bonjour,
je constate sur mon routeur Edge (type ASR 1002) de campus, un trafic
illégitime (je suppose), par intermittence qui sature les performances
du routeur (et/ou switch coeur de LAN en amont)
et a pour fâcheux effet de bord de ralentir tous les trafics du campus .
voici le genre de message que je reçois par centaines en qq secondes sur
la console de l'ASR quand cela se produit:
Jul 22 10:19:43 157.159.8.3 1852677: Jul 22 06:47:33.609:
%IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:025
TS:00025904738204986240 %PKTLOG-3-PKTLOG_IPC_SEND_FAILED: IPv4 ACL log
Tail Drop
Jul 22 10:19:43 157.159.8.3 1852678: Jul 22 06:47:33.611:
%FMANFP-6-IPACCESSLOGP: F0: fman_fp_image: list 112 denied tcp
192.168.1.101(1897) -> 198.148.92.247(80), 1 packet
Jul 22 10:19:43 157.159.8.3 1852679: Jul 22 06:47:33.611:
%FMANFP-6-IPACCESSLOGP: F0: fman_fp_image: list 112 denied tcp
192.168.1.101(1836) -> 198.148.92.247(80), 1 packet
...
j'ai en effet une ACL en sortie de site qui interdit tout trafic RFC
1918 (ici précisément 192.168.0.0 0.0.255.255) vers any
asr1-evry#show *access-lists 112*
Extended IP access list 112
10 deny ip 192.168.0.0 0.0.255.255 any log (201942501 matches)
20 permit ip any any (3326764632 matches)
interface GigabitEthernet0/0/2
ip *access-group 112 out*
faute d'outils de capture de trafic intrinsec aux équipements réseaux :-(
j'ai pu quand même "mirrorer" mon interface vers une autre et analyser a
coup de tcpdump le trafic à la recherche de cette IP src 192.168.1.101
cf bon exemple de méthode sur ASR :
http://www.cisco.com/c/en/us/support/docs/routers/asr-1000-series-aggregation-services-routers/116212-configure-asr-00.html
ainsi j'ai retrouvé l'adresse MAC correpondante à l'IP 192.168.1.101 et
grâce a cette MAC pu remonter au 6500 coeur de reseau du LAN en amont de
cet ASR
bref maintenant je pense avoir isoler le switch où la source aboutit.
Questions :
1) je croyais que les @IP RFC1918 étaient par défaut non routées sur les
équipements réseau !? je me trompe ?
2) j'ai en plus sur l'ASR une route statique qui renvoit 192.168.0.0
vers Null0 (trou noir)
ip route 192.168.0.0 255.255.0.0 Null0
comment se fait-il qu'en plus de 1) j'ai encore ces paquets ayant pour
src 192.168.1.101 renvoyés vers mon interface de sortie opérateur (ici
g0/0/2) ?
3) avez vous une autre méthode (que mon ACL 112 et route statique vers
Null0) pour droper ce trafic ?
4) comment une ip src en 192.168.1.101 peut elle arriver a envoyer du
trafic vers mon 6500 alors qu'il n'y a pas de gateway/interface de
routage sur le subnet 192.168.1.0/24
6509E#show ip route 192.168.1.0
% Network not in table
seul un vlan dispose d'un subnet en 192.168*.0*.0/24 (!= 192.168*.1 *)
6509E#show ip route 192.168.0.0
Routing entry for 192.168.0.0/24, 2 known subnets
Attached (2 connections)
Variably subnetted with 2 masks
Redistributing via ospf 1
C 192.168.0.0/24 is directly connected, Vlan901
L 192.168.0.2/32 is directly connected, Vlan901
5) comment remonter et identifier la source du pb, probablement un
PC/portable mal configuré infecté et qui se crois sur une livebox ou
autre subnet home office !?
Merci .
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
