VRRP and RPF
Posted Wed 11 Apr 2012 04:11:34 PM CEST
Ich habe nun eine Woche nach einem seltsamen Problem von discard packets gesucht. Es waren 2 Cisco ASR9010 und ein Switch dazwischen über den 2 VRRP VLANs gespannt. Auf den jeweiligen VRRP interfaces sah ich gelegentlich input discards.
Nach viel Sucherei hat sich nun rausgestellt das der RPF also ipv4 verify unicast source reachable-via rx schuld ist. Es können natürlich bei IP Address space scans Pakete über den anderen VRRP Partner kommen deren source address NICHT aus dem LAN kommen. Diese werde dann durch den RPF check gedropped.
Eine Lösung wäre es für die /32 der Interfaces more specifics zu erzeugen so das der traffic nicht über das VRRP Lan kommen kann.