用Logbuffer優(yōu)化網(wǎng)絡(luò)

2017-11-26 03:39:48

網(wǎng)絡(luò)安全和信息化 2017年7期

引言：通過命令display logbuffer可以查看Logbuffer信息，從而判斷網(wǎng)絡(luò)中存在的問題，雖然有些問題的存在并不一定能導(dǎo)致網(wǎng)絡(luò)故障的發(fā)生，但對網(wǎng)絡(luò)的正常運行還是存在著隱患。恰當處理這些問題，可以優(yōu)化網(wǎng)絡(luò)，保障網(wǎng)絡(luò)的健壯運行。

存在攻擊

信息1：“Arp表項欺騙攻擊。(源接口=XG0/0/5，源IP=219.223.117.49，源MAC=448a-5bea-23b7，外層VLAN=255，內(nèi)層 VLAN=0)”。

信息2：“發(fā)生了攻擊。(攻擊類型=Arp Miss 攻擊，攻擊源接口=G6/0/23，攻擊源地址=219.223.116.245，攻擊報文個數(shù)=33報文/每秒 )”。

信息3：“發(fā)生了攻擊。(攻擊類型=網(wǎng)關(guān)沖突攻擊，攻擊源接口=XG10/0/11，攻擊源MAC地址=b415-13fadc60，外層虛擬局域網(wǎng)編號=39)”。

分析：信息1說明MAC為“448a-5bea-23b7” 的計算機攻擊IP地址為“219.223.117.49”的計算機。信息2說明IP地址為219.223.116.245的計算機對網(wǎng)絡(luò)進行Arp Miss攻擊。信息3說明MAC地址為b415-13fa-dc60的計算機正在進行網(wǎng)關(guān)沖突攻擊。流或提高全局限速上限。

圖1 多重IP地址

處理：可通過命令“display arp|include Mac-Add”查看到該MAC地址對應(yīng)的IP地址，然后在IP地址表中查找到該IP對應(yīng)的用戶，對其計算機進行相應(yīng)的處理。

報文超速

信息 4：“ARP報文速率超過全局速率限制。(源MAC=4419-b64d-1a5c，源IP=172.16.20 2.11，源接口 =XG10/0/10”。

分析：這是一臺監(jiān)控攝像機的IP地址，經(jīng)查其配置中的“碼率上限”設(shè)置過大，每秒流量超過交換機中的全局速度限制。

處理：降低攝像機的碼

地址漂移

信息5：“MAC地址發(fā)生了漂移。（MacAdd=c81f-66fb-7ae3，vlanid=30，F(xiàn)ormerIfDescName=G6/0/38，CurrentIfDescName=Eth-Tru nk1 ，DeviceName=S7712-1）”。

分析：MacAdd=c81f-66fb-7ae3的計算機從該交換機的g0/0/38端口漂移到了“Eth-Trunk1”接口，而“Eth-Trunk1”接口為兩臺核心交換機的直連聚合接口。經(jīng)查，172.16.30.201是一臺監(jiān)控流媒體服務(wù)器的IP地址，其雙網(wǎng)卡分別連接到了兩臺核心交換機的G6/0/38接口，其兩塊網(wǎng)卡的模式都設(shè)置成了“primary”。

處理：其網(wǎng)卡分別設(shè)置為“primary” 和“Standby”模式即可。

網(wǎng)管軟件團體信息設(shè)置錯誤

信息6：“由于SNMP登陸失敗，源 IP鎖定。（源 IP＝219.223.105.21，VPN實例名＝）”；“SNMP登錄失敗。（地址＝ 219.223.105.21，次數(shù)＝3，原因＝the community was incorrect，VPN實例名＝）”。

分析：I P地址219.223.105.21是網(wǎng)管服務(wù)器地址，其登錄失敗的原因是community read和community write設(shè)置有誤。

處理：正確設(shè)置communityread和community write即可。例：

snmp-agent community read cipher ytgj@123

snmp-agent community write cipher ytgj@123

不匹配用戶綁定表

信息7：“不匹配用戶綁定表。(源MAC=yyyy-yyyyyyyy，源 IP=x.x.x.x，源接口=XGm/0/n”。

分析：出現(xiàn)“不匹配用戶綁定表”信息的原因很多，具體要根據(jù)源MAC和源IP的特點去判定。

原因1：IP地址被設(shè)置為“自動獲取”。IP地址段169.254.0.0/16為私有保留的地址段，當DHCP服務(wù)不存在或者其它原因而沒有獲取到有效IP地址時的臨時地址。

在采用靜態(tài)IP而沒有配置DHCP服務(wù)器的情況下，“源IP=169.254.x.x”說明該計算機的網(wǎng)絡(luò)配置被設(shè)置成了“自動獲取”。

原因2：多重IP地址設(shè)置導(dǎo)致不匹配問題。如果計算機設(shè)置了多個IP地址，如圖1所示，也會出現(xiàn)該信息。

原因3：IP地址人為亂修改。在全部使用靜態(tài)IP地址的局域網(wǎng)，如果人為設(shè)置成不是由網(wǎng)絡(luò)管理員綁定的IP地址，則會出現(xiàn)該信息。

原因4：有新的計算機想接入局域網(wǎng)。如果有新的計算機想接入局域網(wǎng)但沒有綁定，也會出現(xiàn)該信息。