zlolotus Posted December 11, 2017 · Report post Коллеги, кто нибудь использует 4900m bgp бордер как bgp бордер? Какие есть подводные камни, если префиксов не больше 3к? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dignity Posted December 11, 2017 · Report post Думаю, что никаких камней тут нет. По профилю - отличный бордер без FV, особенно если интеллектуальных сервисов не надо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
v_r Posted December 12, 2017 · Report post 49е очень шустро работают и при 30к в FIB + 300к в RIB. Подводный камень как и для всех бордеров - настраивайте CoPP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zlolotus Posted December 13, 2017 · Report post 17 часов назад, v_r сказал: 49е очень шустро работают и при 30к в FIB + 300к в RIB. Подводный камень как и для всех бордеров - настраивайте CoPP. А нету у кого, шаблона для CoPP? В документации все очень поверхностно описано. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sacrament Posted December 14, 2017 · Report post Цитата А нету у кого, шаблона для CoPP? В документации все очень поверхностно описано. Плюсую. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
v_r Posted December 20, 2017 · Report post В 12/13/2017 в 12:33, zlolotus сказал: В документации все очень поверхностно описано. Если у Cisco по IOS "поверхностно" описано то я не знаю что тогда считать детальным описанием. Пример настроек: policy-map CoPP class BGP class OSPF class ARP police rate 2000 pps burst 100 packets class ICMP police rate 1000 pps class IP police rate 2000 pps burst 400 packets class class-default police rate 2000 pps burst 400 packets ! ! class-map match-all BGP match access-group name BGP ! class-map match-all OSPF match access-group name OSPF ! class-map match-all IP match access-group name IP ! class-map match-all ARP match protocol arp ! ! ip access-list extended BGP remark R1 AS64512 permit tcp host 10.0.0.1 any eq bgp permit tcp host 10.0.0.1 eq bgp any remark R2 AS64513 permit tcp host 10.0.0.2 any eq bgp permit tcp host 10.0.0.2 eq bgp any ! ip access-list extended OSPF permit ospf 10.0.0.0 0.0.0.255 any ! ip access-list extended ICMP permit icmp any any ! ip access-list extended IP permit ip any any Идея простая: В policy-map добавляете все-все протоколы важные для работы маршрутизатора, такие как VRRP, NTP, SNMP, SSH, MSDP, PIM и т.д. Можно их ограничивать по пакетам в секунду, можно не ограничивать, у каждого из подходов есть свои плюсы и минусы. Отдельно стоит ARP, его точно стоит ограничить (и еще в class map он матчится по protocol ARP, его нельзя фильтровать IP ACL). Добавляете протоколы не очень важные для работы маршрутизатора, такие как ICMP, пакеты traceroute, и ограничиваете им полосу. Ограничиваете весь сторонний IP трафик. Если правильно настроены ACL для "важных" протоколов то IP трафика на CPU идет очень мало, например на 49й которая маршрутизирует 20Г трафика до CPU долетает около 50 pps непонятного IP. Делаете все то же самое для IPv6. Для class-default ограничиваете остальной трафик который не попал под фильтры, опять-таки при правильной настройке ACL его очень мало, на упомянутой 49й около 10 pps. При начальной настройке COPP имеет смысл для начала ставить большие лимиты на IP и class-default чтобы не отбрасывались нужные пакеты, и постепенно корректировать настройки. Опция log для ACL недоступна поэтому приходится догадываться какие именно пакеты попадают в ACL. Для понимания общей картины что же именно летит на CPU на конкретной железке полезно сделать RSPAN с порта CPU и посмотреть tcpdump'ом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pfexec Posted December 20, 2017 · Report post https://www.cisco.com/c/en/us/about/security-center/copp-best-practices.html вот тут что-то написано. только 49 не умеет обжыкт группы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted February 22, 2019 · Report post В 21.12.2017 в 01:05, pfexec сказал: https://www.cisco.com/c/en/us/about/security-center/copp-best-practices.html вот тут что-то написано. только 49 не умеет обжыкт группы. без ОГ фаерволить полисить на циске очень грустно да =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...