客户的项目已经运行了4年多了,一切正常,最近总部搬迁,搬迁以后出现内网有ARP欺骗的问题,负责这个项目的同事找了好几波人来查原因也没找到原因。由于我吹牛逼过火,其实我也不知道怎么处理,领导安排我和同事来现场处理这个问题,先看一个组网图:

20240713153150.jpg

  • 故障现象

当总汇聚点光猫和客户侧交换机一连接起来,登录路由器查看,有arp欺骗告警,非常频繁,负责项目的同事找的人来给查看,几乎所有摄像头的mac地址都变成了arp欺骗的mac地址。

20240713153319.jpg

我用电脑接入交换机查看,发现这个ARP欺骗的MAC地址也一直在伪造客户交换机以及客户外网路由器的mac地址,也就是说,整个网络都是这样,客户侧电脑被arp欺骗以后,获取不到客户外网路由器的真实mac地址,所以外网也断了。

  • 排查思路

1,怀疑下面有二级路由器,经过跑遍了所有分点,没发现有路由器。

2,修改外网路由器的LAN口地址,也就是内网网关,客户说服务器上的网关是1.1,不能改,遂放弃。

3,我开始查询这个mac地址所属的厂家,查询到是某品牌的。

4,打电话给基站运维老师,让他查询一下这个ARP欺骗的MAC是不是OLT本身的MAC地址,老师查询了回答是。

5.寻求其他技术支持,最终在别的县区老师指导下知道了问题所在:

因为总汇聚点的光猫,没搬迁以前,在OLT1上,下面的摄像头都在OLT2上,现在总点光猫搬迁以后,也接入了OLT2上,这样总汇聚点和摄像头在同一个OLT2,这台OLT2为了内部互通做了ARP代理,所有摄像头传输流量要经过OLT2转换,所以全部变成OLT2的MAC了,总汇聚点的光猫接入客户侧交换机以后,OLT2的ARP代理广播包就进入了客户侧交换机,所以内网就瘫了。

  • 解决方法

1,关闭OLT2的ARP代理,这个方案不可行,因为还有很多其他业务要互访。

2,把总汇聚点光猫 更换 到其他OLT,比如换到OLT3上,这样OLT2上的摄像头和ARP广播包在经过BRAS或SW93传输的时候,ARP包会被过滤,到OLT3上会再次过滤这些广播包,这样一来就不会收到OLT2的ARP代理广播包,业务恢复正常。

本文转自博客 落英缤纷