<div dir="ltr">There's a bunch of monitoring tools out there that do a port scan then probe to make sure those ports stay open.</div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Dec 20, 2017 at 10:56 AM, Wes Sisk (wsisk) <span dir="ltr"><<a href="mailto:wsisk@cisco.com" target="_blank">wsisk@cisco.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div style="word-wrap:break-word">
+1. I have seen syn scan or TCP half open cause alerts with no ip, no mac. 
<div><br>
</div>
<div>you can get some insight if this happening using the workaround for</div>
<div>CSCsw73304    CLI show open ports to show ports in SYN_RECV <span class="HOEnZb"><font color="#888888"><br>
</font></span></div><span class="HOEnZb"><font color="#888888">
<div><br>
</div>
</font></span><div><span class="HOEnZb"><font color="#888888">-wes
</font></span><div><div class="h5"><div><br>
<div>
<div>On Dec 20, 2017, at 7:47 AM, Dave Goodwin <<a href="mailto:Dave.Goodwin@december.net" target="_blank">Dave.Goodwin@december.net</a>> wrote:</div>
<br class="m_4489062887949787075Apple-interchange-newline">
<div>
<div>
<div>
<div dir="auto">Any chance there’s an active vulnerability scanning machine on the network? With SYN scanning (half-open scans), it only sends a SYN packet to each port and never fully opens a TCP connection. I’m wondering whether this scenario might
 cause CallManager to report this incomplete registration alarm while not reporting the source IP - since the TCP connection was never considered to be established.</div>
<div dir="auto"><br>
</div>
<div dir="auto">I’d like to try for myself a SYN scan of port 2000 using nmap to see if I can produce this alarm. </div>
<div><br>
<div class="gmail_quote">
<div>On Wed, Dec 20, 2017 at 12:25 AM Lelio Fulgenzi <<a href="mailto:lelio@uoguelph.ca" target="_blank">lelio@uoguelph.ca</a>> wrote:<br>
</div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="auto">
<div><br>
</div>
<div id="m_4489062887949787075m_8007962503105663917AppleMailSignature">Also, definitely not exceeded number of registered devices. Especially not on the node where this alarm was coming from. <br>
<br>
Sent from my iPhone</div>
<div><br>
</div>
</div>
<div dir="auto">
<div>On Dec 20, 2017, at 12:01 AM, Ryan Huff <<a href="mailto:ryanhuff@outlook.com" target="_blank">ryanhuff@outlook.com</a>> wrote:<br>
<br>
</div>
</div>
<div dir="auto">
<blockquote type="cite">
<div>Yeah it’s tough for sure, because the error is from the device failing to register, before providing any identifying information about itself ... so next to impossible to find from the mothership point of view.
<div><br>
</div>
<div>You haven’t by chance exceeded the <br>
<div><span style="background-color:rgba(255,255,255,0)">“Maximum Number of Registered Devices” threshold for that node have you (CM Service Parameter)? You’d likely have other alarms if you did though.</span></div>
<div><span style="background-color:rgba(255,255,255,0)"><br>
</span></div>
<div>If it’s a small cluster scenario where you can reasonably access all the phones and access switches; I’d do a registration audit. </div>
<div><br>
</div>
<div>Could be as simple as a non-Cisco sip device that got plugged into a access port with the admin vlan and tried to use CUCM as its registrar but failed miserably.</div>
<div><br>
</div>
<div>I’m guessing that isn’t your scenario; my thoughts, if it were me, would be to clear it and see if it comes back. Very possible that it’s an
<span style="background-color:rgba(255,255,255,0)">innocuous event that just sent some packets at the wrong time :).</span><br>
<br>
Thanks,</div>
<div><br>
</div>
<div>Ryan<br>
<div><br>
On Dec 19, 2017, at 11:39 PM, Lelio Fulgenzi <<a href="mailto:lelio@uoguelph.ca" target="_blank">lelio@uoguelph.ca</a>> wrote:<br>
<br>
</div>
<blockquote type="cite">
<div>
<div><br>
</div>
<div id="m_4489062887949787075m_8007962503105663917AppleMailSignature">First time I think I've ever seen this. Especially with no MAC or IP addr. </div>
<div id="m_4489062887949787075m_8007962503105663917AppleMailSignature"><br>
</div>
<div id="m_4489062887949787075m_8007962503105663917AppleMailSignature">Only one alert. </div>
<div id="m_4489062887949787075m_8007962503105663917AppleMailSignature"><br>
</div>
<div id="m_4489062887949787075m_8007962503105663917AppleMailSignature">But we've recently started allowing Jabber connections from our data VLANS. </div>
<div id="m_4489062887949787075m_8007962503105663917AppleMailSignature"><br>
</div>
<div id="m_4489062887949787075m_8007962503105663917AppleMailSignature">I'd hate for it to be the beginning of something larger. <br>
<br>
Sent from my iPhone</div>
<div><br>
On Dec 19, 2017, at 11:35 PM, Ryan Huff <<a href="mailto:ryanhuff@outlook.com" target="_blank">ryanhuff@outlook.com</a>> wrote:<br>
<br>
</div>
<blockquote type="cite">
<div>Could also be network connectivity among a lot of things but more often than not, bouncing CM service seems to fix if this is a recurring alarm. If it’s a one time alarm you’ve not seen before; likely legitimately referring to a device.
<div><br>
</div>
<div>If you’ve recently added any new devices, check network connectivity / verify they are all registered. Could also be a bad device that is no longer working but still attempting a registration ... sort of.</div>
<div><br>
</div>
<div>-Ryan<br>
<div><br>
On Dec 19, 2017, at 11:22 PM, Ryan Huff <<a href="mailto:ryanhuff@outlook.com" target="_blank">ryanhuff@outlook.com</a>> wrote:<br>
<br>
</div>
<blockquote type="cite">
<div>Sounds like you should schedule a bounce of the CM service for this node. 
<div><br>
</div>
<div>Have a read here for more detail: <a href="https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/err_msgs/8_x/ccmalarms851.html" target="_blank">https://www.cisco.com/<wbr>c/en/us/td/docs/voice_ip_comm/<wbr>cucm/err_msgs/8_x/<wbr>ccmalarms851.html</a><br>
<br>
<div>Thanks,</div>
<div><br>
</div>
<div>Ryan</div>
<div><br>
On Dec 19, 2017, at 11:11 PM, Lelio Fulgenzi <<a href="mailto:lelio@uoguelph.ca" target="_blank">lelio@uoguelph.ca</a>> wrote:<br>
<br>
</div>
<blockquote type="cite">
<div>An endpoint attempted to register but did not complete registration</div>
</blockquote>
</div>
</div>
</blockquote>
<blockquote type="cite">
<div><span>______________________________<wbr>_________________</span><br>
<span>cisco-voip mailing list</span><br>
<span><a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a></span><br>
<span><a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/<wbr>mailman/listinfo/cisco-voip</a></span><br>
</div>
</blockquote>
</div>
</div>
</blockquote>
</div>
</blockquote>
</div>
</div>
</div>
</blockquote>
</div>
______________________________<wbr>_________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" rel="noreferrer" target="_blank">https://puck.nether.net/<wbr>mailman/listinfo/cisco-voip</a><br>
</blockquote>
</div>
</div>
</div>
</div>
______________________________<wbr>_________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/<wbr>mailman/listinfo/cisco-voip</a><br>
</div>
</div>
<br>
</div>
</div></div></div>
</div>

<br>______________________________<wbr>_________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" rel="noreferrer" target="_blank">https://puck.nether.net/<wbr>mailman/listinfo/cisco-voip</a><br>
<br></blockquote></div><br></div>