powered by Technology
RSS icon Email icon Bullet (black)

  • 还真遇到伪造MAC地址让交换机CAM表溢出的事情了

    今日处理某客户一个网络故障。某个节点总是间歇性故障,重启设备又好了。
    开始抓包发现有网络中有一半以上流量是目的地址为随机IP的445包。于是将发送源IP清理出来,断网隔离。
    没想到过了几个小时又出毛病了。3550交换机不转发流量,抓包看就只有交换机自身产生的STP,DTP,Loop Detect这些数据。
    这时候通过show mac-address-table发现某个端口下有大量伪造的MAC地址,当时就翻了有2000行,n屏都翻不完,放弃,估计CAM表是爆了。
    于是在端口下做port-security限制MAC数量,然后清空CAM表。交换机还是不转发流量,估计已经软件已经有问题了,重启好了。
    经过观察,故障解决了。
    经过了解,判断可能是一台服务器中毒了,可惜没有条件去服务器上确认病毒的名字和类型。
©2000-2009 phanx.com. All rights reserved.