Добрый день, all.
Имею следующую проблему, а именно drop части пакетов при их NAT-е, но начну сначала:
System image file is "usbflash0:c1900-universalk9-mz.SPA.154-3.M3.bin"
Cisco CISCO1921/K9 (revision 1.0) with 491520K/32768K bytes of memory.
Total active translations: 50 (0 static, 50 dynamic; 50 extended)
Peak translations: 300, occurred 2d22h ago
Outside interfaces:
GigabitEthernet0/0
Inside interfaces:
GigabitEthernet0/1
Hits: 2867569 Misses: 0
CEF Translated packets: 2856746, CEF Punted packets: 10825
Expired translations: 11254
Dynamic mappings:
-- Inside Source
[Id: 1] access-list NAT-INSIDE interface GigabitEthernet0/0 refcount 50
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
IPv4 CEF output features:
Feature Drop Consume Punt Punt2Host New i/f
Post-routing NAT 503 0 0 6983 0
Firewall (firewa 48 0 0 0 0
Total
<191>4095: Jan 18 09:23:23.500: CEF-Drop: Packet from 172.16.32.4 (Gi0/1) to 77.88.8.8 (Gi0/0), Output feature Post-routing NAT Outside 172.16.0.2 18/01 14:23:30.031
<191>4096: Jan 18 09:23:23.500: ihl=20, length=61, tos=0, ttl=126, checksum=1837, offset=0 172.16.0.2 18/01 14:23:30.037
<191>4097: Jan 18 09:23:23.500: UDP src=58556, dst=53, length=41, checksum=43359 172.16.0.2 18/01 14:23:30.042
<191>4098: Jan 18 09:23:25.512: CEF-Drop: Packet from 172.16.32.4 (Gi0/1) to 77.88.8.1 (Gi0/0), Output feature Post-routing NAT Outside 172.16.0.2 18/01 14:23:32.042
<191>4099: Jan 18 09:23:25.512: ihl=20, length=60, tos=0, ttl=126, checksum=1841, offset=0 172.16.0.2 18/01 14:23:32.047
<191>4100: Jan 18 09:23:25.512: UDP src=57415, dst=53, length=40, checksum=64075 172.16.0.2 18/01 14:23:32.053
Отсюда вопрос, что делать и как быть? Не могу сообразить, куда копать, ровно такие же пакеты только с резолвом другого домена проходят без проблем. Подскажите, что прочитать или куда обратить внимание, само-собой я и сам продолжаю искать причину, пока жду вашей помощи.
UPD:
Значит ситуация оказалась совершенно не такой, как казалось на первый взгляд. После создания вопроса я собрал много дампов траффика для выявления к них аномалий приводящих к таковым последствиям. Так же гораздо глубже познакомился тем, как работает CEF и тд.
В результате чего, было выявлено, что CEF не имеет прямого отношения к данной проблеме, точнее, его поведение закономерно и правильно.
В результате анализа я выявил, что проблема характерна только для фреймов длинною в 81 байт. Более того, если фреймы содержали IP payload, с UDP payload, который в свою очередь содержал DNS payload, в котором содержался запрос на резолв доменных имён длинною в 21 символ. Точнее, размер итогового фрейма является следствием того, что доменное имя имеет длинну 21 символ. Тут нужно сделать заметку, что в случае, если DNS resolver использует дополнительные поля в DNS пакете, то длинна пакета будет больше и фрейм выйдет за границу в 81 байт, но в случае с Windows DNS он будет именно таким.
Дальше больше, ISP использует в качестве последней мили 802.16 WiMAX, в итоге схема подключения выглядит так Edge Router -> ISP Switch -> WiMAX AP -> WiMAX AP -> Some Devices -> CISCO ISG Router.
Так вот, радиорелейный тракт и был причиной данного поведения, к сожалению ISP отказался пролить свет на ситуацию, что тому было причиной, но спустя неделю переписки с Москвой, теперь техническая поддержка для Сибири там, будь проклят тот день, когда они сделали это, провайдер не смог найти нечего лучше, чем просто сделать полный перемонтаж их радиорелейного тракта.
Название провайдера я называть не буду, но это крупный ISP по меркам России, говорить о том, что не одного инженера NOC я так и не услышал я думаю не стоит, люди на том конце, к сожалению даже не могли открыть дамп, чтобы удостоверится, что то, что я говорю правда.
Простой
Сложный