交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
安全
大数据安全平台
下一代防火墙
安全网关
检测管理安全
安全服务
安全云
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
1)DAI功能和NFPP中的ARP-Guard功能同时启用的情况下,可能导致从网关发出的ARP报文被NFPP识别为攻击并限速,导致用户端ARP交互异常。
2)DAI功能开启的情况下,所有ARP报文都需要送CPU处理。当存在多个用户端同时向网关发起ARP请求的场景时,网关回应的ARP报文从上联口进入后,也会被重定向到CPU由DAI软件模块处理,但其需要经过NFPP的预过滤。
3)ARP-Guard的限速标准为4pps/mac,由于网关发出的ARP报文其源mac字段都相同,在1S内很容易超过4个的限速标准,导致网关回应用户的超速部分ARP报文被丢弃。
解决办法:
a、调整上联口的ARP-guard限速和攻击检测阈值,请根据网络中实际ARP报文交互规模确定,建议可取值为端口下的实际带机用户数。
b、关闭上联口的ARP-guard检测功能,进入上联口配置 no nfpp arp-guard enable