Jump to content
Калькуляторы

фильтрация ERSPAN на ASR-1002-x

Для блокировки по спискам РКН используется Carbon Reductor

 

Исходящий трафик с _НЕСКОЛЬКИХ_ гигабитных аплинков на ASR-1002-х зеркалится на сервер с Carbon Reductor.

Зеркалирование настроено так

 

monitor session 10 type erspan-source
source interface Gi0/0/3 - 5 tx
destination
 erspan-id 10
 mtu 1464
 ip address 10.102.102.1
 origin ip address 10.102.102.1
!
!
monitor session 20 type erspan-destination
destination interface Gi0/0/2
source
 erspan-id 10
 ip address 10.102.102.1
!

 

 

Суммарный _СРЕДНИЙ_ TX по аплинкам в ЧНН сейчас около 800Mbis/s. Интерфейс к которому подключен Carbon Reductor гигабитный. Соответственно на нем, растут output drops. И наверное иногда пакетики проскакивают мимо блокировки.

Анализ исходящего трафика показывает, что в нем 30-40% GRE.

Соответственно, если бы получилось отфильтровать GRE до попадания в destination интерфейс ERSPAN, нагрузка на него снизилась бы, дропы прекратились и еще полгода-год можно было бы не заморачиваться с установкой второго NIC в сервер с Carbon Reductor.

 

Попытка повесить ACL на destination интерфейс ERSPAN эффекта не дала. Чего и следовало ожидать.

 

 

ip access-list extended BLOCK-GRE
deny   gre any any
permit ip any any
! 
interface GigabitEthernet0/0/2
description Mirroring-to-Carbon-Reductor
no ip address
ip access-group BLOCK-GRE out
! 

 

Других вариантов пока не придумалось/не нашлось.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.