On Thu, Jul 16, 2009 at 05:56:31PM +0300, Vladimir Litovka wrote:
привет,
пару дней назад примерно в 11 часов вечера мне позвонил знакомый, со словами "нас тут флудят, 76-м плохо, что делать?".
так вот - не хочу показаться навязчивым, но лишний раз напомнить не повредит - на 76-х и 65-х защита процессора по умолчанию ОТКЛЮЧЕНА. Можно долго обсуждать, правильно это или нет, но независимо от результатов обсуждения все-же имеет смысл потратить время на настройку так называемого control plane protection. Просто чтобы в два часа ночи не становиться на роликовые коньки и не нестись на отключившийся сайт поднимать его.
Информация про CPP: http://vugluskr.mml.org.ua/pubCiscoDocs/security/7600CPP.pdf Настройка CPP на 7600: http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/...
Добавлю от себя - кроме CoPP имеет смысл настроить еще как минимум: mls rate-limit unicast ip icmp redirect 1000 10 mls rate-limit unicast ip icmp unreachable no-route 1000 10 mls rate-limit unicast ip icmp unreachable acl-drop 1000 10 mls rate-limit all ttl-failure 1000 10 mls rate-limit all mtu-failure 1000 10 (цифры, разумеется, можно варьировать, это то, что стояло на нашем бордере до апгрейда на MX), а то обработка ttl failures (которые случаются, например, в результате routing loops) может уложить вашу кошку не хуже серьезного флуда :) В реальной жизни такое наблюдал один из коллег - клиент ему проанонсил свою /18, а у себя прибить в Null0 забыл... На уровне CoPP это не ловится.