Il fait à priori du FTTO, avec un CPE de l’autre côté, donc je doute qu’il ait du /27 publiques ou pire du côté de l’ASR.
Ceci dit, l’idée d’envoyer toutes les IP publiques inutilisées dont on dispose vers un honeypot, c’est une bonne idée. Ca soulage le LAN en broadcast de manière significative. David > Le 26 févr. 2025 à 16:32, Pierre LANCASTRE <pierre.lancas...@gmail.com> a > écrit : > > Hello, > > Ça se rapproche d'un problème que j ai vu passer récemment chez un autre > vendor. > > Je ne connais pas la config de l ASR mais imaginons que tu aies configuré un > subnet publique dessus, disons pour l' exemple, un /27, et que tu aies 3 > hosts adressés dedans et que les autres IP sont libres. > > Si jamais tu as un scan extérieur vers une ou plusieurs IP de libre, ton > routeur va chercher à résoudre en ARP plein de hosts qui ne répondront pas, > et il y a des chances que tu aies des impacts au niveau du subnet voir du > chassis entier pour le protocole ARP. > > J'ai pas assez pratiqué les ASR, mais j imagine qu'il y a du CoPP ou > équivalent qui pourrait throttler les requêtes. > > En tout cas, les occurrences sporadiques pourraient s'expliquer avec des scan > / flood random qui viennent d'internet. > > Si jamais tu as un ou plusieurs subnets publiques de configurés, tu peux > essayer de créer des routes discard vers les IP non utilisées, ca évitera a l > ASR de tenter de faire du ARP vers hosts fantomes > > Question : quand le probleme arrive (ou non) as tu beaucoup d entrées > incomplete dans le "show ip arp " ? Tu pourrais regarder la section ARP du > "show ip traffic" ? Et possiblement d autres commandes pour checker les > compteurs du CoPP et autre ? > > ++ > > Pierre > > > Le mer. 26 févr. 2025 à 10:12, David Ponzone <david.ponz...@gmail.com > <mailto:david.ponz...@gmail.com>> a écrit : > > > Le 26 févr. 2025 à 15:46, Julien CANAT <julien.ca...@trinaps.com > > <mailto:julien.ca...@trinaps.com>> a écrit : > > > > Hello, > > > > Quand je dis lien direct c'est du lien Fibre direct entre PE et CPe, ce que > > je qualifie d'indirect ce sont des liens collectés au travers d'un > > fournisseur tiers (genre CELAN orange, CLAN SFR ou autre truc similaire). > > > > Dans ce que j'ai vu sur mes captures de paquets c'est le cisco qui ne > > répondait pas au Mikrotik, c'est possible que l'inverse soit vrai aussi. > > Donc trace prise côté Mikrotik (parce que sniffer de MK est une merveille de > simplicité): tu vois le ARP REQUEST, qui part et rien du tout qui revient ? > Ou peut-être chose qui revient mais de la merde ? > Et au bout de combien de ARP request ça finit par répondre ? > > C’est sérieusement louche ton truc. > Y a trop de variables. > Finalement, le seul truc pas variable, c’est l’ASR902. > Donc l’hypothèse de Paul à l’instant est intéressante: tu as bcp de clients > sur ces ASR ? > > David > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ <http://www.frnog.org/> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
