<p>IXes for years have done mac port filtering to mitigate this issue.<br>
One port, one mac. No tagging. If a port is lit up, it should point to the issue (if filtered frames hit l2 int counters). A faulty transceiver spewing a valid source mac?</p>
<p>Is mac filtering not being done there, or is it not working?</p>
<div class="gmail_quote">On Nov 13, 2011 5:33 PM, "Sean K. Finn" <<a href="mailto:sean.finn@ozservers.com.au">sean.finn@ozservers.com.au</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div bgcolor="white" lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">When a CAM Table is maxed-out a switch becomes a full-duplex hub. (Cool hey).<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">If it doesn’t know which mac address to send the traffic to, it sends it EVERYWHERE.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">If the traffic is deliberately being injected into a port knowing that the mac address doesn’t exist on the peering fabric, EVERYONE gets it, even if the CAM table isn’t full.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">I’m not on PIPE-IX-SYD, (Only on Equinix-SYD, O Hai) but I can imagine that..<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:11.0pt;color:#1F497D">There’s a customer connected to the IX who’s own network has become a hub so they are smashing L2 traffic into the IX not on purpose.<u></u><u></u></span></b></p>
<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">At least I’d hope that’s the case, I wouldn’t imagine anyone would deliberately sabotage the IX.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">If someone can sniff the packets you may be able to get the MAC address, then do an Arping on all of the IX IP’s and see which mac addresses match the IP’s in question, or look at your routers ARP table for a corresponding MAC address to get the offending networks PEER-IP. (Or look on the graphs and see who is inverse to everyone else).<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">Who has more peers, by the way? Equinix-SYD or PIPE-SYD? <u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D">S.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1F497D"><u></u> <u></u></span></p>
<div><div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in"><p class="MsoNormal"><b><span style="font-size:10.0pt">From:</span></b><span style="font-size:10.0pt"> <a href="mailto:ausnog-bounces@lists.ausnog.net" target="_blank">ausnog-bounces@lists.ausnog.net</a> [mailto:<a href="mailto:ausnog-bounces@lists.ausnog.net" target="_blank">ausnog-bounces@lists.ausnog.net</a>] <b>On Behalf Of </b>ZoneNetworks - Joel<br>
<b>Sent:</b> Sunday, November 13, 2011 9:35 AM<br><b>To:</b> Skeeve Stevens<br><b>Cc:</b> <a href="mailto:ausnog@ausnog.net" target="_blank">ausnog@ausnog.net</a><br><b>Subject:</b> Re: [AusNOG] SPAM-LOW: Pipe peering issue - Equinix<u></u><u></u></span></p>
</div></div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">To my knowledge it's a hardware/firmware issue not traffic related ...though looking at the graphs it seems like traffic/flood which is misleading<u></u><u></u></p>
</div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal" style="margin-bottom:12.0pt">If more customers gave them a hard time it might get fixed sooner, we were told (in august) they had a long term fix in plan but no ETA when it will be done<u></u><u></u></p>
</div><div><p class="MsoNormal">Not something you would hear from the "old pipe"<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Joel<u></u><u></u></p></div><div>
<p class="MsoNormal">Sent from my iPad<u></u><u></u></p></div><div><p class="MsoNormal" style="margin-bottom:12.0pt"><br>On 13/11/2011, at 10:06 AM, Skeeve Stevens <<a href="mailto:Skeeve@eintellego.net" target="_blank">Skeeve@eintellego.net</a>> wrote:<u></u><u></u></p>
</div><blockquote style="margin-top:5.0pt;margin-bottom:5.0pt"><div><div><div><div><p class="MsoNormal">Do we know where the traffic is coming from?<u></u><u></u></p></div><div><div><div><p class="MsoNormal"><span style="font-size:13.5pt;color:black"><u></u> <u></u></span></p>
</div><div><p class="MsoNormal"><span><span style="font-size:13.5pt;color:#002060">…Skeeve</span></span><span style="font-size:13.5pt;color:black"><u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:13.5pt;color:black"><u></u> <u></u></span></p>
</div><div><p class="MsoNormal"><span><span style="font-size:13.5pt;color:#002060">--</span></span><span style="font-size:13.5pt;color:black"><u></u><u></u></span></p></div><div><div><p style="margin:0in;margin-bottom:.0001pt">
<span style="font-size:10.0pt;color:black">Skeeve Stevens, CEO - eintellego Pty Ltd<u></u><u></u></span></p><p style="margin:0in;margin-bottom:.0001pt"><span style="font-size:10.0pt;color:black"><a href="mailto:skeeve@eintellego.net" target="_blank">skeeve@eintellego.net</a> ; <a href="http://www.eintellego.net" target="_blank">www.eintellego.net</a><u></u><u></u></span></p>
<p style="margin:0in;margin-bottom:.0001pt"><span style="font-size:10.0pt;color:black">Phone: 1300 753 383 ; Fax: <a href="tel:%28%2B612%29%208572%209954" value="+61285729954" target="_blank">(+612) 8572 9954</a><u></u><u></u></span></p>
<p style="margin:0in;margin-bottom:.0001pt"><span style="font-size:10.0pt;color:black">Cell <a href="tel:%2B61%20%280%29414%20753%20383" value="+61414753383" target="_blank">+61 (0)414 753 383</a> ; <a>skype://skeeve</a><u></u><u></u></span></p>
<p style="margin:0in;margin-bottom:.0001pt"><span style="font-size:10.0pt;color:black"><a href="http://facebook.com/eintellego" target="_blank">facebook.com/eintellego</a><u></u><u></u></span></p><p style="margin:0in;margin-bottom:.0001pt">
<span style="font-size:10.0pt;color:black"><a href="http://twitter.com/networkceoau" target="_blank">twitter.com/networkceoau</a> ; <a href="http://www.linkedin.com/in/skeeve" target="_blank">www.linkedin.com/in/skeeve</a><u></u><u></u></span></p>
<p style="margin:0in;margin-bottom:.0001pt"><span style="font-size:10.0pt;color:black">PO Box 7726, Baulkham Hills, NSW 1755 Australia<u></u><u></u></span></p><div><p class="MsoNormal"><span style="font-size:13.5pt;color:#002060"><u></u> <u></u></span></p>
</div><p style="margin:0in;margin-bottom:.0001pt"><span style="font-size:10.0pt;color:black">--<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:13.5pt;color:#7F007F">eintellego - The Experts Who The Experts Call<u></u><u></u></span></p>
</div><div><p class="MsoNormal"><span><span style="font-size:13.5pt;color:#002060">Juniper - HP Networking - Cisco - Brocade</span></span><span style="font-size:13.5pt;color:#7F007F"><u></u><u></u></span></p></div></div></div>
</div></div></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><div><p class="MsoNormal">On 13/11/11 10:04 AM, "Jared Hirst" <<a href="mailto:jared.hirst@serversaustralia.com.au" target="_blank">jared.hirst@serversaustralia.com.au</a>> wrote:<u></u><u></u></p>
</div></div><div><p class="MsoNormal"><u></u> <u></u></p></div><blockquote style="border:none;border-left:solid #B5C4DF 4.5pt;padding:0in 0in 0in 4.0pt;margin-left:3.75pt;margin-right:0in"><div><div><div><p class="MsoNormal">
Yeah every few weeks it happens is what I mean, they start sending<u></u><u></u></p></div><div><p class="MsoNormal">hundreds of mbits of useless broadcast traffic to all customers in<u></u><u></u></p></div><div><p class="MsoNormal">
Equinix. It's getting frustrating and annoying as it always seems to<u></u><u></u></p></div><div><p class="MsoNormal">happen at 2:00on a Saturday morning :(<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p>
</div><div><p class="MsoNormal">Kindest Regards,<u></u><u></u></p></div><div><p class="MsoNormal">Jared Hirst<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Servers Australia Pty Ltd<u></u><u></u></p>
</div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Phone: 02 4307 4200<u></u><u></u></p></div><div><p class="MsoNormal">Fax: 02 4307 4201<u></u><u></u></p></div><div><p class="MsoNormal">Web: <a href="http://www.serversaustralia.com.au" target="_blank">http://www.serversaustralia.com.au</a><u></u><u></u></p>
</div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">On 13/11/2011, at 4:26 AM, "<a href="mailto:joel@zonenetworks.com.au" target="_blank">joel@zonenetworks.com.au</a>"<u></u><u></u></p>
</div><div><p class="MsoNormal"><<a href="mailto:joel@zonenetworks.com.au" target="_blank">joel@zonenetworks.com.au</a>> wrote:<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><blockquote style="border:none;border-left:solid #B5C4DF 4.5pt;padding:0in 0in 0in 4.0pt;margin-left:3.75pt;margin-right:0in">
<div><p class="MsoNormal">It's been happening for months now not few weeks<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Last time we were told they need to fix switch/router but they can't do it for some reason<u></u><u></u></p>
</div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Sent from my HTC<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">----- Reply message -----<u></u><u></u></p>
</div><div><p class="MsoNormal">From: "Jared Hirst" <<a href="mailto:jared.hirst@serversaustralia.com.au" target="_blank">jared.hirst@serversaustralia.com.au</a>><u></u><u></u></p></div><div><p class="MsoNormal">
To: "<a href="mailto:ausnog@ausnog.net" target="_blank">ausnog@ausnog.net</a>" <<a href="mailto:ausnog@ausnog.net" target="_blank">ausnog@ausnog.net</a>><u></u><u></u></p></div><div><p class="MsoNormal">Subject: SPAM-LOW:  [AusNOG] Pipe peering issue - Equinix<u></u><u></u></p>
</div><div><p class="MsoNormal">Date: Sun, Nov 13, 2011 3:30 am<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Guys,<u></u><u></u></p>
</div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Just as an FYI there appears to be some form of broadcast storm on the<u></u><u></u></p></div><div><p class="MsoNormal">pipe peering fabric in Equinix Sydney, looks to be affecting a few<u></u><u></u></p>
</div><div><p class="MsoNormal">people and filling links from the looks of their online graphs.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">We have had to shut our pipe peering down until they resolve it, which<u></u><u></u></p>
</div><div><p class="MsoNormal">is my next question... Do pipe have a 24/7 NOC still? I called over 30<u></u><u></u></p></div><div><p class="MsoNormal">minutes ago and went to a messaging service but have not had a call<u></u><u></u></p>
</div><div><p class="MsoNormal">back, have also created a ticket with no response.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">So if anyone is wondering why their pipe link is full, this is why.<u></u><u></u></p>
</div><div><p class="MsoNormal">Appears to be happening every few weeks in Equinix lately.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Kindest Regards,<u></u><u></u></p>
</div><div><p class="MsoNormal">Jared Hirst<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Servers Australia Pty Ltd<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p>
</div><div><p class="MsoNormal">Phone: 02 4307 4200<u></u><u></u></p></div><div><p class="MsoNormal">Fax: 02 4307 4201<u></u><u></u></p></div><div><p class="MsoNormal">Web: <a href="http://www.serversaustralia.com.au" target="_blank">http://www.serversaustralia.com.au</a><u></u><u></u></p>
</div><div><p class="MsoNormal">_______________________________________________<u></u><u></u></p></div><div><p class="MsoNormal">AusNOG mailing list<u></u><u></u></p></div><div><p class="MsoNormal"><a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a><u></u><u></u></p>
</div><div><p class="MsoNormal"><a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p>
</div></blockquote><div><p class="MsoNormal">_______________________________________________<u></u><u></u></p></div><div><p class="MsoNormal">AusNOG mailing list<u></u><u></u></p></div><div><p class="MsoNormal"><a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a><u></u><u></u></p>
</div><div><p class="MsoNormal"><a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p>
</div></div></div></blockquote></div></blockquote></div></div><br>_______________________________________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
<br></blockquote></div>