Bonjour, Un client nous appelle au secours suite à la désactivation de son serveur par Online. En guise d'explication, nous avons (je cite) :
Dec 19 10:15:26: %SW_DAI-4-PACKET_RATE_EXCEEDED: 51 packets received in 838 milliseconds on Gi1/0/27. Dec 19 10:15:26: %PM-4-ERR_DISABLE: arp-inspection error detected on Gi1/0/27, putting Gi1/0/27 in err-disable state Dec 19 10:15:27: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/27, changed state to down Dec 19 10:15:28: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/27, changed state to down Dec 19 10:20:26: %PM-4-ERR_RECOVER: Attempting to recover from arp-inspection err-disable state on Gi1/0/27 Dec 19 10:20:32: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/27, changed state to up Dec 19 10:20:33: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/27, changed state to up
Si je lis ça rapidement, ca explique que le port a été passé en shutdown parce que le serveur aurait émis 51 packets en 0.838 secondes. Euuuuuh, c'est un comportement anormal ça ?
'fin bref, je veux bien croire qu'il y ai un soucis de conf réseau sur la machine mais les explications de la part d'Online sont (pour tester poli) laconiques non ? Ou alors ils considèrent que tous leurs clients sont CCNA. Moi qui n'ai jamais voulu entendre parler de cisco sur mon backbone, ca me fait une belle jambe.
Ca vous parle un truc comme ça ?
Merci, Julien
Le 19/12/2014 11:45, Julien Escario a écrit :
Dec 19 10:15:26: %SW_DAI-4-PACKET_RATE_EXCEEDED: 51 packets received in 838 milliseconds on Gi1/0/27.
Si je lis ça rapidement, ca explique que le port a été passé en shutdown parce que le serveur aurait émis 51 packets en 0.838 secondes. Euuuuuh, c'est un comportement anormal ça ?
C'est un compteur de l'ARP Inspection, c'est donc plutôt 51 packets ARP en 0.8 secondes, et vu le contexte (il n'a pas a connaitre bcp de monde en face de lui) , c'est n'est pas "peu".
C'est bien tuné chez Online, dépasser les seuils, c'est soit par activité maligne, soit par un côté soft bien en vrac, dans les deux cas, se protéger, c'est compréhensible pour les deux parties.
amha
JaXX./.
On Fri, Dec 19, 2014, at 11:55, Julien (JaXX) Banchet wrote:
activité maligne, soit par un côté soft bien en vrac, dans les deux cas, se protéger, c'est compréhensible pour les deux parties.
"activite maligne" c'est l'argument pro, par contre les "soft bien en vrac", il y en a. cherche juste "arp inspection bonjour" par exemple.
Hello,
Le 19 déc. 2014 à 11:55, Julien (JaXX) Banchet jaxx@jaxx.org a écrit :
Le 19/12/2014 11:45, Julien Escario a écrit :
Dec 19 10:15:26: %SW_DAI-4-PACKET_RATE_EXCEEDED: 51 packets received in 838 milliseconds on Gi1/0/27.
Si je lis ça rapidement, ca explique que le port a été passé en shutdown parce que le serveur aurait émis 51 packets en 0.838 secondes. Euuuuuh, c'est un comportement anormal ça ?
C'est un compteur de l'ARP Inspection, c'est donc plutôt 51 packets ARP en 0.8 secondes, et vu le contexte (il n'a pas a connaitre bcp de monde en face de lui) , c'est n'est pas "peu".
C'est bien tuné chez Online, dépasser les seuils, c'est soit par activité maligne, soit par un côté soft bien en vrac, dans les deux cas, se protéger, c'est compréhensible pour les deux parties.
Bah... Si en 838 mS il y a eu plus de 51 mac différentes sur un port, pour moi c'est du flood arp -> err-disable.
Je comprends largement online et je suis d'accord avec eux. Les switches ont autre chose a faire que s'amuser a changer un table ARP -> IP juste parce que un soft en mousse joue avec ça.
Xavier
-
Julien (JaXX) Banchet -
Julien Escario -
Radu-Adrian Feurdean -
Xavier Beaudouin