用Logbuffer優化網絡

引言：通過命令display logbuffer可以查看Logbuffer信息，從而判斷網絡中存在的問題，雖然有些問題的存在并不一定能導致網絡故障的發生，但對網絡的正常運行還是存在著隱患。恰當處理這些問題，可以優化網絡，保障網絡的健壯運行。

存在攻擊

信 息1：“Arp表項欺騙攻 擊。(源 接口=XG0/0/5，源IP=219.223.117.49，源MAC=448a-5bea-23b7，外 層VLAN=255，內層 VLAN=0)”。

信息2：“發生了攻擊。(攻擊類型=Arp Miss 攻擊，攻擊源接口=G6/0/23，攻擊源地址=219.223.116.245，攻擊報文個數=33報文/每秒 )”。

信息3：“發生了攻擊。(攻擊類型=網關沖突攻擊，攻擊源接口=XG10/0/11，攻擊源MAC地址=b415-13fadc60，外層虛擬局域網編號=39)”。

分析：信息1說明MAC為“448a-5bea-23b7” 的計算機攻擊IP地址為“219.223.117.49”的計算機。信息2說明IP地址為219.223.116.245的計算機對網絡進行Arp Miss攻擊。信息3說明MAC地址為b415-13fa-dc60的計算機正在進行網關沖突攻擊。流或提高全局限速上限。

圖1 多重IP地址

處理：可通過命令“display arp|include Mac-Add”查看到該MAC地址對應的IP地址，然后在IP地址表中查找到該IP對應的用戶，對其計算機進行相應的處理。

報文超速

信息 4：“ARP報文速率超過全局速率限制。(源MAC=4419-b64d-1a5c，源IP=172.16.20 2.11，源接口 =XG10/0/10”。

分析：這是一臺監控攝像機的IP地址，經查其配置中的“碼率上限”設置過大，每秒流量超過交換機中的全局速度限制。

處理：降低攝像機的碼

地址漂移

信息5：“MAC地址發生了漂 移。（MacAdd=c81f-66fb-7ae3，vlanid=30，FormerIfDescName=G6/0/38，CurrentIfDescName=Eth-Tru nk1 ，DeviceName=S7712-1）”。

分析：MacAdd=c81f-66fb-7ae3的計算機從該交換機的g0/0/38端口漂移到了“Eth-Trunk1”接口，而“Eth-Trunk1”接口為兩臺核心交換機的直連聚合接口。經查，172.16.30.201是一臺監控流媒體服務器的IP地址，其雙網卡分別連接到了兩臺核心交換機的G6/0/38接口，其兩塊網卡的模式都設置成了“primary”。

處理：其網卡分別設置為“primary” 和“Standby”模式即可。

網管軟件團體信息設置錯誤

信息6：“由于SNMP登陸失敗，源 IP鎖 定。（源 IP＝219.223.105.21，VPN實例名＝ ）”；“SNMP登錄失敗。（地址＝ 219.223.105.21，次數＝3，原因＝the community was incorrect，VPN實例名＝ ）”。

分析：I P地 址219.223.105.21是網管服務器地址，其登錄失敗的原因是community read和community write設置有誤。

處理：正確設置communityread和community write即可。例：

snmp-agent community read cipher ytgj@123

snmp-agent community write cipher ytgj@123

不匹配用戶綁定表

信息7：“不匹配用戶綁定表。(源MAC=yyyy-yyyyyyyy，源 IP=x.x.x.x，源接口=XGm/0/n”。

分析：出現“不匹配用戶綁定表”信息的原因很多，具體要根據源MAC和源IP的特點去判定。

原因1：IP地址被設置為“自動獲取”。IP地址段169.254.0.0/16為私有保留的地址段，當DHCP服務不存在或者其它原因而沒有獲取到有效IP地址時的臨時地址。

在采用靜態IP而沒有配置DHCP服務器的情況下，“源IP=169.254.x.x”說明該計算機的網絡配置被設置成了“自動獲取”。

原因2：多重IP地址設置導致不匹配問題。如果計算機設置了多個IP地址，如圖1所示，也會出現該信息。

原因3：IP地址人為亂修改。在全部使用靜態IP地址的局域網，如果人為設置成不是由網絡管理員綁定的IP地址，則會出現該信息。

原因4：有新的計算機想接入局域網。如果有新的計算機想接入局域網但沒有綁定，也會出現該信息。