Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Cisco - obaranje serial linka

[es] :: Enterprise Networking :: Cisco - obaranje serial linka

Strane: 1 2

[ Pregleda: 4865 | Odgovora: 20 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

dmax
Dejan Matijević
IT Network Manager, Celebrity Cruises
Worldwide || Temerin

Član broj: 67686
Poruke: 170
*.univerexport.co.yu.



+28 Profil

icon Cisco - obaranje serial linka27.05.2006. u 12:17 - pre 217 meseci
U postojecu mrežu sam dodao jedan namenski Linux server koji komunicira preko HTTP porta sa svojim maticnim serverom preko Interneta. Mreža funkcionife preko iznajmljenih digitalnih linija, a konekcija je takodje preko digitalne linije do Telekoma i sve lepo radi. 1-2 min posle ukljucivanja Linuxa, serijski link prema Internetu se obara. Inace je serijski link za internet FRAME-RELAY IETF preko kanalizovanog E1 na Cisco 2611XM ruteru i svi ostali linkovi rade bez problema.

Pošto se Linux mašina se nalazi iza još jednog rutera, došao sam do zaključka da samo IP paketi mogu uzrokovati problem. Ovo sam proverio i tako sto sam u pristupnoj listi na provom ruteru stavio zabranu za sve IP pakete od i prema Linux mašini i tada je sve radilo po starom, osim što Linux nije mogao da pridje Internetu.

Pošto sam našao da IP/TCP paketi uzrokuju pad serijskog linka, a to nebi nikako smelo da se desi, imam utisak da je ovo jedna greška u Cisco IOS-u.

Ukoliko neko ima ikakav komentar, dobro došao je!
Hvala
 
Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.du.xdsl.is.

Sajt: https://markom.rs


+16 Profil

icon Re: Cisco - obaranje serial linka27.05.2006. u 13:34 - pre 217 meseci
Koji ruter, koji IOS, kakvi paketi?

Marko.
 
Odgovor na temu

dmax
Dejan Matijević
IT Network Manager, Celebrity Cruises
Worldwide || Temerin

Član broj: 67686
Poruke: 170
*.stcable.co.yu.



+28 Profil

icon Re: Cisco - obaranje serial linka28.05.2006. u 10:28 - pre 217 meseci
Prvi ruter ispred koga je Linux je Cisco 805 sa serijskim linkom.

Drugi ruter je Cisko 2611XM sa IOS-om sa firewallom i IDS:
Code:

Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IO3-M), Version 12.2(27), RELEASE SOFTWARE (fc3)
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Tue 02-Nov-04 23:43 by kellmill
Image text-base: 0x8000808C, data-base: 0x80A6E724

ROM: System Bootstrap, Version 12.2(8r) [cmong 8r], RELEASE SOFTWARE (fc1)
ROM: C2600 Software (C2600-IPBASE-M), Version 12.3(6c), RELEASE SOFTWARE (fc1)

Dunav uptime is 5 days, 18 hours, 59 minutes
System returned to ROM by power-on
System restarted at 13:18:41 Serbia Mon May 22 2006
System image file is "flash:c2600-io3-mz.122-27.bin"

cisco 2611XM (MPC860P) processor (revision 0x301) with 124928K/6144K bytes of memory.
Processor board ID FOC08340Q7G (2332304708)
M860 processor: part number 5, mask 2
Channelized E1, Version 1.0.
Bridging software.
X.25 software, Version 3.0.0.
Primary Rate ISDN software, Version 1.1.
2 FastEthernet/IEEE 802.3 interface(s)
13 Serial network interface(s)
2 Serial(sync/async) network interface(s)
1 Channelized E1/PRI port(s)
32K bytes of non-volatile configuration memory.
32768K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102

Pošto je Linux mašina zašticena i njoj nemam pristup snifovao sam pomocu Ethereal-a sve pakete sa Linux mašine sve dok nije pao link na ruteru. Linux mašina ima IP 192.168.10.30, a ova druga adresa je od servera kome pristupa. U prilogu je datoteka sa paketima.
Prikačeni fajlovi
 
Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.du.xdsl.is.

Sajt: https://markom.rs


+16 Profil

icon Re: Cisco - obaranje serial linka28.05.2006. u 14:46 - pre 217 meseci
Jel' se link prekinuo pre poslednjeg paketa, posle poslednjeg paketa ili na nekom drugom mestu?

Jel' možeš da okačiš "show tech" sa rutera pre i posle prekida veze?

Marko.

P.S. Prosto mi je neverovatno da običan TCP saobraćaj resetuje ruter... Viđao sam slične stvari, ali je obično bio vrlo specifičan saobraćaj i dosta stariji softver od ovoga.
 
Odgovor na temu

dmax
Dejan Matijević
IT Network Manager, Celebrity Cruises
Worldwide || Temerin

Član broj: 67686
Poruke: 170
*.stcable.co.yu.



+28 Profil

icon Re: Cisco - obaranje serial linka28.05.2006. u 20:52 - pre 217 meseci
Ethereal sam zaustavio cim se na konzoli pojavila poruka da je link "down".

Sutra kada dodjem na posao, uradi cu "show tech" i staviti u prilog.

I meni je ovo potpuno neverovatno...pa mislim, odavno su u Cisco-u prelezali te "decije bolesti" obaranja linka pomocu TCP paketa. Da nekazem ovo mu dodje kao jedan prilicno brutalan DoS napad...
 
Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.du.xdsl.is.

Sajt: https://markom.rs


+16 Profil

icon Re: Cisco - obaranje serial linka28.05.2006. u 21:59 - pre 217 meseci
Ja iskreno mislim da ti link ne pada zbog toga, već iz nekog drugog razloga, ali to ne mogu da tvrdim zato što ne radim za Cisco (možda brutalno grešim), a i zbog toga što nemam sve podatke (sh tech). Takođe dijagram mreže bi pomogao, pošto mi sve to sa Linuxom i čudima nija baš najjasnije.

Marko.
 
Odgovor na temu

dmax
Dejan Matijević
IT Network Manager, Celebrity Cruises
Worldwide || Temerin

Član broj: 67686
Poruke: 170
*.univerexport.co.yu.



+28 Profil

icon Re: Cisco - obaranje serial linka29.05.2006. u 09:32 - pre 217 meseci
U prilogu je show tech od pre i posle pada linka, kao i izlaz iz Ethereal-a od pocetka (puštanja servera na mrežu) pa do pada linka.

Ovo je topoligija ovog dela mreže:



[Ovu poruku je menjao dmax dana 29.05.2006. u 10:43 GMT+1]
Prikačeni fajlovi
 
Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.213.158.80.in.is.

Sajt: https://markom.rs


+16 Profil

icon Re: Cisco - obaranje serial linka29.05.2006. u 11:39 - pre 217 meseci
Imaš li pristup ruteru sa druge strane? Jel' može show tech i sa njega?

U stvari čekaj, koji link ovde crkava? Ser1/0.6 ili Multilink3 (Ser1/0.1) ili čitav serial padne?

Marko.
 
Odgovor na temu

dmax
Dejan Matijević
IT Network Manager, Celebrity Cruises
Worldwide || Temerin

Član broj: 67686
Poruke: 170
*.univerexport.co.yu.



+28 Profil

icon Re: Cisco - obaranje serial linka29.05.2006. u 13:38 - pre 217 meseci
Pada samo Ser1/0.6, taj sto ide prema Internetu, svi ostali rade bez problema.
 
Odgovor na temu

dmax
Dejan Matijević
IT Network Manager, Celebrity Cruises
Worldwide || Temerin

Član broj: 67686
Poruke: 170
*.univerexport.co.yu.



+28 Profil

icon Re: Cisco - obaranje serial linka30.05.2006. u 07:01 - pre 217 meseci
Sada razmišljam, da možda neki paket sa servera sa Interneta obara link, a ne server sa LAN-a. Da li se na Ciscu (2600) može videti neki "dump" IP paketa sa serijskog interfejsa?
 
Odgovor na temu

Gojko Vujovic
Amsterdam, NL

Administrator
Član broj: 1
Poruke: 13651



+165 Profil

icon Re: Cisco - obaranje serial linka30.05.2006. u 07:09 - pre 217 meseci
Može ako eksportuješ netflow. Treba ti neki PC koji će hvatati taj flow sa određenim softverom.

Mada je opet pitanje kako ćeš zaključiti koji je tačno paket ili set paketa prouzrokovao blokiranje.
 
Odgovor na temu

dmax
Dejan Matijević
IT Network Manager, Celebrity Cruises
Worldwide || Temerin

Član broj: 67686
Poruke: 170
*.univerexport.co.yu.



+28 Profil

icon Re: Cisco - obaranje serial linka30.05.2006. u 07:31 - pre 217 meseci
Koristim ManageEngine NetFlow Analyzer 4, ali koliko vidim na njemu nema mogucnosti za kompletan dump, samo zbirno saobracaj po IP i portovima. Da li mi možeš preporuciti neki drugi softwer?
 
Odgovor na temu

dmax
Dejan Matijević
IT Network Manager, Celebrity Cruises
Worldwide || Temerin

Član broj: 67686
Poruke: 170
*.univerexport.co.yu.



+28 Profil

icon Re: Cisco - obaranje serial linka30.05.2006. u 08:30 - pre 217 meseci
Citat:
Mada je opet pitanje kako ćeš zaključiti koji je tačno paket ili set paketa prouzrokovao blokiranje.

Pokušavam da izolujem samo taj paket ili grupu. Trenutno sa pristupnim listama na prvom ruteru, a kasnije cu pokusati da ga reemitujem paket da se uverim da on uzrokuje problem.
Kod debug opcija sam svašta probao, ali jedino ovde dobijam neki izlaz:

Code:
Dunav#debug ip packet detail 177
May 30 09:07:36.391 Serbia: IP: tableid=0, s=192.168.10.30 (Multilink3), d=87.244.192.157 (Serial1/0:6), routed via FIB
May 30 09:07:37.461 Serbia: IP: tableid=0, s=192.168.10.30 (Multilink3), d=87.244.192.157 (Serial1/0:6), routed via FIB
May 30 09:07:38.735 Serbia: IP: tableid=0, s=192.168.10.30 (Multilink3), d=87.244.192.157 (Serial1/0:6), routed via FIB
May 30 09:07:40.710 Serbia: IP: tableid=0, s=192.168.10.30 (Multilink3), d=87.244.192.157 (Serial1/0:6), routed via FIB
May 30 09:08:21.385 Serbia: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0:6, changed state to down
 
Odgovor na temu

Gojko Vujovic
Amsterdam, NL

Administrator
Član broj: 1
Poruke: 13651



+165 Profil

icon Re: Cisco - obaranje serial linka30.05.2006. u 22:12 - pre 217 meseci
U pravu si za netflow, nisam našao pregled "paket po paket" a i nisam dovoljno precizno pročitao tvoju poruku kada si naglasio da to tražiš.

A jedno razmišljanje... ukoliko je ethernet jedini mogući izvor paketa koji će se naći na serijskom linku (pogasiš routing protokole, cdp, i šta se još može tu naći), onda bi dump sa etherneta trebalo da uhvati problematične pakete ukoliko postoje. To možeš da uradiš tako što povežeš hub uspred rutera pa sa nekim traffic analajzerom (tcpdump, ethereal, snifferpro, etherpeak,...) hvataš saobraćaj, ili ako nemaš hub - linux koji bridžuje između dva ethernet adaptera i radi dump paketa koje switchuje.

Ali i dalje mi je prosto neverovatno da ti se tako nešto dešava... ima li šanse da probaš celu tu konfiguraciju na stolu, da izbegneš potencijalne spoljne uticaje wan linka, napajanja, itd? Takođe bih probao sa drugom verzijom IOS-a, ukoliko ti je neka dostupna, još bolje ako je sasvim drugi release.
 
Odgovor na temu

dmax
Dejan Matijević
IT Network Manager, Celebrity Cruises
Worldwide || Temerin

Član broj: 67686
Poruke: 170
*.univerexport.co.yu.



+28 Profil

icon Re: Cisco - obaranje serial linka31.05.2006. u 07:08 - pre 217 meseci
Citat:
To možeš da uradiš tako što povežeš hub uspred rutera pa sa nekim traffic analajzerom (tcpdump, ethereal, snifferpro, etherpeak,...) hvataš saobraćaj,

Ovo rešenje sam i primenio za one dump-ope od pre.

Citat:
Mada je opet pitanje kako ćeš zaključiti koji je tačno paket ili set paketa prouzrokovao blokiranje.

Sa netflow-om sam razmišljao da možda vidim kakvi se paketi vracaju sa maticnog servera, tj. da neprave oni možda probleme, mada si u pravu da zakljucka iz toga nema, ali radim na tome da lokalizujem problem.
Pošto sam krenuo da lokalizujem problem stavio sam na ruter drina sledece pristupne liste, kao i pravila na eth0:
(Stavio sam još jednu šemu, sa pravim imenima, da nema zabune ako neko gleda priložene datoteke dosada)

Code:
access-list 188 deny   tcp host 192.168.10.30 host 87.244.192.157 eq www log
access-list 188 deny   tcp host 87.244.192.157 host 192.168.10.30 eq www log
access-list 188 permit ip any any

Code:
interface Ethernet0
 ip address 192.168.10.6 255.255.255.0
 ip access-group 188 in
 ip access-group 188 out




Posle ovoga link prema internetu više nepada (1/0:6). Od saobracaja Linux mašina koristi još samo DNS upite i NTP sinhronizaciju i to radi periodicno. Pokušava i da ostvari konekciju sa maticnim serverom, ali nemože da prodje kroz ruter drina i to se vidi preko konzole:

Code:
May 31 07:29:21.369: %SEC-6-IPACCESSLOGP: list 188 denied tcp 192.168.10.30(4772) -> 87.244.192.157(80), 1 packet
May 31 07:34:21.427: %SEC-6-IPACCESSLOGP: list 188 denied tcp 192.168.10.30(3265) -> 87.244.192.157(80), 1 packet
May 31 07:39:21.477: %SEC-6-IPACCESSLOGP: list 188 denied tcp 192.168.10.30(1483) -> 87.244.192.157(80), 1 packet
May 31 07:44:21.531: %SEC-6-IPACCESSLOGP: list 188 denied tcp 192.168.10.30(4177) -> 87.244.192.157(80), 1 packet

Tako da sada stvarno ispada da samo ove TCP konekcije ruše link.
Linux mašina koristi HTTP saobracaj da razmeni podatke. Ukoliko se pogledaju u Etherealu, vidi se da se koristi neka enkripcija. Sistem skroz zašticen, a kolege iz domace firme ciji je server samo imaju posreduju u poslu (franšiza firme iz Slovacke) nemaju pristu Linux mašinu.
Na ruteru dunav je IOS sa FW i IDS-om, bilo je indikacija da zbog kompleksnosti konfiguracije (raznih podignutih servisa) i specificnog saobracaja IDS obori link zbog zastite, ali koliko ja znam IDS samo treba da resetuje odredjenu TCP konekciju, a ne da iskljuci citav link (ispravite me ako gresim).

Citat:
Takođe bih probao sa drugom verzijom IOS-a, ukoliko ti je neka dostupna, još bolje ako je sasvim drugi release.

Tražio sam od našeg distributera za Cisco da pogleda ako ima neka novija verzija, ipak je ova iz 02-Nov-04.


[Ovu poruku je menjao dmax dana 31.05.2006. u 08:20 GMT+1]

[Ovu poruku je menjao dmax dana 31.05.2006. u 09:54 GMT+1]
Prikačeni fajlovi
 
Odgovor na temu

dmax
Dejan Matijević
IT Network Manager, Celebrity Cruises
Worldwide || Temerin

Član broj: 67686
Poruke: 170
*.univerexport.co.yu.



+28 Profil

icon Re: Cisco - obaranje serial linka31.05.2006. u 07:58 - pre 217 meseci
Inace je kolega iz firme ciji je linix serever voljan da ga zameni, ali nemislimo da ce to dovesti do rešenja. Cak i da se problem reši, jer je Linux mašina generisala nekakav "cudan" paket, ostaje otvoreno pitanje, kako Cisko ruter može da obori link.
 
Odgovor na temu

zaludnik
Beograd

Član broj: 96448
Poruke: 2
195.46.55.*



Profil

icon Re: Cisco - obaranje serial linka31.05.2006. u 13:20 - pre 217 meseci
Da ti ne pravi MTU problem?
Slike su za zid, nisu za knjige.
 
Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.213.158.80.in.is.

Sajt: https://markom.rs


+16 Profil

icon Re: Cisco - obaranje serial linka31.05.2006. u 13:34 - pre 217 meseci
Sigurno nije problem sa MTU. To se manifestuje znatno drugačije.

@dmax: Malo sam zauzet ovih dana, probaću da pogledam one "sh tech" večeras.

Marko.
 
Odgovor na temu

dmax
Dejan Matijević
IT Network Manager, Celebrity Cruises
Worldwide || Temerin

Član broj: 67686
Poruke: 170
*.univerexport.co.yu.



+28 Profil

icon Re: Cisco - obaranje serial linka31.05.2006. u 13:55 - pre 217 meseci
@markom: Hvala za trud!

Inace su mi ovaj email poslali iz Cisco-a. Samo sam pitao kome da se obratim za "security hole in IOS", a oni su mi odgovorili ovo:

Citat:
Dear Dejan,

We understand that you have an issue with the IOS. Hence we request to access once again. If you are still facing the same issues, please get back to us with the below details:

The user id you are using
The URL you are accessing
The steps you took
The exact error message you are receiving

Once you revert with the above details, we will replicate your issue and provide you a resolution. If necessary we will contact our technical team and try to resolve your issue. Please note that due to security purposes we cannot receive attachments. Hence, please send the requested information in text format within your mail.
However, if you feel that the issue is resolved then please confirm the same with us, so that we could close this case to avoid backlog of open cases.

We are keeping this case open and await your response


Zvuci, kao da imam problema sa pristupom na njihov sajt.....
Usput, da li neko zna na koji email da se obratim njima, jer ocigledno neko samo rutinski baca pogled na poštu koja im stiže.
 
Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.213.158.80.in.is.

Sajt: https://markom.rs


+16 Profil

icon Re: Cisco - obaranje serial linka31.05.2006. u 14:23 - pre 217 meseci
Pa pošalji im detalje koje ti traže, ništa te ne košta.

Uvek imaš i cisco-nsp listu za te stvari. Tamo ima i clueful ljudi iz Ciscoa koji hoće da pogledaju problem ako im se učini zanimljiv.

Marko.


 
Odgovor na temu

[es] :: Enterprise Networking :: Cisco - obaranje serial linka

Strane: 1 2

[ Pregleda: 4865 | Odgovora: 20 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.