La Fibre
Télécom => Peering Transit (appairage) => 
IXP => Discussion démarrée par: Thomas.V le 16 janvier 2018 à 09:10:02
-
Bonjour,
Je me permets d'ouvrir ce post pour vous faire part d'un phénomène inquiétant sur le point d'échange Equinix-IX (PA6).
Je reçois du trafic qui ne m'est pas destiné sur mon port. Pour l 'instant ma session BGP n'est pas montée et je reçois du trafic non négligeable (voir screen ci oint).
Avez vous remarqué cela chez vous ? Une file sur FrNog a déjà fait part du problème, mais personne ne semble s'en inquiéter plus que cela.
Cordialement,
Thomas Vahé
-
Bah le fil en cours sur frnog est complet, ça te suffit pas ? D'ici à ce qu'ils fix...
-
Bonjour Thomas,
Tu as fait une capture pour voir le type de trafic ?
Broadcast ? Unicast ?
-
Bonjour,
Il s'agit de trafic unicast, dans mon cas, à destination de Dropbox (port 80 et 443), dont les adresses ne sont même pas annoncées sur le GIX (mais le client est bien présent).
PS : J'ai ouvert ce fil, car peut être que tout le monde ne suit pas FrNog ^^
Cdt,
Thomas V.
-
Voir le thread sur frnog ici : https://www.mail-archive.com/search?l=frnog@frnog.org&q=subject:%22%5C%5BFRnOG%5C%5D+%5C%5BTECH%5C%5D+Trafic+input+d%C3%A9lirant+sur+Equinix%5C-IX+PA3%22&o=newest :)
-
Oui ça ressemble beaucoup au comportement d'un vieux switch cisco avec un vieux firmware.
Cisco quand il sait pas quoi faire il envoie les paquets chez tout le monde et sur les vieux trucs on ne peut pas lui dire de faire autrement :-)
Ce qui peut arriver aussi c'est qu'il y ait du trafic dropbox provenant d'une MAC non enregistrée et au lieu de le rejeter, cisco balance sur tous les ports.
-
Bonjour,
C'est du trafic à destination de DropBox.
DropBox est présent sur le GIX Equinix IX mais le subnet en question n'est pas annoncé :
Quelques exemples de paquets reçus à tord:
IP-Src:Port-Src -> IP-Dst:Port-Dst
46.193.16.50:47381 -> 162.125.67.8:443
46.193.0.220:53774 -> 162.125.67.4:443
46.193.1.211:58506 -> 162.125.67.3:443
46.193.138.240:57721 -> 162.125.67.2:80
62.193.39.202:37293 -> 162.125.67.3:443
62.193.55.31:58364 -> 162.125.67.4:443
10.188.247.117 -> 162.125.67.3:443
10.192.2.47:50715 -> 162.125.67.3:443
31.29.110.231 -> 162.125.67.3:443
195.42.144.122:53185 -> 195.42.145.163:179
95.141.97.183:8371 -> 162.125.67.8:443
176.57.33.239:49682 -> 162.125.67:443
Je vais activer Netflow pour savoir vraiment ce qui se passe.
Cdt,
Thomas V.
-
Quelques exemples de paquets reçus à tord:
IP-Src:Port-Src -> IP-Dst:Port-Dst
46.193.16.50:47381 -> 162.125.67.8:443
46.193.0.220:53774 -> 162.125.67.4:443
46.193.1.211:58506 -> 162.125.67.3:443
46.193.138.240:57721 -> 162.125.67.2:80
62.193.39.202:37293 -> 162.125.67.3:443
62.193.55.31:58364 -> 162.125.67.4:443
10.188.247.117 -> 162.125.67.3:443
10.192.2.47:50715 -> 162.125.67.3:443
31.29.110.231 -> 162.125.67.3:443
195.42.144.122:53185 -> 195.42.145.163:179
95.141.97.183:8371 -> 162.125.67.8:443
176.57.33.239:49682 -> 162.125.67:443
Il y a même de la RFC1918 et aussi du BGP inter-equinix.
Pas de VLAN ? Ça se peut que ça soit du trafic en VLAN privé étant donné que Equinix-ix permet de le faire et ça expliquerait pourquoi ce réseau n'est pas announcé directement sur l'IX public.
On peut demander à Wifirst si ils ont un VLAN privé avec dropbox sur Equinix.
-
On peut demander à Wifirst si ils ont un VLAN privé avec dropbox sur Equinix.
Ca m'étonnerait bcp ! en général, et quand les niveaux de trafic sont suffisement élevés, les différentes parties préfèrent recourir au PNI en tirant du cross-connect.
le Symbol nous en dira plus, j'en suis sur ;)
@++
-
Re,
Il semblerait que le peer 195.42.145.163 soit justement à DropBox :
Type IP Address Domain Name TTL
PTR 195.42.145.163 Yahoo! (AS10310) dropbox-france.equinix-ix.fr 24 hrs
Je pense aussi qu'il y a des sessions BGP en direct entres des membres notamment avec Wifirst.
Si c'était un problème de table MAC full sur un switch on verrait des destinations autres que DropBox.
-
Ca m'étonnerait bcp ! en général, et quand les niveaux de trafic sont suffisement élevés, les différentes parties préfèrent recourir au PNI en tirant du cross-connect.
Oui mais justement si le trafic n'est pas si élevé que ça mais tout de même conséquent les parties font des sessions en VLAN privés.
C'est encore plus plausible si les deux réseaux ne sont pas physiquement au même endroit.
-
Oui mais justement si le trafic n'est pas si élevé que ça mais tout de même conséquent les parties font des sessions en VLAN privés.
Non.
C'est encore plus plausible si les deux réseaux ne sont pas physiquement au même endroit.
Non plus.
-
Ce qui peut arriver aussi c'est qu'il y ait du trafic dropbox provenant d'une MAC non enregistrée et au lieu de le rejeter, cisco balance sur tous les ports.
C'est un point d'échange, pas un LAN bureautique. Les seuls MACs sur ce LAN sont les MACs des routeurs des membres.
-
+1 et sachant que le subnet d'interco est un /23 je vois mal un switch saturé en MAC address...
-
C'est un point d'échange, pas un LAN bureautique. Les seuls MACs sur ce LAN sont les MACs des routeurs des membres.
Comment expliquer le trafic en provenance de Wifirst et à déstination de réseaux qui ne sont pas announcés à cet endroit ?
-
Ils doivent avoir une session BGP directe entres eux pour ne pas passer par les RS.
-
Bonjour,
Suite à l'ouverture d'un ticket chez Equinix pour le problème de trafic ''délirant'', notre connectivité IP a été coupée pendant 24h. En début d'après-midi, la connectivité IP est revenue et nous ne constatons plus de trafic polluant ! Et vous ?
Thomas VAHE