Salut,
Le 25/05/2020 à 20:12, Sébastien 65 a écrit :
Salut Jérôme,
Tu sécurises quoi via ce port Gi0/1 ?
Valider que les @MAC/IP d'un VLAN sont bien celle qui doivent discuter avec le
routeur !
OK mais ça laisse quand même la possibilité d'usurper une adresse MAC en
aval, non ?
Du coup, le filtrage concentré sur ce port là devient possible à
contourner (car si je comprend bien, tout le trafic L2 se concentre sur
ce port).
Juste vérifier les correspondances MAC-IP via l'inspection DHCP snooping en
parallèle ?
Oui, j'ai des access-list ARP qui autorise sur un VLAN un couple d'@ IP/MAC. Je
n'ai pas de service DHCP qui tourne sur ce réseau.
!
arp access-list VLAN_101_ARP
permit ip host 10.0.1.1 mac host cc2d.e0b2.6f1c
permit ip host 10.0.1.2 mac host 7c69.f617.8e82
!
Je ne connais pas de méthode officielle mais je tenterai un doublement de
valeur jusqu'à que le défaut ne revienne plus.
C'est quitte ou double et j'aime pas du tout... Tu vas être tranquille pendant
un certain temps et le jours ou il y aura plus de monde ça va merder et hop
port down !
Associé à un recovery auto de 30s + une analyse de logs , ça doit
permettre d'être assez réactif.
La tranquillité du rate à none expose la CPU du switch donc c'est un peu
sans filet si problème. J'aurais tendance à l'éviter.
Bonne journée
Bonne soirée !
________________________________
De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part de Jérôme BERTHIER
via frnog <frnog@frnog.org>
Envoyé : lundi 25 mai 2020 09:51
À : frnog@frnog.org <frnog@frnog.org>
Objet : Re: [FRnOG] [TECH] SW_DAI-4-PACKET_RATE_EXCEEDED CISCO
Salut,
Le 21/05/2020 à 08:50, Sébastien 65 a écrit :
Bonjour à tous,
Sur un switch j'ai activé Dynamic ARP Inspection, je me retrouve de temps en
temps le port UPLINK en err-disable state.
Le port Gi0/1 est connecté en cascade sur différent switch du LAN qui n'ont pas
de mécanisme DAI.
Du coup, la logique m'échappe.
Le spoofing peut avoir lieu sur n'importe quel switch aval dans ce cas.
Tu sécurises quoi via ce port Gi0/1 ? Juste vérifier les correspondances
MAC-IP via l'inspection DHCP snooping en parallèle ?
En théorie, les ports vers d'autres devices (attendus exécutant DAI)
sont à l'état trust donc il n'y a pas d'inspection (donc pas de rate
limiting nécessaire).
Le switch qui passe en err-disable est ensuite banché sur le routeur, le switch me permet
de faire du "ménage" AVANT de passer sur le routeur...
J'utilise ip arp inspection validate src-mac dst-mac ip + ip arp inspection
filter
*Mar 3 14:53:28.473: %SW_DAI-4-PACKET_RATE_EXCEEDED: 18 packets received in 16
milliseconds on Gi0/1.
*Mar 3 14:53:28.473: %PM-4-ERR_DISABLE: arp-inspection error detected on
Gi0/1, putting Gi0/1 in err-disable state
*Mar 3 14:53:29.513: %LINEPROTO-5-UPDOWN: Line protocol on Interface
GigabitEthernet0/1, changed state to down
*Mar 3 14:53:30.553: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed
state to down
En regardant un peux les valeurs par défaut, je constate que CISCO fixe ip arp
inspection limit rate à 15 pps.
Je ne sais pas comment définir cette valeur à part de faire au pifomètre ou
d'utiliser ip arp inspection limit none sur Gi0/1...
Si quelqu'un peut m'expliquer la méthode je suis preneur 🙂
Je ne connais pas de méthode officielle mais je tenterai un doublement
de valeur jusqu'à que le défaut ne revienne plus.
Ou alors plus fin, tu captures le trafic pour te faire une idée du seuil
atteint mais bon, comme tous les seuils, ça va forcément devenir faux au
bout d'un moment...
Bonne journée
Merci
---------------------------
Liste de diffusion du FRnOG
https://eur01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=02%7C01%7C%7Cc4625a445bd64bc1ef3008d8008087ab%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C637259899310184386&sdata=V3fmq%2FhXshiALZ6phOVljy81cqWZeJapXnKv4%2B14Vcw%3D&reserved=0
--
Jérôme BERTHIER
---------------------------
Liste de diffusion du FRnOG
https://eur01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=02%7C01%7C%7Cc4625a445bd64bc1ef3008d8008087ab%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C637259899310184386&sdata=V3fmq%2FhXshiALZ6phOVljy81cqWZeJapXnKv4%2B14Vcw%3D&reserved=0
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
--
Jérôme BERTHIER
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/