本文描述了一个关于Wi-Fi网络不稳定的问题,多个用户报告笔记本电脑的Wi-Fi连接频繁断开,同时手持扫描仪的Wi-Fi也受到影响。经过排除,确定问题并非由AP控制器或用户电脑引起,而是由于ARP请求过多导致网络拥堵。通过使用ARP工具检测到一个设备发送大量ARP请求,但未识别为ARP攻击。进一步定位到问题源头,发现是一个设置错误的联网温湿度计,其IP与网络不匹配,导致不断发送ARP请求。解决措施包括限制ARP请求次数和关闭相应端口,最终恢复正常网络连接。
故障现象:小部分笔记本用户反映wifi网络无法使用,断网后重新连接WIFI后过一段时间或者一会就会重新无法使用,同时手持扫描仪的WIFI也不稳定,型号差,丢包多。
问题分析:如果一个用户网络不稳定,那可能怀疑该用户电脑或者网线引起,但是多个用户反映,同时出现故障的用户不在同一楼层,台式机并没有该问题,那么判断wifi引起的,先查AP控制器,发现并没有异常,但是存在上线下线记录。
于是怀疑是不是ARP攻击引起的网络丢包。
工具链接:https://download.csdn.net/download/qq_24719313/14953010
打开ARP工具,结果开到如下信息:
MAC地址前几个相同,制造型号前几个相同,检测到10.201.100.110的ARP请求次数每秒1500条左右,但是ARP工具并未识别出是ARP攻击,显示正常。
既然怀疑ARP攻击了,那就在出现问题的电脑上装个ARP工具,但是效果不行,并未识别出有ARP攻击,还是容易断网,只能赶紧查到故障点。
通过核心交换机查到00-b0-d0-00-2a-13属于哪个端口(由于当时没截图,下图为例子,并不是实际MAC)
可以看到接口为GE1/0/10,那么查看对应该接口的二层交换机是哪台。
进入对应交换机后重新用display mac-address 00b0-d029-9c10 查看该MAC是哪个接口的。由于二层交换机用的是ACCESS模式,所以直接就能确定该端口。
定位到1/0/9口
开始 [DS26-GigabitEthernet1/0/9]arp rate-limit rate 100 drop 限制ARP次数,但是发现并不管用。
arp检测工具依旧显示每秒发送几千个请求。
没办法,那看来只能shutdown掉那个端口了。
把对应端口关闭后,发现没有再继续发送数据了。
确定问题点,马上排查那根线连接的设备。
发现是一个联网温湿度计,里面有一串固定IP和网关信息,因为这个温湿度计原先是在产线使用的,IP段和办公区的不同,而且这个二层交换机并没有这个IP的VLAN 导致一直无法找到目的地,不断发送请求。
以上内容均由H3C交换机演示。
故障原因:由于个别用户WIFI信号并不是特别好,所有ARP请求一次性太多了造成网络拥堵,此时AP控制器收不到连接信号,就误以为断线了,就在日志里面生成下线记录
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
