幾個月前(2016/08?),高雄收到了封包被drop的告警。但奇怪,不是已經設定了阻擋LLMNR的ACL,怎麼還會觸發告警呢?
所以我只好作一個LAB來驗證。
BRAS的設定如下:
接著我在電腦上安裝了Colasoft Packet Builder來製造LLMNR的封包。
Destination MAC、IP和port就依RFC的規定來設定。
最後把電腦的網路線接上設備準備開始測試。
用tcpdump來觀察,可以看到IP、Port都有照我們的規劃在送
我們在interface裡把access-group cbu-attack-vpn拿掉。接著看一下ACL有沒有生效。
admin-acl是進入context的acl,看起來seq 300都維持在750。並沒有增加
接著把interface上的acl加回。
看起來是有match的啊,這個時候我們回頭檢查drop。但drop一直沒有增加,不管我封包打多快都一樣。
。最後我們再把interface上的acl拿掉。但drop還是沒有增加...
結論:
我無法確定當時的drop packet是因為line card無法處理這些LLMNR封包的關係 (或許有關係,但我設定每1ms就打封包,然後一次打1萬個也無法觸發drop,感覺跟速度及量無關 (我是用1G線路對接應該比用戶家裡的VDSL快吧)。
而且就算我沒有設定acl也是不會有drop,所以我無法確認LLMNR是否因為ACL被攔阻與否造成drop。這也與我們之前2015年8月遇到的,明明有開acl卻還是有drop相同。
因此,我大擔的假設。之前台中的drop根本就與LLMNR無關...
題外話,最奇怪的是,admin-acl突然match seq 300的數量增加了..怪哉
明明之前沒有match的啊....
沒有留言:
張貼留言