非常棘手的问题,网络经常丢包.

itsjoke
非常棘手的问题,网络经常丢包.

:oops: 网络问题,好难解决...
发这个希望大大们帮忙看看,如果发错了,还请见谅,小弟先谢谢了.
问题如下:
现在所管理的机器出现部份机器不定时丢包现象
表现为大概丢包1分钟或者2分钟,然后又会自动恢复.
掉包时在最上层路由器上show ip arp 对应IP 表现为存活时间(avg)较高
但并没有ARP做怪,如果使用命令clear arp-cache清理,让他自动获取,avg为0.
这时,该丢包的IP就会恢复了....
检查了很久,没有找到问题所在,在此向各位大大求助.再次感谢
网络结构图如下:
7600-1--------->3560---------->2950------------>server
7600-2--------->3560---------->2950------------>server

最上层路由有硬连接,为热备.

kevin.tan
查下ARP缓存中是否存在两个IP同一个MAC地址的

现像与中了ARP病毒有些类似

itsjoke
回复 #2 kevin.tan 的帖子

已经查过了,并没有ARP病毒.
感谢你的回复.

zhoutao0712
如果接入层交换机没有作PORT---MAC地址绑定的话,

建议密切监视交换机的PORT---MAC地址表(CISCO好象称其为CAM表),掉线的IP对应MAC地址是否存在正确的PORT上面。

itsjoke
回复 #4 zhoutao0712 的帖子

最上层路由绑定对应掉包的IP还是会有这个问题
不知道您所说的CAM怎么监视呢
谢谢.

zhoutao0712
回复 #5 itsjoke 的帖子

只在上层路由绑定ARP不一定能防止欺骗的。这个问题涉及到数据包在交换机中的转发机制。

所谓CAM表,就是管理交换机port和MAC地址对应关系的一张表啊。
交换机都有学习MAC地址功能,学习到的MAC地址都存在这张CAM表里面啊。
然后,交换机收到数据包的时候,会查询这张CAM表,才知道数据包送到那个port啊。

如果要攻击这张CAM表的话,只要伪造一个源MAC地址和被攻击主机MAC相同的数据包就行了,要是数据包的源MAC是网关MAC地址,
那么发向网关的数据包就。。。。
当然,这只是一个简短的原理说明,其实现机制比这个要复杂得多。

有些厂商也有一个ARL(地址解析逻辑)的概念,和这个CAM差不多了,都是决定交换机中数据包抓发的机制。

cisco设备我接触不多(贵啊),记得有个Port-security可以把每个PORT和MAC绑死。网上google了下:

[url]http://sky2008.blog.51cto.com/466292/96789/[/url]


对于一般PC,不用绑死(换机器要修改交换机配置,MAC地址不好记啊),只需要开启Port-security并且限制每个port可以学习到MAC地址数量为1就可以了。这样如果换机器,只要flush一下CAM表就好了(重起交换机也行)。
对于服务器,最好把MAC和PORT绑死。

itsjoke
回复 #6 zhoutao0712 的帖子

额...听你这样一说
大概知道这个CAM是咋回事儿了
我再看看,感谢之.

itsjoke
不过如果是ARP欺骗的话
一般都不会自动恢复呢
而且server上面获取到的也不是正确的网关地址
现在是server上面获得的网关MAC地址是正确的
自己断一分钟的样子自己恢复.
同一VLAN的机器,也就是内网,不会中断.
- -

emmoblin
如果要是arp欺骗,现象应该是这段时间完全不通才对。
你说的丢包是完全丢包还是部分丢包?

derek_yong
发一下你3560和2950的配置信息  vlan封装的协议是不是同一个协议 有没有针对二层做一些ACL 如果有的话可以尝试先删除(做个备份) 如果再不行就找个抓包工具从3560开始

itsjoke
回复 #9 emmoblin 的帖子

只是部份几个IP,时不时的丢包
而且丢包也没有规律性
在交换机的日志上面看见的都是说网卡重新插拨过了
但根本就没有人操作

itsjoke
回复 #10 derek_yong 的帖子

现在发不出来配置信息呢
封装的话都是使用的dot1q
一般都不在35与29上面做ACL
只有访问35与29有ACL控制