Для блокировки по спискам РКН используется Carbon Reductor
Исходящий трафик с _НЕСКОЛЬКИХ_ гигабитных аплинков на ASR-1002-х зеркалится на сервер с Carbon Reductor.
Зеркалирование настроено так
monitor session 10 type erspan-source
source interface Gi0/0/3 - 5 tx
destination
erspan-id 10
mtu 1464
ip address 10.102.102.1
origin ip address 10.102.102.1
!
!
monitor session 20 type erspan-destination
destination interface Gi0/0/2
source
erspan-id 10
ip address 10.102.102.1
!
Суммарный _СРЕДНИЙ_ TX по аплинкам в ЧНН сейчас около 800Mbis/s. Интерфейс к которому подключен Carbon Reductor гигабитный. Соответственно на нем, растут output drops. И наверное иногда пакетики проскакивают мимо блокировки.
Анализ исходящего трафика показывает, что в нем 30-40% GRE.
Соответственно, если бы получилось отфильтровать GRE до попадания в destination интерфейс ERSPAN, нагрузка на него снизилась бы, дропы прекратились и еще полгода-год можно было бы не заморачиваться с установкой второго NIC в сервер с Carbon Reductor.
Попытка повесить ACL на destination интерфейс ERSPAN эффекта не дала. Чего и следовало ожидать.
ip access-list extended BLOCK-GRE
deny gre any any
permit ip any any
!
interface GigabitEthernet0/0/2
description Mirroring-to-Carbon-Reductor
no ip address
ip access-group BLOCK-GRE out
!
Других вариантов пока не придумалось/не нашлось.