一客户现场使用成都H3C S7500E交换机做为核心设备,在使用过程中突然出来登录设备卡顿,ping设备延迟大,平均延迟100多毫秒。 telnet登陆设备时很卡顿,输入用户名的过程中,敲完一个字符需要隔几秒才能显示出来,输完密码敲回车后, 大概需要30秒左右的等待才能显示出,让客户使用网线直接使用主控的管理口连接一台PC来telnet登陆也是有这种现象 。telnet认证过程是使用hwtacas AAA服务器进行认证授权计费的。
查看设备cpu使用率情况如下,可以看出当前设备的CPU使用率并不高
===============display cpu===============
Slot 0 CPU 0 CPU usage:
18% in last 5 seconds
13% in last 1 minute
13% in last 5 minutes
Slot 1 CPU 0 CPU usage:
14% in last 5 seconds
13% in last 1 minute
13% in last 5 minutes
Slot 2 CPU 0 CPU usage:
15% in last 5 seconds
15% in last 1 minute
15% in last 5 minutes
Slot 3 CPU 0 CPU usage:
18% in last 5 seconds
18% in last 1 minute
18% in last 5 minutes
Slot 4 CPU 0 CPU usage:
18% in last 5 seconds
18% in last 1 minute
18% in last 5 minutes
用户使用主控板管理口登录设备,也存在卡顿的情况。
将用户的认证授权计费功能修改为本地认证计费,确认是否为AAA服务器与设备交互慢,导致设备登录卡顿。修改为本地认证后,用户登录的卡顿现象和之前没有区别,说明还是设备本身登录卡顿。
查看设备各槽位上送cpu报文情况,发现3槽位和4槽位都存在大量的IPv6 ND报文
===============debug rxtx softcar show 3===============
ID Type RcvPps Rcv_All DisPkt_All Pps Dyn Swi Hash ACLmax
45 IPV6_ND_PASS 781 46791425 0 600 S On SMAC 8
===============debug rxtx softcar show 4===============
ID Type RcvPps Rcv_All DisPkt_All Pps Dyn Swi Hash ACLmax
45 IPV6_ND_PASS 799 47387281 0 600 S On SMAC 8
查看设备配置信息,发现用户是使用了IPv6功能的,根据CPU收发包情况,怀疑设备由于收到了过多的nd报文,导致登录设备卡顿。
通过在设备上打印上送cpu的报文,发现设备大量的ND报文,都是由同一个地址发送的,可以确认该地址发送的异常报文为攻击报文。
解决方法通过排查发送异常ND报文的mac地址,找到该pc,将其关闭后,登录设备正常,无卡顿。