[zlolotus]

 

Коллеги, кто нибудь использует 4900m bgp бордер как bgp бордер? 

 

Какие есть подводные камни, если префиксов не больше 3к? 

 

 

 

[dignity]

Думаю, что никаких камней тут нет. По профилю - отличный бордер без FV, особенно если интеллектуальных сервисов не надо.

[v_r]

49е очень шустро работают и при 30к в FIB + 300к в RIB. Подводный камень как и для всех бордеров - настраивайте CoPP.

[zlolotus]

17 часов назад, v_r сказал:

49е очень шустро работают и при 30к в FIB + 300к в RIB. Подводный камень как и для всех бордеров - настраивайте CoPP.

А нету у кого, шаблона для CoPP? В документации все очень поверхностно описано. 

[Sacrament]

Цитата

А нету у кого, шаблона для CoPP? В документации все очень поверхностно описано. 

Плюсую.

[v_r]

В 12/13/2017 в 12:33, zlolotus сказал:

В документации все очень поверхностно описано.

Если у Cisco по IOS "поверхностно" описано то я не знаю что тогда считать детальным описанием.

 

Пример настроек:

policy-map CoPP
 class BGP
 class OSPF
 class ARP
  police rate 2000 pps burst 100 packets
 class ICMP
  police rate 1000 pps
 class IP
  police rate 2000 pps burst 400 packets
 class class-default
  police rate 2000 pps burst 400 packets
!
!
class-map match-all BGP
 match access-group name BGP 
! 
class-map match-all OSPF
 match access-group name OSPF
! 
class-map match-all IP
 match access-group name IP
! 
class-map match-all ARP
 match protocol arp 
!
!
ip access-list extended BGP
 remark R1 AS64512
 permit tcp host 10.0.0.1 any eq bgp
 permit tcp host 10.0.0.1 eq bgp any
 remark R2 AS64513
 permit tcp host 10.0.0.2 any eq bgp
 permit tcp host 10.0.0.2 eq bgp any 
!
ip access-list extended OSPF
 permit ospf 10.0.0.0 0.0.0.255 any
!
ip access-list extended ICMP
 permit icmp any any
!
ip access-list extended IP
 permit ip any any

Идея простая:

1.  В policy-map добавляете все-все протоколы важные для работы маршрутизатора, такие как VRRP, NTP, SNMP, SSH, MSDP, PIM и т.д. Можно их ограничивать по пакетам в секунду, можно не ограничивать, у каждого из подходов есть свои плюсы и минусы. Отдельно стоит ARP, его точно стоит ограничить (и еще в class map он матчится по protocol ARP, его нельзя фильтровать IP ACL).
2. Добавляете протоколы не очень важные для работы маршрутизатора, такие как ICMP, пакеты traceroute, и ограничиваете им полосу.
3. Ограничиваете весь сторонний IP трафик. Если правильно настроены ACL для "важных" протоколов то IP трафика на CPU идет очень мало, например на 49й которая маршрутизирует 20Г трафика до CPU долетает около 50 pps непонятного IP.
4. Делаете все то же самое для IPv6.
5. Для class-default ограничиваете остальной трафик который не попал под фильтры, опять-таки при правильной настройке ACL его очень мало, на упомянутой 49й около 10 pps.

При начальной настройке COPP имеет смысл для начала ставить большие лимиты на IP и class-default чтобы не отбрасывались нужные пакеты, и постепенно корректировать настройки. Опция log для ACL недоступна поэтому приходится догадываться какие именно пакеты попадают в ACL. Для понимания общей картины что же именно летит на CPU на конкретной железке полезно сделать RSPAN с порта CPU и посмотреть tcpdump'ом.

[pfexec]

https://www.cisco.com/c/en/us/about/security-center/copp-best-practices.html

вот тут что-то написано. только 49 не умеет обжыкт группы.

[myst]

В 21.12.2017 в 01:05, pfexec сказал:

https://www.cisco.com/c/en/us/about/security-center/copp-best-practices.html

вот тут что-то написано. только 49 не умеет обжыкт группы.

без ОГ фаерволить полисить на циске очень грустно да =)