Salut,
Le 21/05/2020 à 08:50, Sébastien 65 a écrit :
Bonjour à tous,
Sur un switch j'ai activé Dynamic ARP Inspection, je me retrouve de temps en
temps le port UPLINK en err-disable state.
Le port Gi0/1 est connecté en cascade sur différent switch du LAN qui n'ont pas
de mécanisme DAI.
Du coup, la logique m'échappe.
Le spoofing peut avoir lieu sur n'importe quel switch aval dans ce cas.
Tu sécurises quoi via ce port Gi0/1 ? Juste vérifier les correspondances
MAC-IP via l'inspection DHCP snooping en parallèle ?
En théorie, les ports vers d'autres devices (attendus exécutant DAI)
sont à l'état trust donc il n'y a pas d'inspection (donc pas de rate
limiting nécessaire).
Le switch qui passe en err-disable est ensuite banché sur le routeur, le switch me permet
de faire du "ménage" AVANT de passer sur le routeur...
J'utilise ip arp inspection validate src-mac dst-mac ip + ip arp inspection
filter
*Mar 3 14:53:28.473: %SW_DAI-4-PACKET_RATE_EXCEEDED: 18 packets received in 16
milliseconds on Gi0/1.
*Mar 3 14:53:28.473: %PM-4-ERR_DISABLE: arp-inspection error detected on
Gi0/1, putting Gi0/1 in err-disable state
*Mar 3 14:53:29.513: %LINEPROTO-5-UPDOWN: Line protocol on Interface
GigabitEthernet0/1, changed state to down
*Mar 3 14:53:30.553: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed
state to down
En regardant un peux les valeurs par défaut, je constate que CISCO fixe ip arp
inspection limit rate à 15 pps.
Je ne sais pas comment définir cette valeur à part de faire au pifomètre ou
d'utiliser ip arp inspection limit none sur Gi0/1...
Si quelqu'un peut m'expliquer la méthode je suis preneur 🙂
Je ne connais pas de méthode officielle mais je tenterai un doublement
de valeur jusqu'à que le défaut ne revienne plus.
Ou alors plus fin, tu captures le trafic pour te faire une idée du seuil
atteint mais bon, comme tous les seuils, ça va forcément devenir faux au
bout d'un moment...
Bonne journée
Merci
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
--
Jérôme BERTHIER
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
