我称它们为过度,因为它们在 1 分钟内就填满了防火墙日志文件。这个路由器是由我的 ISP 提供给我的,我无法控制允许或阻止通信的防火墙规则,我只能打开或关闭网络端口。
我有 GPON。我的 ISP 为我提供的设置是路由器和 ONT。我注意到 ONT 和路由器之间始终有以太网活动(我第一次注意到这一点是在几年前),即使没有设备连接到路由器。我还注意到我的路由器(ISP 提供的路由器)的 CPU 使用率有所增加。CPU 的平均负载通常为 1.00。防火墙日志不断填满从 10.xxx IP 到多播 VRRP IP 214.0.0.18 的阻止连接。
我将一台计算机插入 ONT 以太网端口并运行了 wireshark 捕获。Wan 端口后面有 3 个 VLAN,一个用于数据(互联网访问),另一个用于语音,另一个用于 IPTV。我没有对 VLAN 进行任何配置,我只是将我的计算机连接到 ONT 中的以太网端口,没有进行任何配置。
我可以看到很多 VRRP 广播。它们来自 2 个不同的路由器(在 ISP 基础设施上),这些路由器正在进行 VRRP 广播,广播每 1 秒进行一次。其中一个路由器位于语音 Wan 中,另一个位于 IPTV Wan 中。
208 559.061863 10.240.143.252 224.0.0.18 VRRP 90 Announcement (v2)
212 559.258679 10.93.255.252 224.0.0.18 VRRP 64 Announcement (v2)
wireshark 中的 VRRP 9000 条目:https://i.imgur.com/pN1a5rd.jpg
我认为这些连接是无害的,但它们应该被我的路由器接收和阻止吗?它似乎占用了 CPU,通常处于 100%,我怀疑这就是原因。防火墙日志列出了类似以下内容:
已阻止 - 默认策略 | stb_wan 上的 PT 112 10.240.143.252->224.0.0.18 已阻止 - 默认策略 | voice_wan 上的 PT 112 10.93.255.252->224.0.0.18
通常防火墙日志在 1 分钟后就会满,并且接下来的条目会被丢弃。
我认为高 CPU 负载是由于防火墙持续阻塞造成的。广播每秒重复一次,不同 VLAN 上有 2 个路由器在广播,每秒始终有 2 个阻塞。这样想,似乎不多,只有 2 个连接。
我想了解更多有关 VRRP 的信息,VRRP 广播是否应该到达我的家庭路由器 (CPE)?在 GPON 中出现这种情况正常吗?这些数据包不应该被上游交换机阻止吗?我的 ISP 中可能存在配置错误吗?路由器是否通过 VRRP 获取 VOIP 呼叫的 IP 地址?我可能错了,但我认为这些数据包是无害的,而且是增加 CPU 负载的无用信息。
答案1
我猜这对 VRRP 来说很正常一般来说,但对于 ISP 来说这并不正常。ISP应该有要么手动阻止其站点上的数据包,要么将 VRRP 配置为“单播”模式。(不幸的是,后者并不总是受支持。)
VRRP 是一种冗余(热备用)协议 - 它依赖于当前活动系统定期发出“我还活着”公告;如果该系统(例如路由器)突然出现故障,备份系统需要大约两倍于“公告间隔”的秒数才能获得 IP 地址。因此,您希望故障转移发生得越快,就必须更频繁地发送 VRRP 公告。
(尽管从理论上来说,公告是多播的,因此只有“加入”了 224.0.0.18 组的设备才能接收它们,但这并不能完全按预期工作,因为特定的 224.0.0.x 范围以错误的方式特殊化,并且其数据包通常会被转发到所有端口。)
然而,这些公告只需要参与系统本身看到,而我很确定(虽然不是 100% 确定)ISP 通常会将其交换机配置为阻止 VRRP 数据包到达其数百个客户 - 反之亦然。(如果客户故意在自己的路由器上设置 VRRP,并声称 ISP 网关的 IP 地址具有最高优先级,会发生什么情况?特别是考虑到您的 ISP 不使用任何形式的身份验证,根据屏幕截图...)
我认为高 CPU 负载是由于防火墙持续阻塞造成的。广播每秒重复一次,不同 VLAN 上有 2 个路由器在广播,每秒始终有 2 个阻塞。这样想,似乎不多,只有 2 个连接。
阻止数据包不需要除了接收数据包之外的额外工作(尽管接收数据包对于路由器的 CPU 来说肯定不是“免费的”,但以每秒两个的速度来说也不算多);我怀疑这主要是因为日志记录这会消耗额外的 CPU。路由器的防火墙应该只是悄悄地丢弃不需要的广播或多播,而不记录它们,和防火墙应该限制其日志记录的速率,以避免意外的 DoS。