引言：通过命令display logbuffer可以查看Logbuffer信息，从而判断网络中存在的问题，虽然有些问题的存在并不一定能导致网络故障的发生，但对网络的正常运行还是存在着隐患。恰当处理这些问题，可以优化网络，保障网络的健壮运行。

存在攻击

信 息1：“Arp表项欺骗攻 击。(源 接口=XG0/0/5，源IP=219.223.117.49，源MAC=448a-5bea-23b7，外 层VLAN=255，内层 VLAN=0)”。

信息2：“发生了攻击。(攻击类型=Arp Miss 攻击，攻击源接口=G6/0/23，攻击源地址=219.223.116.245，攻击报文个数=33报文/每秒 )”。

信息3：“发生了攻击。(攻击类型=网关冲突攻击，攻击源接口=XG10/0/11，攻击源MAC地址=b415-13fadc60，外层虚拟局域网编号=39)”。

分析：信息1说明MAC为“448a-5bea-23b7” 的计算机攻击IP地址为“219.223.117.49”的计算机。信息2说明IP地址为219.223.116.245的计算机对网络进行Arp Miss攻击。信息3说明MAC地址为b415-13fa-dc60的计算机正在进行网关冲突攻击。流或提高全局限速上限。

图1 多重IP地址

处理：可通过命令“display arp|include Mac-Add”查看到该MAC地址对应的IP地址，然后在IP地址表中查找到该IP对应的用户，对其计算机进行相应的处理。

报文超速

信息 4：“ARP报文速率超过全局速率限制。(源MAC=4419-b64d-1a5c，源IP=172.16.20 2.11，源接口 =XG10/0/10”。

分析：这是一台监控摄像机的IP地址，经查其配置中的“码率上限”设置过大，每秒流量超过交换机中的全局速度限制。

处理：降低摄像机的码

地址漂移

信息5：“MAC地址发生了漂 移。（MacAdd=c81f-66fb-7ae3，vlanid=30，FormerIfDescName=G6/0/38，CurrentIfDescName=Eth-Tru nk1 ，DeviceName=S7712-1）”。

分析：MacAdd=c81f-66fb-7ae3的计算机从该交换机的g0/0/38端口漂移到了“Eth-Trunk1”接口，而“Eth-Trunk1”接口为两台核心交换机的直连聚合接口。经查，172.16.30.201是一台监控流媒体服务器的IP地址，其双网卡分别连接到了两台核心交换机的G6/0/38接口，其两块网卡的模式都设置成了“primary”。

处理：其网卡分别设置为“primary” 和“Standby”模式即可。

网管软件团体信息设置错误

信息6：“由于SNMP登陆失败，源 IP锁 定。（源 IP＝219.223.105.21，VPN实例名＝ ）”；“SNMP登录失败。（地址＝ 219.223.105.21，次数＝3，原因＝the community was incorrect，VPN实例名＝ ）”。

分析：I P地 址219.223.105.21是网管服务器地址，其登录失败的原因是community read和community write设置有误。

处理：正确设置communityread和community write即可。例：

snmp-agent community read cipher ytgj@123

snmp-agent community write cipher ytgj@123

不匹配用户绑定表

信息7：“不匹配用户绑定表。(源MAC=yyyy-yyyyyyyy，源 IP=x.x.x.x，源接口=XGm/0/n”。

分析：出现“不匹配用户绑定表”信息的原因很多，具体要根据源MAC和源IP的特点去判定。

原因1：IP地址被设置为“自动获取”。IP地址段169.254.0.0/16为私有保留的地址段，当DHCP服务不存在或者其它原因而没有获取到有效IP地址时的临时地址。

在采用静态IP而没有配置DHCP服务器的情况下，“源IP=169.254.x.x”说明该计算机的网络配置被设置成了“自动获取”。

原因2：多重IP地址设置导致不匹配问题。如果计算机设置了多个IP地址，如图1所示，也会出现该信息。

原因3：IP地址人为乱修改。在全部使用静态IP地址的局域网，如果人为设置成不是由网络管理员绑定的IP地址，则会出现该信息。

原因4：有新的计算机想接入局域网。如果有新的计算机想接入局域网但没有绑定，也会出现该信息。