Re: [uanog] Re: [uanog] Re: [uanog] Re: [uanog] замена свичу

On Fri, Apr 23, 2010 at 01:51:03AM -0700, Volodymyr Yakovenko wrote:

2010/4/23 Michail Litvak :

...

Hello Volodymyr Yakovenko!

 Thu, Apr 22, 2010 at 05:50:02PM -0700, vovik wrote about "[uanog] Re: [uanog] Re: [uanog] замена свичу":

...

Раз зайшла рiч про proper Juniper EX - якi вiдгуки стосовно EX3200 та EX4200?

Хтось змiг по людськи пiдняти там control plane protection?

EX4200 работает, даже немного fullview раздает, спасибо Снару за идею ;)

А можно тут поподробнее?

forwarding-table filtering. В FIB инсталлируются только OSPF/Connected/eBGP "от клиентов" плюс default полученный из своего core. При этом в RIB'е вполне можно держать full-view и отдавать его клиентам... Обсуждалось здесь: http://www.mail-archive.com/juniper-nsp@puck.nether.net/msg05057.html

...

CPP имеется ввиду от DoS защитить или просто пофильтровать там ssh с ненужных IP ?

DoS разных мастей. У EX4200 между forwarding plane и RE стоит неконфигурируемый hardware policer. В теории можно делать ingress policing на всех физических портах, но на практике рисовать и мейнтенить такую конфинурацию изрядно неудобно (в 9.2-EX вменяемого способа сказать to-me небыло).

apply-path "interaces <*> unit <*> family inet address <*>" ? (сам не пробовал). PS: на 9.2-ex смотреть вообще нельзя. Как минимум 9.3R4-ex.