Помогите понять поведение трафика

[alibek]

Вчера на графиках наблюдал немного непонятное для меня поведение трафика.

В общих чертах схема сети такая: два аплинка — бордер (Extreme X670) — ядро (X670), в ядро включены BRASы и агрегация.

BRASы подключены гигабитными линками (точнее LAG-ами), все остальное подключено десятками.

Вчера на бордере был кратковременный (минут 10) всплеск трафика примерно на 2-2,5 Гбит/с, на одном аплинке. Примерно такой же всплеск есть на аплинке одного из BRASов.

Но на втором аплинке бордера, аплинках остальных BRASов, а также аплинках агрегации в это время была непонятная просадка трафика, то есть трафик на аплинк пришел, но соответствующего ему трафика с клиентской стороны нет.

По всей видимости этот трафик был дропнут, поэтому на клиентской стороне его и не видно.

Но мне непонятно, откуда возникла просадка трафика? На графиках утилизации CPU нет перегрузки, на портах свободной емкости еще достаточно. То есть в моем представлении просадки быть не должно, она может возникнуть только если на вышестоящий уровнях была перегрузка и вместе с посторонним трафиком был дропнут и полезный, но перегрузки не было.

[UglyAdmin]

Может, в чужие полки упёрлись?

[pingz]

DDOS? 

 

Примерную картину наблюдал, когда моего выше стоящего оператора дедосили. 

[alibek]

Чей-то DOS, наверняка.

Но даже если бы я уперся в полку аплинка, на втором аплинке ведь ее быть не должно.

А на втором аплинке тоже была просадка, примерно 200 Мбит/с.

[zhenya`]

по pps где-то уперлись видимо.

[alibek]

Про PPS я не подумал, пакеты у меня не мониторятся.

Но тоже сомнительно, на X670 по CPU перегрузки не было, а аппаратно он на скорости портов коммутирует и фабрика его гораздо больше пережует, чем лишние 2-3 Гбит/с.

[zhenya`]

а я больше про сервера (брасы). опять же может днсам плохо становилось или связи между вашими днсами и вышестоящими.