。 很显然, 局域网中的上网断断续续故障现象, 与动态ARP检测功能有关联。

原因解密

上网搜索了动态ARP检测功能的工作原理, 笔者发现该功能会全自动截取来自不信任网络net端口发送send过来的ARP数据信息请求, 同一个时间会全自动验证对应数据信息包的数据信息绑定行为是否合法, 看看它的地址绑定关系与DHCP绑定表中的是否一致, 如果一致的话就对ARP数据信息包来进行放行, 要是不一致的话就对ARP数据信息包来进行丢弃, 这项功能可以能够有效地预防中间人攻击, 也能防止局域网用户自行修改网卡物理地址和IP地址, 避免局域网中发生地址冲突现象。

经过进一步了解, 笔者发现该功能往往与DHCP嗅探功能配合使用, 并且该功能还存就在一个明显的缺陷, 那就是对ARP数据信息包的动态检测操作, 有请求需要不停消耗交换机系统system的CPU资源, 如果处理的ARP数据信息包流量特别大的话, 那么交换机系统system的CPU资源消耗率就一定会很高, 严重时就能出现CPU资源被100%消耗的现象。

而DHCP嗅探功能就在工作的时候, DHCP服务器会将分配配置出去的动态IP地址, 以及客户端系统system的网卡物理地址之间的对应关系, 全自动记录保存到一个地址绑定表中, 任意一个客户端系统system来进行网络net连载的时候, 该功能会全自动检查数据信息包的IP地址与网卡物理地址之间的对应关系, 看看`这种对应关系与地址绑定表中的记录是否一致, 如果一致的话就允许目标数据信息包可以通过, 否则将不允许数据信息包可以通过, 这种功能可以能够有效地防止局域网其他不合法DHCP服务器的功能。

当一台交换机系统system同一个时间启用了动态ARP检测功能和DHCP嗅探功能的时候, 既能有效防范非法DHCP服务器的干扰, 又能禁止上网用户随意改动客户端系统system的上网地址以及网卡物理地址来偷偷上网, 如此一来就能实现安全、稳定stable互相一起兼顾的效果;但让笔者感到非常纳闷的是, 这里的楼层交换机也是同一个时间启用了这两项功能, 为什么它们没有发挥应有的作用呢。

反而只有关联闭了动态ARP检测功能, 才能解决处理上网断断续续故障现象呢?经过与集成商的沟通、交流, 笔者终于去寻找到了问题的答案, 本来当交换机系统system同一个时间启用了上面两项功能, 如果每一台交换机上都划分有相同的虚拟工作子网时, 那么广播数据信息包就一定会就在接入交换机之间不停地被发送send或转发, 如此一来就一定会大量消耗交换机系统system的CPU资源, 最后会引起上网断断续续的故障现象。

故障解决处理

去寻找到故障原因之后, 笔者立即重新调整了各个楼层的接入交换机配置参数, 去掉连载视频传输系统system的VLAN, 并新增加了一台新交换机, 让所有使用视频传输系统system的客户端系统system单独使用新的交换机来进行上网, 如此一来既能保证本来系统system的上网稳定stable, 又能方便管理新的视频传输系统system。

总结该故障的排除过程, 笔者发现该故障的发生纯属巧合, 如果不就在楼层的接入交换机中同一个时间增加相同的VLAN, 或者这些楼层的接入交换机没有同一个时间启用动态ARP检测功能和DHCP嗅探功能的话, 那么这种网络net掉线的故障就将不会发生。

而以往我们我自己就在解决处理网络net掉线问题的时候, 经常使用的方法就是先观察交换机设备的信号灯状态是否正常, 如果不正常的话再尝试重新启动一下交换机后台系统system, 相信多数网络net故障就能被全自动解决处理了。 没有想到, 这一次故障的解决处理费了这么大麻烦!

相关文章
  • upupoo使用动态壁纸的方法?upupoo设置动态壁纸的方法
  • 王者荣耀微信好友动态怎么关 王者荣耀微信好友动态设置不显示方法
  • 《阴阳师手游》鸩觉醒图鉴及技能动态图介绍
  • GIF动态图怎么制作 简单GIF动图教程
  • lumyer怎么用?酷炫lumyer动态照片如何制作
  • 如何简单方便地创建GIF动画?Gif Tools软件制作GIF动态图片教程详解
  • Bootstrap jquery.twbsPagination.js动态页码分页实例代码
  • CentOS 7实现DNS+DHCP动态更新详解
  • 发表评论
    阅读排行
    网站帮助 - 广告合作 - 下载声明 - 网站地图