通信人家园

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

  中校

注册:2006-6-101

爱心徽章,2011年为家园助学活动奉献爱心纪念徽章

跳转到指定楼层
1#
发表于 2010-12-30 19:14:53 |只看该作者 |倒序浏览
最近,在公司的电源监控服务其上的杀毒软件上,突然大量出现来自一个地址的数据包,源MAC地址是00e0-fc09-bcf9,所以,判断是有一台主机感染病毒或者认为的进行攻击,经过检查,这个地址应该是华为以太网交换机的地址,这不可能是有一台交换机发起的攻击,所以根据尝试判断是网络中存在环路,在汇聚交换机S9312上display loopback ,没有发现有环路存在,但是通过display mac-address 00e0-fc09-bcf9,发现该地址存在于两个下连口的多个vlan中,所以,登录到这两个端口所连接的接入层交换机,在交换机1(S3928设备)中,没有发现该地址,但是该交换机下联的一台S3528交换上面可以学习到该地址,不过是从上行口学习到的,说明这个地址不在本交换机,从交换机2(S3552交换机)上面可以学习到诸多的该地址,既有上联口的,也有多个下联口的,但是主要是两个端口,这两个端口接的都是S3528交换机,登陆到这两台交换机发现也都是从上联口学习到大量的该地址,并且每个vlan中都有,通过检查交换机的内存以及cpu占用率发现并不是很高,所以排除存在环路的可能,后来经过咨询华为400工程师,说是华为交换机loopback detection 的原因,建议在汇聚层不要打开loopback detection 功能,在接入层打开,关闭93交换机的loopback detection功能刷新mac 地址表项,发现没有了该地址,但是过几分钟后又发现了这个地址被学习到,所以华为工程师说的并不完全正确,通过在其下联的交换机上面关闭该功能后继续观测,发现这次是真的没有了,问题还没有完,到底是什么原因引起的?通过逐一在接入层交换机的各个端口上面打开loopback detection功能,最后发现,在介入层的上联口关闭该功能后既不存在该地址的情况,于是在93上面再打开loopback detection功能,也是未能够学习到该地址,所以结论就是华为S3528交换机的上行端口的loopback detection 功能不要打开,其他的端口的还是打开的为好,既然找到了问题,再去处理电源监控Server的问题,发现依旧有部分数据包(但是没有原来的这么多了)存在,仔细观察数据包的源mac是00e0-fc09-bcf9,但是目的mac 确是同一个地址01-80-C2-00-00-0A,见过查阅华为网站的相关资料,原来源mac00e0-fc09-bcf9目的mac 01-80-C2-00-00-0A是华为交换机NDP协议所使用,而电源监控Server直接连接到了一台3528的端口,display该端口的NDP状态,发现该协议是打开的,关闭,然后经过长时间的观察没有发现Server的防火墙出现相关的告警信息。
00e0-fc09-bcf9是华为交换机loopback detection、STP、NDP等功能的源mac,而01-80-C2-00-00-0A是华为交换机NDP协议的目的mac,01-80-C2-00-00-00是STP、loopback detection的目的mac,并不是存在什么所谓的环路或者是病毒。

[ 本帖最后由 山东网通 于 2011-1-1 08:31 编辑 ]

举报本楼

本帖有 2 个回帖,您需要登录后才能浏览 登录 | 注册
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系我们 |网站地图  

GMT+8, 2024-11-15 15:54 , Processed in 0.126802 second(s), 16 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部