Re: [FRnOG] [TECH] SW_DAI-4-PACKET_RATE_EXCEEDED CISCO

Jérôme BERTHIER via frnog Tue, 26 May 2020 00:24:36 -0700

Salut,

Le 25/05/2020 à 20:12, Sébastien 65 a écrit :

Salut Jérôme,

Tu sécurises quoi via ce port Gi0/1 ?

Valider que les @MAC/IP d'un VLAN sont bien celle qui doivent discuter avec le 
routeur !

OK mais ça laisse quand même la possibilité d'usurper une adresse MAC enaval, non ?

Du coup, le filtrage concentré sur ce port là devient possible àcontourner (car si je comprend bien, tout le trafic L2 se concentre surce port).

Juste vérifier les correspondances MAC-IP via l'inspection DHCP snooping en 
parallèle ?

Oui, j'ai des access-list ARP qui autorise sur un VLAN un couple d'@ IP/MAC. Je 
n'ai pas de service DHCP qui tourne sur ce réseau.
!
arp access-list VLAN_101_ARP
  permit ip host 10.0.1.1 mac host cc2d.e0b2.6f1c
  permit ip host 10.0.1.2 mac host 7c69.f617.8e82
!

Je ne connais pas de méthode officielle mais je tenterai un doublement de 
valeur jusqu'à que le défaut ne revienne plus.

C'est quitte ou double et j'aime pas du tout... Tu vas être tranquille pendant 
un certain temps et le jours ou il y aura plus de monde ça va merder et hop 
port down !

Associé à un recovery auto de 30s + une analyse de logs , ça doitpermettre d'être assez réactif.

La tranquillité du rate à none expose la CPU du switch donc c'est un peusans filet si problème. J'aurais tendance à l'éviter.



Bonne journée


Bonne soirée !
________________________________
De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part de Jérôme BERTHIER 
via frnog <frnog@frnog.org>
Envoyé : lundi 25 mai 2020 09:51
À : frnog@frnog.org <frnog@frnog.org>
Objet : Re: [FRnOG] [TECH] SW_DAI-4-PACKET_RATE_EXCEEDED CISCO

Salut,

Le 21/05/2020 à 08:50, Sébastien 65 a écrit :

Bonjour à tous,

Sur un switch j'ai activé Dynamic ARP Inspection, je me retrouve de temps en 
temps le port UPLINK en err-disable state.

Le port Gi0/1 est connecté en cascade sur différent switch du LAN qui n'ont pas 
de mécanisme DAI.


Du coup, la logique m'échappe.

Le spoofing peut avoir lieu sur n'importe quel switch aval dans ce cas.

Tu sécurises quoi via ce port Gi0/1 ? Juste vérifier les correspondances
MAC-IP via l'inspection DHCP snooping en parallèle ?

En théorie, les ports vers d'autres devices (attendus exécutant DAI)
sont à l'état trust donc il n'y a pas d'inspection (donc pas de rate
limiting nécessaire).

Le switch qui passe en err-disable est ensuite banché sur le routeur, le switch me permet 
de faire du "ménage" AVANT de passer sur le routeur...

J'utilise ip arp inspection validate src-mac dst-mac ip + ip arp inspection 
filter

*Mar  3 14:53:28.473: %SW_DAI-4-PACKET_RATE_EXCEEDED: 18 packets received in 16 
milliseconds on Gi0/1.
*Mar  3 14:53:28.473: %PM-4-ERR_DISABLE: arp-inspection error detected on 
Gi0/1, putting Gi0/1 in err-disable state
*Mar  3 14:53:29.513: %LINEPROTO-5-UPDOWN: Line protocol on Interface 
GigabitEthernet0/1, changed state to down
*Mar  3 14:53:30.553: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed 
state to down

En regardant un peux les valeurs par défaut, je constate que CISCO  fixe ip arp 
inspection limit rate à 15 pps.

Je ne sais pas comment définir cette valeur à part de faire au pifomètre ou 
d'utiliser ip arp inspection limit none sur Gi0/1...

Si quelqu'un peut m'expliquer la méthode je suis preneur 🙂


Je ne connais pas de méthode officielle mais je tenterai un doublement
de valeur jusqu'à que le défaut ne revienne plus.

Ou alors plus fin, tu captures le trafic pour te faire une idée du seuil
atteint mais bon, comme tous les seuils, ça va forcément devenir faux au
bout d'un moment...


Bonne journée

Merci



---------------------------
Liste de diffusion du FRnOG
https://eur01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&amp;data=02%7C01%7C%7Cc4625a445bd64bc1ef3008d8008087ab%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C637259899310184386&amp;sdata=V3fmq%2FhXshiALZ6phOVljy81cqWZeJapXnKv4%2B14Vcw%3D&amp;reserved=0


--
Jérôme BERTHIER


---------------------------
Liste de diffusion du FRnOG
https://eur01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&amp;data=02%7C01%7C%7Cc4625a445bd64bc1ef3008d8008087ab%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C637259899310184386&amp;sdata=V3fmq%2FhXshiALZ6phOVljy81cqWZeJapXnKv4%2B14Vcw%3D&amp;reserved=0

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Jérôme BERTHIER


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SW_DAI-4-PACKET_RATE_EXCEEDED CISCO

Répondre à