某單位網速慢的處理分享
運網運營交付中心:吳騰宇
一、 問題現象
某用戶單位反饋網速過慢,訪問網頁經常打不開的現象,請求查找原因解決問題。
二、 處理過程
該問題由辦公終端病毒異常發包導致,建議解決方案如下:
1.將相應辦公終端隔離殺毒,從源頭上根除,清除終端上的區域網共享軟體,在接入交換機上封殺445,2425等埠。
2.為避免類似問題再次出現建議在接入交換機連接辦公終端的接口上增加相應的arp保護機制。
[Huawei]arp anti-attack rate-limit enable
[Huawei]arp anti-attack rate-limit 80 1
[Huawei]display arp anti-attack configuration arp-rate-limitARP rate-limit configuration:
----Global configuration:
arp anti-attack rate-limit enablearp
anti-attack rate-limit 80 1
三、 故障分析
使用辦公終端ping 網關或者伺服器,發現正常情況下,延時小,在10ms以內,偶爾延時增大到100ms以上,並存在丟包現象。連線客戶端,登陸交換機查看狀態、分析ping包:
a)、 客戶終端Ping網關 x.x.168.254,ping包1000個,丟包25個。
b)、 客戶終端Ping伺服器 x.x.168.10,ping包1000個,丟包28個。
c)、在辦公終端 ping 網關或者伺服器出現丟包的瞬間,發現S3700交換機的CPU 利用率非常高;進一步查看,發現是ARP報文的處理進程耗費CPU資源急劇上升。
查看交換設備信息,發現存在arp攻擊告警。針對告警出現的多個mac地址,分析報文,獲取報文10分鐘,發現這些個辦公終端在100ms之內,每個終端都發出了200個以上的arp請求報文。
經查,用戶辦公網的殺毒軟體自動更新時間全部都是同一時間。大量的客戶端同時更新病毒庫,可能會有部分客戶端在下班前升級不成功,當未成功升級天數超出策略限制閾值時,客戶會收到不滿足安全策略的告警信息。在策略未滿足的前提下,訪問是受限的。這也是導致客戶部分終端無法訪問某些網頁的原因。
客戶部分終端主機硬體配置陳舊;開啟多任務時,物理內存幾乎耗盡,虛擬內存使用近一半,CPU利用率達到60%以上,存在性能瓶頸,因此會出現訪問網絡資源慢的問題。
綜合以上分析,向客戶解釋如下:部分辦公終端中病毒(告知客戶這些終端的IP位址和MAC地址),導致這些辦公終端或是下一級的HUB,不定時的,在短的時間內(100ms內)發出數百個arp報文,導致接入交換機或核心交換機的CPU利用率瞬時升高,當CPU處理速度跟不上時,部分辦公終端出現網絡數據丟包現象,在用戶流量大,上傳下載頻繁的時間段尤其突出。
針對類似情況,可以建議客戶加強辦公終端的防病毒能力,避免病毒再次出現;爭取封掉短時間內大量發出ARP的埠。在條件允許的情況下,建議提升終端配置,定期清除系統垃圾,整理軟體,做好優化。