starik-i-more Posted October 12, 2016 Posted October 12, 2016 Для блокировки по спискам РКН используется Carbon Reductor Исходящий трафик с _НЕСКОЛЬКИХ_ гигабитных аплинков на ASR-1002-х зеркалится на сервер с Carbon Reductor. Зеркалирование настроено так monitor session 10 type erspan-source source interface Gi0/0/3 - 5 tx destination erspan-id 10 mtu 1464 ip address 10.102.102.1 origin ip address 10.102.102.1 ! ! monitor session 20 type erspan-destination destination interface Gi0/0/2 source erspan-id 10 ip address 10.102.102.1 ! Суммарный _СРЕДНИЙ_ TX по аплинкам в ЧНН сейчас около 800Mbis/s. Интерфейс к которому подключен Carbon Reductor гигабитный. Соответственно на нем, растут output drops. И наверное иногда пакетики проскакивают мимо блокировки. Анализ исходящего трафика показывает, что в нем 30-40% GRE. Соответственно, если бы получилось отфильтровать GRE до попадания в destination интерфейс ERSPAN, нагрузка на него снизилась бы, дропы прекратились и еще полгода-год можно было бы не заморачиваться с установкой второго NIC в сервер с Carbon Reductor. Попытка повесить ACL на destination интерфейс ERSPAN эффекта не дала. Чего и следовало ожидать. ip access-list extended BLOCK-GRE deny gre any any permit ip any any ! interface GigabitEthernet0/0/2 description Mirroring-to-Carbon-Reductor no ip address ip access-group BLOCK-GRE out ! Других вариантов пока не придумалось/не нашлось. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.