[FRsAG] Online et l'ARP
Bonjour, Un client nous appelle au secours suite à la désactivation de son serveur par Online. En guise d'explication, nous avons (je cite) : Dec 19 10:15:26: %SW_DAI-4-PACKET_RATE_EXCEEDED: 51 packets received in 838 milliseconds on Gi1/0/27. Dec 19 10:15:26: %PM-4-ERR_DISABLE: arp-inspection error detected on Gi1/0/27, putting Gi1/0/27 in err-disable state Dec 19 10:15:27: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/27, changed state to down Dec 19 10:15:28: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/27, changed state to down Dec 19 10:20:26: %PM-4-ERR_RECOVER: Attempting to recover from arp-inspection err-disable state on Gi1/0/27 Dec 19 10:20:32: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/27, changed state to up Dec 19 10:20:33: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/27, changed state to up Si je lis ça rapidement, ca explique que le port a été passé en shutdown parce que le serveur aurait émis 51 packets en 0.838 secondes. Euh, c'est un comportement anormal ça ? 'fin bref, je veux bien croire qu'il y ai un soucis de conf réseau sur la machine mais les explications de la part d'Online sont (pour tester poli) laconiques non ? Ou alors ils considèrent que tous leurs clients sont CCNA. Moi qui n'ai jamais voulu entendre parler de cisco sur mon backbone, ca me fait une belle jambe. Ca vous parle un truc comme ça ? Merci, Julien ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Online et l'ARP
Le 19/12/2014 11:45, Julien Escario a écrit : Dec 19 10:15:26: %SW_DAI-4-PACKET_RATE_EXCEEDED: 51 packets received in 838 milliseconds on Gi1/0/27. Si je lis ça rapidement, ca explique que le port a été passé en shutdown parce que le serveur aurait émis 51 packets en 0.838 secondes. Euh, c'est un comportement anormal ça ? C'est un compteur de l'ARP Inspection, c'est donc plutôt 51 packets ARP en 0.8 secondes, et vu le contexte (il n'a pas a connaitre bcp de monde en face de lui) , c'est n'est pas "peu". C'est bien tuné chez Online, dépasser les seuils, c'est soit par activité maligne, soit par un côté soft bien en vrac, dans les deux cas, se protéger, c'est compréhensible pour les deux parties. amha JaXX./. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Online et l'ARP
On Fri, Dec 19, 2014, at 11:45, Julien Escario wrote: > que le serveur aurait émis 51 packets en 0.838 secondes. Euh, c'est > un comportement anormal ça ? 51 packets *ARP*. Mais meme comme ca, a limite a utiliser reste toujours sujet a discussion. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Online et l'ARP
On Fri, Dec 19, 2014, at 11:55, Julien (JaXX) Banchet wrote: > activité maligne, soit par un côté soft bien en vrac, dans les deux cas, > se protéger, c'est compréhensible pour les deux parties. "activite maligne" c'est l'argument pro, par contre les "soft bien en vrac", il y en a. cherche juste "arp inspection bonjour" par exemple. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Online et l'ARP
Hello, > Le 19 déc. 2014 à 11:55, Julien (JaXX) Banchet a écrit : > > Le 19/12/2014 11:45, Julien Escario a écrit : >> Dec 19 10:15:26: %SW_DAI-4-PACKET_RATE_EXCEEDED: 51 packets received in 838 >> milliseconds on Gi1/0/27. >> >> Si je lis ça rapidement, ca explique que le port a été passé en shutdown >> parce que le serveur aurait émis 51 packets en 0.838 secondes. Euh, >> c'est un comportement anormal ça ? > > C'est un compteur de l'ARP Inspection, c'est donc plutôt 51 packets ARP en > 0.8 secondes, et vu le contexte (il n'a pas a connaitre bcp de monde en face > de lui) , c'est n'est pas "peu". > > C'est bien tuné chez Online, dépasser les seuils, c'est soit par activité > maligne, soit par un côté soft bien en vrac, dans les deux cas, se protéger, > c'est compréhensible pour les deux parties. Bah... Si en 838 mS il y a eu plus de 51 mac différentes sur un port, pour moi c'est du flood arp -> err-disable. Je comprends largement online et je suis d'accord avec eux. Les switches ont autre chose a faire que s'amuser a changer un table ARP -> IP juste parce que un soft en mousse joue avec ça. Xavier signature.asc Description: Message signed with OpenPGP using GPGMail ___ Liste de diffusion du FRsAG http://www.frsag.org/
