[转载]IP_VFR-4-FRAG_TABLE_OVERFLOW【cisco设备报
标签: 转载 | 分类: IT·技术·网络 |
问题描述:
05-23-2012 21:36:16 Local7.Warning 58.25x.x.x 52: *May 23 21:30:34: %IP_VFR-4-FRAG_TABLE_OVERFLOW: GigabitEthernet0/0: the fragment table has reached its maximum threshold 16
IP_VFR-4-FRAG_TABLE_OVERFLOW
IP虚拟分片重组
为了避免每个业务模块(如:IPSec、NAT和防火墙)单独处理后片先到(报文分片后)这种情况而导致复杂度过高,设备需要收到IP报文后就对分片报文进行虚拟分片重组。IP虚拟分片重组功能可以对分片报文进行检验、排序和缓存,保证后续业务模块处理的都是顺序正确的分片报文。
同时,IP虚拟分片重组功能还可以对下面几种分片攻击进行检测。如果检测到分片攻击,则设备会丢弃收到的分片报文,从而提高了设备的安全性。
问题:
*Nov 15 18:03:26.431: %IP_VFR-4-FRAG_TABLE_OVERFLOW: FastEthernet0/0: the fragment table has reached its maximum threshold 16
------------------------
官方提示:
Recommended Action: Increase the maximum number of datagrams that can be reassembled
by entering the ip virtual-reassembly max-reassemblies number command, with number
being the maximum number of datagrams that can be reassembled at any one time.
--------------------------
具体操作:
进入端口模式下:
inter gi0/0
virtual-reassembly in max-reassemblies 1024
ip virtual-reassembly out max-reassemblies 1024
碎片攻击会影响到路由器的性能。
经查,是受到了网络碎片攻击。采取以下措施,效果明显:
1. 在端口提高包重组能力:
int f0
ip virtual-reassembly max-reassemblies 1024
2. 在端口加acl拦截攻击包:
int f0
ip access-group 120 in
ip access-group 120 out
access-list 120
deny ip any any fragments
permit ip any any
从此cpu利用率恢复正常,网速也得到恢复。
查看cpu:
show processes cpu extended
查看内存:
show processes memory
