总公司路由排错？

------------------------------------ ==

在交换机和路由器中, 要清除 设备上的 某些功能 配置的命令:

是 clear,

但是 模式是在 特权模式下: sw# clear nfpp

-------------------------------------==

mac地址供48bit, 其中一半即24位是厂商的mac地址编号, 即6位H16进制数.

如锐捷的mac地址编号是:

1414.4b

在cmd中输入help显示帮助， 并不能完全显示所有的 可用的命令，所以， 不要以为这个里面没有的命令， 就不能使用。

实际上， 在 Windows/System32/....中还有很多没有被help显示的命令

ping 也能显示路由跟踪：

-n 包的个数

-l 包的长度

-r：相当于 -route， 表示跟踪路由， 最大数为 9

----------------------------------- ==

对于两张网卡：

在默认状态下，没有修过连接名称的情况下：

连接图标的排序是按 连接的名字先后排列的...

在主板上集成显卡的名字是“ 本地连接”

在pci上的扩展显卡的名字是“本地连接2"

但是这一切都是可以修过的！

NFPP: network foundation protection policy: 网络基础性保护策略.

主要是应对一些DOS攻击等...

sw2-1#May 21 17:32:12: %NFPP_ARP_GUARD-4-DOS_DETECTED: Host<IP=172.16.1.101,MAC=N/A,port=Fa0/5,VLAN=1> was detected.(2016-5-21 17:32:12)

May 21 17:32:42: %NFPP_ARP_GUARD-4-DOS_DETECTED: Host<IP=N/A,MAC=c03f.d53d.34b7,port=Fa0/5,VLAN=1> was detected.(2016-5-21 17:32:12)

May 21 17:33:12: %NFPP_ARP_GUARD-4-SCAN: Host<IP=172.16.1.101,MAC=c03f.d53d.34b7,port=Fa0/5,VLAN=1> was detected.(2016-5-21 17:32:17)

May 21 17:34:46: %NFPP_ARP_GUARD-4-SCAN: Host<IP=172.16.1.101,MAC=c03f.d53d.34b7,port=Fa0/5,VLAN=1> was detected.(2016-5-21 17:34:46)

May 21 17:35:16: %NFPP_ARP_GUARD-4-DOS_DETECTED: Host<IP=172.16.1.101,MAC=N/A,port=Fa0/5,VLAN=1> was detected.(2016-5-21 17:34:46)

May 21 17:35:46: %NFPP_ARP_GUARD-4-DOS_DETECTED: Host<IP=N/A,MAC=c03f.d53d.34b7,port=Fa0/5,VLAN=1> was detected.(2016-5-21 17:34:46)

::::::::::

3）*Dec 26 13:55:10:%NFPP_ARP_GUARD-4-DOS_DETECTED: Host<IP=N/A,MAC=0000.0000.0004,port=Gi4/1,VLAN=1> was detected.(2012-12-26 13:43:04)

a、设备检测到有arp攻击的事件的日志记录，基于per-src-mac的攻击水线达到告警值，设备记录了该用户的MAC，端口，vlan信息。

b、 这个信息也只是作为提醒，不会做硬件隔离，但是超过扫描阀值的部分报文会被设备丢弃，已保护cpu。

c、如果检测的信息包含的都是合法的用户，并且经过管理员确认后确认不存在攻击可能性的话，那么需要考虑是否是大用户数的情况，或者是否流量比较大，此时可能需要考虑调整arp-guard里面的各项参数到合理的值。

d、show nfpp arp-guard scan/hosts命令来查看具体的超告警水线，超攻击水线的用户记录。

---------------------------------------------------==

show nfpp 可以查看三种被guard isolated 隔离的主机/扫描等信息:

show nfpp arp-guard hosts/scan/..

show nfpp ip-guard hosts/scan/summ

show nfpp icmp-guard hosts/scan/...

----------------------------------------------------==

交换机的console口一直弹出NFPP模块的告警日志，例如

*Dec 26 13:55:10:%NFPP_ARP_GUARD-4-DOS_DETECTED: Host<IP=N/A,MAC=0000.0000.0004,port=Gi4/1,VLAN=1> was detected.(2012-12-26 13:43:04)

通过关闭对应的arp-guard，ip-guard等功能，发现还是持续打印这个log

nfpp

no arp-guard enable

no ip-guard enable

分析：

a、NFPP的日志缓存区的大小默认是256条，每个事件产生的log都会先存在这个缓存区，然后由打印线程每隔interval的时间从里面取number个日志消息打印

出来，如果某个时间nfpp的事件集中发生，产生很多日志，那么打印调度比较缓慢（或者是管理员配置的策略导致），来不及打的日志都暂存在buffer里，这样就会造成

打印的时间比nfpp事件的时间滞后。

b、注意观察就会发现每条NFPP日志最前头有一个时间戳（*Dec 26 13:55:10:），是log打印的时间，日志信息最后括号里面还有一个时间就是该nfpp事件发生的时间(2012-12-26 13:43:04)

两者的时间有时候不一致，就是a中分析的情况。

c、当把nfpp功能关闭的时候，交换机不会产生新的检测事件了，但是留在nfpp log buffer里面的信息还没打印完，系统会继续打印，所以就会给管理员造成

关闭nfpp功能不生效的错觉，实际配置没有问题。

d、可以通过 在特权模式下 : clear nfpp log命令将缓冲区清空，就不会再打印此类log了。