On Thu, Jul 16, 2009 at 08:58:03PM +0300, Pavel Gulchouck wrote: [dd]
AS> Добавлю от себя - кроме CoPP имеет смысл настроить еще как минимум:
AS> mls rate-limit unicast ip icmp redirect 1000 10 AS> mls rate-limit unicast ip icmp unreachable no-route 1000 10 AS> mls rate-limit unicast ip icmp unreachable acl-drop 1000 10 AS> mls rate-limit all ttl-failure 1000 10 AS> mls rate-limit all mtu-failure 1000 10
AS> (цифры, разумеется, можно варьировать, это то, что стояло на нашем AS> бордере до апгрейда на MX), а то обработка ttl failures (которые AS> случаются, например, в результате routing loops) может уложить вашу AS> кошку не хуже серьезного флуда :) В реальной жизни такое наблюдал AS> один из коллег - клиент ему проанонсил свою /18, а у себя прибить AS> в Null0 забыл...
AS> На уровне CoPP это не ловится.
А точно ли не ловится? Вроде как, должно.
А по какому критерию CoPP должен зарезать генерацию RP ttl-expired и unreachable даже при легком скане динамического пула? -- ZA-RIPE||ZA1-UANIC