Hi! On Thu, Jul 16, 2009 at 07:15:33PM +0400, Alexandre Snarskii writes: AS> On Thu, Jul 16, 2009 at 05:56:31PM +0300, Vladimir Litovka wrote:
пару дней назад примерно в 11 часов вечера мне позвонил знакомый, со словами "нас тут флудят, 76-м плохо, что делать?".
так вот - не хочу показаться навязчивым, но лишний раз напомнить не повредит - на 76-х и 65-х защита процессора по умолчанию ОТКЛЮЧЕНА. Можно долго обсуждать, правильно это или нет, но независимо от результатов обсуждения все-же имеет смысл потратить время на настройку так называемого control plane protection. Просто чтобы в два часа ночи не становиться на роликовые коньки и не нестись на отключившийся сайт поднимать его.
Информация про CPP: http://vugluskr.mml.org.ua/pubCiscoDocs/security/7600CPP.pdf Настройка CPP на 7600: http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/configuration/guide/...
AS> Добавлю от себя - кроме CoPP имеет смысл настроить еще как минимум: AS> mls rate-limit unicast ip icmp redirect 1000 10 AS> mls rate-limit unicast ip icmp unreachable no-route 1000 10 AS> mls rate-limit unicast ip icmp unreachable acl-drop 1000 10 AS> mls rate-limit all ttl-failure 1000 10 AS> mls rate-limit all mtu-failure 1000 10 AS> (цифры, разумеется, можно варьировать, это то, что стояло на нашем AS> бордере до апгрейда на MX), а то обработка ttl failures (которые AS> случаются, например, в результате routing loops) может уложить вашу AS> кошку не хуже серьезного флуда :) В реальной жизни такое наблюдал AS> один из коллег - клиент ему проанонсил свою /18, а у себя прибить AS> в Null0 забыл... AS> На уровне CoPP это не ловится. А точно ли не ловится? Вроде как, должно. -- Паша.