PACKET_RATE_EXCEEDED

ymolinet

Bonjour,

Je dispose d'un serveur chez Online qui héberge un serveur pfsense 2.1.
Depuis quelques jours, Online bloque régulièrement le port réseau pour traffic non autorisé. Ils m'ont envoyé les logs du switch :

Mar 29 10:55:09: %SW_DAI-4-PACKET_RATE_EXCEEDED: 29 packets received in 5 milliseconds on Gi1/0/10.
Mar 29 10:55:09: %PM-4-ERR_DISABLE: arp-inspection error detected on Gi1/0/10, putting Gi1/0/10 in err-disable state
Mar 29 10:55:10: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/10, changed state to down
Mar 29 10:55:11: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/10, changed state to down

Si je comprends bien ces logs, le port réseau du switch se ferme car il reçoit trop de paquet en peu de temps.
Il y a-t-il quelque chose à changer dans la configuration de la pfSense pour éviter cela ?
Merci,
Yannick

psylo

Bonjour,

La porte du switch se met en erreur non pas à cause des paquets reçus par le pfSense mais à cause d'un nombre élevé de requêtes ARP émanant du pfSense.

Par contre, pour savoir pourquoi le pfsense envoie autant de paquets, il nous faut plus d'info sur votre topologie.

Hope this helps

ccnet

Mar 29 10:55:09: %PM-4-ERR_DISABLE: arp-inspection error detected on Gi1/0/10, putting Gi1/0/10 in err-disable state

Il vous faut regarder attentivement sur le site Cisco par exemple ce qu'est le DAI (Dynamic Arp Inspection).

ymolinet

Merci de vos réponses, la topologie est la suivante :

Il s'agit d'un environnement virtualisé sous Promox, une carte réseau frontal (vmbr0) est bridgé sur l'interface physique du serveur HP.
Cette interface est utilisée comme WAN par la pfsense et utilise des IP failovers.
Elle est configurée selon le modèle du tuto suivant : http://forum.online.net/index.php?/topic/1240-tuto-esxi-pfsense-comme-firewall/

La pfSense dispose ensuite d'un LAN et de deux DMZ. Des régles de NAT et de firewall distribue des services aux machines qui ne trouve derrière (DMZ, LAN).
Elle est utilisée aussi commme serveur OpenVPN.

Les machines en LAN et DMZ peuvent être sous Windows ou Linux.
Il y a aussi un serveur coté LAN qui envoie beaucoup de traffic sortant la nuit (synchronisation/sauvegarde).

Ce qui me semble assez étrange est ce que cette plateforme tourne comme cela depuis au moins 6 mois sans problème et que cela a commencé en milieu de semaine dernière.

Merci,
Yannick

ccnet

A qui appartiennent les switchs ?

ymolinet

Online.

ymolinet

Étrangement, comme j'avais aussi des problèmes avec la librairie curl sur la pfsense (suite à une mise à jour entre 2.1RC et 2.1 stable), j'ai réinstallé une pfsense 2.1 stable et reinjecter ma configuration. Le problème semble s'être résorber (pas de problème aujourd'hui).