On Thu, Jul 17, 2003 at 08:28:11AM +0300, igor@ktts.kharkov.ua wrote:
In original message =?koi8-r?B?RG1pdHJ5IEtvaG1hbnl1ayDkzcnU0snKIOvPyM3BzsDL?= writes:
http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml
я так понимаю, что дырка только в CPU-routed траффике для самого роутера? то есть если траффик транзитный или его обрабатывает карта (как там оно называется в циске... hardware-switched, что ли?) то это неактуально?
nazyvaetsya CEF - Cisco Express Forwarding. otdel'nayta pesnya. escho est' Process Switched Packets - eto kogda CEF disabled i vsyo routitsya cherez GRP/RSP (CPU).
heh... CEF и hardware-switched - это несколько разные песни, да и process-switching бывает не только когда cef disabled...
v documente mutno napisano: "A rare, specially crafted sequence of IPv4 packets which is handled by the processor on a Cisco IOS device may force the device to incorrectly flag the input queue on an interface as full....." - delo v tom, chto v bol'shikh router'akh
Похоже на то, что все-таки эти пакеты должны идти на сам раутер, и именно поэтому попадать в process switching. Пакеты, идущие транзитом (в то числе первый пакет, который может быть process-switched) раутер не аффектят, в том числе в случаях Flow или Fast switching'а. (по крайней мере workaround'а типа "срочно включайте CEF" там нет.)
tipa 75xx i 12xxx kazhdaya linecard eto otdel'nyj Cisco IOS device and handled by the processor :D no v documente oni privodyat ACL gde transit razreshen, tak chto pokhozhe, chto s nim vsyo ok.
primechatel'no to, chto oni rekomendujut ACLs as workaround, kotorye na nekotorykh platformakh prosto protivopokazany.
типа закрыть на вход все пакеты для management адресов, или поставить входной ACL на самих роутерах? а что тут такого?
a takogo tut to, chto naprimer na serii 12xxx (GSR) ACLs, policy i/ili netflow na interface IOS na linecard ili na GRP/RSP crash'itsya. khotite verlte, khotite net. :-)
Работает и не крэшится :)) Правда, netflow исключительно sampled, но из GSR'а больше и не вынешь... И вообще, GSR'ы - это исключительно core железка, ставить ее на ingress point не стоит. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message