Valaskor Posted December 1, 2009 Posted December 1, 2009 Всем доброго времени суток. Разбирался с непонятной сетевой активностью и обнаружил поток не совсем понятных GRE-пакетов, идущих с Cisco 7201 (имадж c7200p-advipservicesk9-mz.124-4.XD10.bin). Их особенностью является очень низкий TTL (Обычно 0, но бывает 2, 6 и др. В сторону циски пакетов с низким ттл нет). Адресом источника идет адрес циски, смотрящий в сеть, а адресом назначения - адрес клиента, который при этом может быть подключен и не подавать никаких жалоб на работу. Сниффер ругается на них как на "Malformed Packet". В пакете все в порядке с IP-заголовками, а вот начиная с GRE идут непонятки. (Возможно IP тоже бьются, но не доходят до снифера, он висит на зеркальном порту коммутатора). Инногда появляются gre с включенным crc, причем неправильным. Вообще очень похоже на обрезанные пакеты, при том что параллельно идут пакеты более крупные, с ними все нормально. Кто сталкивался с таким? Куда копать? Вставить ник Quote
Valaskor Posted December 1, 2009 Author Posted December 1, 2009 Кстати, для проверки поставил: access-list 170 deny ip any any ttl lt 16 interface GigabitEthernet0/0 ip access-group 170 out влиняния нет Вставить ник Quote
UglyAdmin Posted December 1, 2009 Posted December 1, 2009 В ACL не попадают пакеты, идущие с самой циски. Вставить ник Quote
Дегтярев Илья Posted December 1, 2009 Posted December 1, 2009 Стоят пару 3825. Поведение аналогичное. Кидают кучу Malformed Packet с ttl=0 Возможно это переполнение каких то буферов. Вставить ник Quote
holo-dilnik Posted December 1, 2009 Posted December 1, 2009 хм... у меня c7200p-advipservicesk9-mz.124-4.XD12.bin, ничего похожего не вижу... Вставить ник Quote
holo-dilnik Posted December 1, 2009 Posted December 1, 2009 http://www.cisco.com/en/US/docs/ios/12_4/1...s/rn7000XD.html тут ничего полезного не пишут? Вставить ник Quote
ingress Posted December 1, 2009 Posted December 1, 2009 и здесь тоже полезно пишут http://forum.nag.ru/forum/index.php?showto...733&hl=2851 Вставить ник Quote
Valaskor Posted December 1, 2009 Author Posted December 1, 2009 (edited) кто поделится последним advipservices-XD? или есть смысл перейти на sb? Edited December 1, 2009 by Valaskor Вставить ник Quote
holo-dilnik Posted December 1, 2009 Posted December 1, 2009 > или есть смысл перейти на sb? про второе поподробнее пожалуйста : ) Вставить ник Quote
Valaskor Posted December 2, 2009 Author Posted December 2, 2009 c7200p-adventerprisek9-mz.124-4.XD11.bin - проблема осталась Вставить ник Quote
holo-dilnik Posted December 2, 2009 Posted December 2, 2009 Нарооод :-) Даже в гугле по запросу "cisco 7201 XD SB" эта тема вылезает второй ссылкой (после сайта циско). После этого поста, боюсь, начнет вылезать первой. Кто-то может в паре слов доходчиво объяснить нубу, т е мне, для чего предназначены эти ветки и в чем принципиальная разница при их использовании/неиспользовании/выборе/невыборе? Вставить ник Quote
Magnum72 Posted December 2, 2009 Posted December 2, 2009 Забань эти пакеты, и переходи на L2TP потихоньку, в нем этого бага нет и он работает по всем параметрам лучше. Вставить ник Quote
UglyAdmin Posted December 3, 2009 Posted December 3, 2009 XD - это обычная Т-ветка. Потом слились, насколько я в курсе. SB - это BRAS'овская ветка. Изначально включает в себя ISG. Вставить ник Quote
Valaskor Posted December 3, 2009 Author Posted December 3, 2009 Перебрал несколько IOSов, что смог найти. c7200p-js-mz.122-31.SB15.bin - не понятная вещь без VPDN. c7200p-adventerprisek9-mz.122-33.SRC1.bin - страшный зверь, не уменьшающий TTL при маршрутизации и страшными ошибками в логах (как я понял, не адекватно воспринимал lcp с радиуса.) c7200p-advipservicesk9-mz.124-4.XD12.bin - проблема осталась Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.