Jump to content

Cisco 7606s защита contorl plane - CoPP

fernal99
 Share

Recommended Posts

fernal99

fernal99

Posted
Posted

Всем привет!

Коллеги, поделитесь кто как защищает control-plane. Интересует защита SVI железки. Есть 76 циска, соответственно, почитав документацию сделал политики, где описал разного вида трафик.

Например:

 

class-map match-any ICMP
  match access-group name ICMP

class-map match-any SSH
  match access-group name SSH

 

  class ICMP
    police cir 5000000
     conform-action transmit
     exceed-action drop
     violate-action drop

 

ip access-list extended ICMP
 permit icmp any any

 

Также есть отдельная политика куда попадает все остальное:

 

  class ALLOTHERIP
    police cir 500000
     conform-action transmit
     exceed-action drop
     violate-action drop

 

Потестировав на определенных видах трафика все работает как надо, но есть нюанс. Например, если послать на SVI железки просто флаги FIN  и заставить ее отвечать RST ACK, тем же hping3,

то CoPP кладется легко. Подскажите, плиз кто сталкивался, как можно от такого рода атак защитить control-plane.

 

Спасибо.

 

 

oleg9301

oleg9301

Posted
Posted

В чем претензия к 76 цискам, особенно на старых проектах?

Ipv6 нужен сильно не всем, FV еще сильно меньше 1млн, по питанию разница есть, но она не космическая, и новое железо за счет питания не отобьется.

  • 2 weeks later...
Zerozed

Zerozed

Posted
Posted
В 13.11.2020 в 19:53, oleg9301 сказал:

В чем претензия к 76 цискам, особенно на старых проектах?

Ipv6 нужен сильно не всем, FV еще сильно меньше 1млн, по питанию разница есть, но она не космическая, и новое железо за счет питания не отобьется.

Поддерживаю. 76 циска,  если ее не напихивать картами под завязку, жрет вполне приемлемые 700-800 ватт (как 2х юнитовый сервер) и выполняет функционал роутеров, по цене раз в 10 дороже. Кто подскажет мне аналог (от той же циски) свича с меньшим энергопотреблением, юнитовостью и функционалом для например мплс агрегации с сайтов? На Микротик, Хуавей и Джунипер переходить не предлагать, у меня нет на них специалистов.

  • 2 weeks later...
vurd

vurd

Posted
Posted
В 24.11.2020 в 13:55, Zerozed сказал:

Поддерживаю. 76 циска,  если ее не напихивать картами под завязку, жрет вполне приемлемые 700-800 ватт (как 2х юнитовый сервер) и выполняет функционал роутеров, по цене раз в 10 дороже. Кто подскажет мне аналог (от той же циски) свича с меньшим энергопотреблением, юнитовостью и функционалом для например мплс агрегации с сайтов? На Микротик, Хуавей и Джунипер переходить не предлагать, у меня нет на них специалистов.

Доплатите разницу в оплате эл-ва старым "специалистам", как раз получится половина зарплаты, т.к. для нормального сетевого инженера вообще нет разницы на чем реализовывать, что циска, что юнипер, что микротик, что хуавей.

Вот, дарю, не благодарите. https://support.huawei.com/huaweiconnect/carrier/en/thread-82497-1-1.html

 

dr Tr0jan

dr Tr0jan

Posted
Posted

@vurd разница в оплате электричества может быть незначительна. Мы, например, за мангал вообще не платили. А за $600 в месяц нормального сетевого инженера не найдешь.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.