Oracle Linux 5: 21% receberam descarte de pacotes

Isso é o que estou vendo:

# netstat -i

Kernel Interface table
Iface       MTU Met    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
bond0      1500   0   703449      0 147463      0   978099      0      0      0 BMmRU
eth4       1500   0   306302      0      0      0   259244      0      0      0 BMsRU
eth5       1500   0   397147      0      6      0   718855      0      0      0 BMsRU
lo        16436   0  1977704      0      0      0  1977704      0      0      0 LRU


# cat /proc/net/bonding/bond0

Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)

Bonding Mode: IEEE 802.3ad Dynamic link aggregation
Transmit Hash Policy: layer3+4 (1)
MII Status: up
MII Polling Interval (ms): 100
Up Delay (ms): 5000
Down Delay (ms): 5000

802.3ad info
LACP rate: fast
Aggregator selection policy (ad_select): stable
Active Aggregator Info:
       Aggregator ID: 1
       Number of ports: 2
       Actor Key: 17
       Partner Key: 32912
       Partner Mac Address: RE:DA:CT:ED:be:05

Slave Interface: eth4
MII Status: up
Speed: 1000 Mbps
Duplex: full
Link Failure Count: 0
Permanent HW addr: RE:DA:CT:ED:1a:da
Aggregator ID: 1
Slave queue ID: 0

Slave Interface: eth5
MII Status: up
Speed: 1000 Mbps
Duplex: full
Link Failure Count: 0
Permanent HW addr: RE:DA:CT:ED:1a:db
Aggregator ID: 1
Slave queue ID: 0

21% de queda de pacotes equivale a um ataque do DOS. (Eu não estou longe o suficiente na minha investigação para ter uma opinião sobre "deliberada" e / ou "maliciosa".) A ligação é composta de eth4 e eth5 . Nenhuma outra interface está ativa no host.

O que não é isso:

• Nenhum firewall está sendo executado neste host. Isso não é uma queda de pacotes devido a um firewall interno.
• cat /proc/net/bonding/bond0 não mostra erros
• ethtool -S <iface> não mostra erros, mas apenas resultados para as interfaces individuais; nada no vínculo como um todo.
• A equipe de rede diz que o comutador está correspondendo ao endereço IP desse host com o endereço MAC do vínculo e ambos os valores estão corretos.

Limitações:

• A rede é gerenciada por uma equipe diferente. Eu não tenho acesso direto aos switches.

Perguntas:

• O que faria com que o título descartasse pacotes?
  • Por que o vínculo mostrando a queda de pacotes, mas não as interfaces individuais?
• Quais sugestões de switch da Cisco posso passar de volta à equipe de rede para ajudar a reduzir isso?

• Se eu iniciar um tcpdump no vínculo, ele veria os pacotes sendo descartados ou a queda acontecerá antes do ponto em que tcpdump faz sua gravação?

• Encontrei uma referência para o dropwatch , instalei e executei-o. As únicas gotas são da forma

  0 gotas em irq_stack_union + 0 -1 gotas em __per_cpu_end + fffee201 -1 gotas em __per_cpu_end + fffee202

Olhando para isso agora.

• irqbalance mostra um monte de informações, nenhuma das quais é um slam dunk. Mas o daemon está sendo executado no host.

Esta solução da Red Hat menciona o "Softnet Backup Full". Outras soluções adicionam "medido em /proc/net/softnet_stat ". Nenhuma das soluções até agora detalha o que isso significa. Como identifico especificamente que "Softnet Backup Full" é ou não a fonte desses pacotes?