Jump to content

Cisco фильтрация

roma33rus
 Share

Recommended Posts

roma33rus

roma33rus

Posted
Posted

Всем привет. Хочу на Cisco 4948e отфильтровать трафик предназначенный циске. В таком случае вешать ACL на интерфейс? Или какую-нибудь другую схему сделать?

andryas

andryas

Posted
Posted

Я вешаю на все порты, в через которые можно достукаться на L3 интерфейс свича ACL, в котором разрешаю доверенные IP и блокирую все остальные с dst этой кошки. М.б. есть решения получше, но я так по старой привычке. Пока не подводило.

andryas

andryas

Posted
Posted

CoPP возможно спасёт отца русской демократии, на форуме тема всплывала, с блекджеками и конфигами.

 

Заинтересовало. На форуме не нашёл темы, но в некотором роде разжёвано здесь

 

http://www.anticisco.ru/blogs/2012/06/защита-области-контроля-control-plane-protection-cppr/

http://ciscomaster.ru/content/bezopasnost-nachalo-13-bezopasnost-i-control-plane

 

ну и в мурзилке http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/copp.html

VPN

VPN

Posted
Posted

Если просто закрыть доступ к SNMP/SSH/Telnet/NTP, то это делается соответствующими командами для каждой фичи.

SSH/Telnet - в line vty указывается access-group, SNMP при указании community можно прикрепить acl и т.д.

В принципе CoPP позволит, наверное, добиться того же, только он посложнее и может иметь вагон примечаний специфичных для платформы. Но и решает куда более широкие задачи.

v_r

v_r

Posted
Posted

ACL на SNMP/VTY/... обрабатывается в софте и даже при небольшом DoS на устройство (хватит и 10kpps) будут проблемы. На оборудовании где CoPP поддерживается аппаратно лучше использовать его.

VPN

VPN

Posted
Posted

ACL на SNMP/VTY/... обрабатывается в софте и даже при небольшом DoS на устройство (хватит и 10kpps) будут проблемы. На оборудовании где CoPP поддерживается аппаратно лучше использовать его.

А можно ссылочку, где можно почитать, что это выполняется в софте? У меня почему-то всегда было впечатление, что acl все равно выполнялся на уровня железа. Ведь CoPP тоже может содержать в конфигураци разного рода acl.

VolanD666

VolanD666

Posted
Posted

ACL на SNMP/VTY/... обрабатывается в софте и даже при небольшом DoS на устройство (хватит и 10kpps) будут проблемы. На оборудовании где CoPP поддерживается аппаратно лучше использовать его.

А можно ссылочку, где можно почитать, что это выполняется в софте? У меня почему-то всегда было впечатление, что acl все равно выполнялся на уровня железа. Ведь CoPP тоже может содержать в конфигураци разного рода acl.

 

+1

v_r

v_r

Posted
Posted

А можно ссылочку, где можно почитать, что это выполняется в софте? У меня почему-то всегда было впечатление, что acl все равно выполнялся на уровня железа. Ведь CoPP тоже может содержать в конфигураци разного рода acl.

 

Под ACL понимается список сетей, а в софте или в железе он работает зависит от применения и от конкретного оборудования.

Если использовать ACL в раут-мапе на редистрибьюцию или на фильтры BGP то конечно ни о какой реализации в железе речь идти не может, оно только в софте.

Я писал конкретно про ACL на VTY/SNMP, проверить что они в софте легко - имитируйте DoS на ваше устройство. Или поищите информацию в официальной документации.

Циска (недорогая) не будет за вас создавать и применять правила фильтрации трафика на интерфейсе или в CoPP. В серьезных железках иначе, в ASR9k вроде бы некоторые настройки автоматически изменяют правила CoPP.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.