HUAWEI交换机内置部分功能造成的不便

山东网通

最近，在企业的电源监控服务其上的杀毒App上，突然大量出现来自一个地址的数据包，源MAC地址是00e0-fc09-bcf9，所以，判断是有一台主机感染病毒或者认为的进行攻击，经过检查，这个地址应该是HUAWEI以太网交换机的地址，这不可能是有一台交换机发起的攻击，所以根据尝试判断是网络中存在环路，在汇聚交换机S9312上display loopback ，没有发现有环路存在，但是通过display mac-address 00e0-fc09-bcf9，发现该地址存在于两个下连口的多个vlan中，所以，登录到这两个端口所连接的接入层交换机，在交换机1（S3928设备）中，没有发现该地址，但是该交换机下联的一台S3528交换上面可以学习到该地址，不过是从上行口学习到的，说明这个地址不在本交换机，从交换机2（S3552交换机）上面可以学习到诸多的该地址，既有上联口的，也有多个下联口的，但是主要是两个端口，这两个端口接的都是S3528交换机，登陆到这两台交换机发现也都是从上联口学习到大量的该地址，并且每个vlan中都有，通过检查交换机的内存以及cpu占用率发现并不是很高，所以排除存在环路的可能，后来经过咨询HUAWEI400工程师，说是HUAWEI交换机loopback detection 的原因，建议在汇聚层不要打开loopback detection 功能，在接入层打开，关闭93交换机的loopback detection功能刷新mac 地址表项，发现没有了该地址，但是过几分钟后又发现了这个地址被学习到，所以HUAWEI工程师说的并不完全正确，通过在其下联的交换机上面关闭该功能后继续观测，发现这次是真的没有了，问题还没有完，到底是什么原因引起的？通过逐一在接入层交换机的各个端口上面打开loopback detection功能，最后发现，在介入层的上联口关闭该功能后既不存在该地址的情况，于是在93上面再打开loopback detection功能，也是未能够学习到该地址，所以结论就是HUAWEIS3528交换机的上行端口的loopback detection 功能不要打开，其他的端口的还是打开的为好，既然找到了问题，再去处理电源监控Server的问题，发现依旧有部分数据包（但是没有原来的这么多了）存在，仔细观察数据包的源mac是00e0-fc09-bcf9，但是目的mac 确是同一个地址01-80-C2-00-00-0A，见过查阅HUAWEI网站的相关资料，原来源mac00e0-fc09-bcf9目的mac 01-80-C2-00-00-0A是HUAWEI交换机NDP协议所使用，而电源监控Server直接连接到了一台3528的端口，display该端口的NDP状态，发现该协议是打开的，关闭，然后经过长时间的观察没有发现Server的防火墙出现相关的告警信息。
00e0-fc09-bcf9是HUAWEI交换机loopback detection、STP、NDP等功能的源mac，而01-80-C2-00-00-0A是HUAWEI交换机NDP协议的目的mac，01-80-C2-00-00-00是STP、loopback detection的目的mac，并不是存在什么所谓的环路或者是病毒。

[ 本帖最后由 山东网通 于 2011-1-1 08:31 编辑 ]