[roma33rus]

Всем привет. Хочу на Cisco 4948e отфильтровать трафик предназначенный циске. В таком случае вешать ACL на интерфейс? Или какую-нибудь другую схему сделать?

[andryas]

Я вешаю на все порты, в через которые можно достукаться на L3 интерфейс свича ACL, в котором разрешаю доверенные IP и блокирую все остальные с dst этой кошки. М.б. есть решения получше, но я так по старой привычке. Пока не подводило.

[pppoetest]

CoPP возможно спасёт отца русской демократии, на форуме тема всплывала, с блекджеками и конфигами.

[andryas]

CoPP возможно спасёт отца русской демократии, на форуме тема всплывала, с блекджеками и конфигами.

 

Заинтересовало. На форуме не нашёл темы, но в некотором роде разжёвано здесь

 

http://www.anticisco.ru/blogs/2012/06/защита-области-контроля-control-plane-protection-cppr/

http://ciscomaster.ru/content/bezopasnost-nachalo-13-bezopasnost-i-control-plane

 

ну и в мурзилке http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/copp.html

[VPN]

Если просто закрыть доступ к SNMP/SSH/Telnet/NTP, то это делается соответствующими командами для каждой фичи.

SSH/Telnet - в line vty указывается access-group, SNMP при указании community можно прикрепить acl и т.д.

В принципе CoPP позволит, наверное, добиться того же, только он посложнее и может иметь вагон примечаний специфичных для платформы. Но и решает куда более широкие задачи.

[v_r]

ACL на SNMP/VTY/... обрабатывается в софте и даже при небольшом DoS на устройство (хватит и 10kpps) будут проблемы. На оборудовании где CoPP поддерживается аппаратно лучше использовать его.

[VPN]

ACL на SNMP/VTY/... обрабатывается в софте и даже при небольшом DoS на устройство (хватит и 10kpps) будут проблемы. На оборудовании где CoPP поддерживается аппаратно лучше использовать его.

А можно ссылочку, где можно почитать, что это выполняется в софте? У меня почему-то всегда было впечатление, что acl все равно выполнялся на уровня железа. Ведь CoPP тоже может содержать в конфигураци разного рода acl.

[pppoetest]

Заинтересовало. На форуме не нашёл темы,

https://www.google.com/search?q=copp+site%3Aforum.nag.ru

[roma33rus]

О сколько сообщений. Спасибо поизучаю. с CoPP разберусь наверно позднее. Сейчас ACL набросаю. Надо железяку в работу вводить.

[VolanD666]

ACL на SNMP/VTY/... обрабатывается в софте и даже при небольшом DoS на устройство (хватит и 10kpps) будут проблемы. На оборудовании где CoPP поддерживается аппаратно лучше использовать его.

А можно ссылочку, где можно почитать, что это выполняется в софте? У меня почему-то всегда было впечатление, что acl все равно выполнялся на уровня железа. Ведь CoPP тоже может содержать в конфигураци разного рода acl.

 

+1

[v_r]

А можно ссылочку, где можно почитать, что это выполняется в софте? У меня почему-то всегда было впечатление, что acl все равно выполнялся на уровня железа. Ведь CoPP тоже может содержать в конфигураци разного рода acl.

 

Под ACL понимается список сетей, а в софте или в железе он работает зависит от применения и от конкретного оборудования.

Если использовать ACL в раут-мапе на редистрибьюцию или на фильтры BGP то конечно ни о какой реализации в железе речь идти не может, оно только в софте.

Я писал конкретно про ACL на VTY/SNMP, проверить что они в софте легко - имитируйте DoS на ваше устройство. Или поищите информацию в официальной документации.

Циска (недорогая) не будет за вас создавать и применять правила фильтрации трафика на интерфейсе или в CoPP. В серьезных железках иначе, в ASR9k вроде бы некоторые настройки автоматически изменяют правила CoPP.