Hello,
Le 19 déc. 2014 à 11:55, Julien (JaXX) Banchet jaxx@jaxx.org a écrit :
Le 19/12/2014 11:45, Julien Escario a écrit :
Dec 19 10:15:26: %SW_DAI-4-PACKET_RATE_EXCEEDED: 51 packets received in 838 milliseconds on Gi1/0/27.
Si je lis ça rapidement, ca explique que le port a été passé en shutdown parce que le serveur aurait émis 51 packets en 0.838 secondes. Euuuuuh, c'est un comportement anormal ça ?
C'est un compteur de l'ARP Inspection, c'est donc plutôt 51 packets ARP en 0.8 secondes, et vu le contexte (il n'a pas a connaitre bcp de monde en face de lui) , c'est n'est pas "peu".
C'est bien tuné chez Online, dépasser les seuils, c'est soit par activité maligne, soit par un côté soft bien en vrac, dans les deux cas, se protéger, c'est compréhensible pour les deux parties.
Bah... Si en 838 mS il y a eu plus de 51 mac différentes sur un port, pour moi c'est du flood arp -> err-disable.
Je comprends largement online et je suis d'accord avec eux. Les switches ont autre chose a faire que s'amuser a changer un table ARP -> IP juste parce que un soft en mousse joue avec ça.
Xavier