租号玩代理申请
A-A+

帮助工业化工园区客户排查监控卡顿,崩溃和内网存在ARP欺骗的问题。

2024年04月17日 电脑网络 暂无评论 阅读 166 次

客户的项目已经运行了4年多了,一切正常,最近总点搬迁了,搬迁以后出现内网有ARP欺骗的问题,负责这个项目的同事找了好几波人来查原因也没找到原因。

由于我吹牛逼过火,其实我也不知道怎么处理,领导安排我和同事来现场处理这个问题。

先看一个组网图:

客户网络拓扑图

故障现象:

当总汇聚点光猫和客户侧交换机一连接起来,登录路由器查看,有arp欺骗告警,非常频繁,负责项目的同事找的人来给查看,几乎所有摄像头的mac地址都变成了arp欺骗的mac地址。

爱快路由器ARP欺骗检测

我用电脑接入交换机查看,发现这个ARP欺骗的MAC地址也一直在伪造客户交换机以及客户外网路由器的mac地址,也就是说,整个网络都是这样,客户侧电脑被arp欺骗以后,获取不到客户外网路由器的真实mac地址,所以外网也断了。

排查思路:

1.怀疑下面有二级路由器,经过跑遍了所有分点,没发现有路由器。

2.修改外网路由器的LAN口地址,也就是内网网关,客户说服务器上的网关是1.1,不能改,遂放弃。

3.我开始查询这个mac地址所属的厂家,查询到是某品牌的。

4.打电话给基站运维老师,让他查询一下这个ARP欺骗的MAC是不是OLT本身的MAC地址,老师查询了回答是。

5.寻求其他技术支持,最终在别的县区老师指导下知道了问题所在:

因为总汇聚点的光猫,没搬迁以前,在OLT1上,下面的摄像头都在OLT2上,现在总点光猫搬迁以后,也接入了OLT2上,这样总汇聚点和摄像头在同一个OLT2,这台OLT2为了内部互通做了ARP代理,所有摄像头传输流量要经过OLT2转换,所以全部变成OLT2的MAC了,总汇聚点的光猫接入客户侧交换机以后,OLT2的ARP代理广播包就进入了客户侧交换机,所以内网就瘫了。

解决方法:

1.关闭OLT2的ARP代理,这个方案不可行,因为还有很多其他业务要互访。

2.把总汇聚点光猫 更换 到其他OLT,比如换到OLT3上,这样OLT2上的摄像头和ARP广播包在经过BRAS或SW93传输的时候,ARP包会被过滤,到OLT3上会再次过滤这些广播包,这样一来就不会收到OLT2的ARP代理广播包,业务恢复正常。

本文仅为技术分析和排查故障使用,不得用于其他目的,站长原创。

京东空调大促销