[fernal99]

Всем привет!

Коллеги, поделитесь кто как защищает control-plane. Интересует защита SVI железки. Есть 76 циска, соответственно, почитав документацию сделал политики, где описал разного вида трафик.

Например:

 

class-map match-any ICMP
  match access-group name ICMP

class-map match-any SSH
  match access-group name SSH

 

  class ICMP
    police cir 5000000
     conform-action transmit
     exceed-action drop
     violate-action drop

 

ip access-list extended ICMP
 permit icmp any any

 

Также есть отдельная политика куда попадает все остальное:

 

  class ALLOTHERIP
    police cir 500000
     conform-action transmit
     exceed-action drop
     violate-action drop

 

Потестировав на определенных видах трафика все работает как надо, но есть нюанс. Например, если послать на SVI железки просто флаги FIN  и заставить ее отвечать RST ACK, тем же hping3,

то CoPP кладется легко. Подскажите, плиз кто сталкивался, как можно от такого рода атак защитить control-plane.

 

Спасибо.

 

 

[s.lobanov]

с76 годится только для приготовления шашлыков. пора уже списывать этот хлам

[oleg9301]

В чем претензия к 76 цискам, особенно на старых проектах?

Ipv6 нужен сильно не всем, FV еще сильно меньше 1млн, по питанию разница есть, но она не космическая, и новое железо за счет питания не отобьется.

[jffulcrum]

Стукнитесь в личку @fork  , он раздавал конфиг COPP для 76хх

[fernal99]

On 11/13/2020 at 9:24 PM, jffulcrum said:

Стукнитесь в личку @fork  , он раздавал конфиг COPP для 76хх

Спасибо, добрый человек.

[Zerozed]

В 13.11.2020 в 19:53, oleg9301 сказал:

В чем претензия к 76 цискам, особенно на старых проектах?

Ipv6 нужен сильно не всем, FV еще сильно меньше 1млн, по питанию разница есть, но она не космическая, и новое железо за счет питания не отобьется.

Поддерживаю. 76 циска,  если ее не напихивать картами под завязку, жрет вполне приемлемые 700-800 ватт (как 2х юнитовый сервер) и выполняет функционал роутеров, по цене раз в 10 дороже. Кто подскажет мне аналог (от той же циски) свича с меньшим энергопотреблением, юнитовостью и функционалом для например мплс агрегации с сайтов? На Микротик, Хуавей и Джунипер переходить не предлагать, у меня нет на них специалистов.

[vurd]

В 24.11.2020 в 13:55, Zerozed сказал:

Поддерживаю. 76 циска,  если ее не напихивать картами под завязку, жрет вполне приемлемые 700-800 ватт (как 2х юнитовый сервер) и выполняет функционал роутеров, по цене раз в 10 дороже. Кто подскажет мне аналог (от той же циски) свича с меньшим энергопотреблением, юнитовостью и функционалом для например мплс агрегации с сайтов? На Микротик, Хуавей и Джунипер переходить не предлагать, у меня нет на них специалистов.

Доплатите разницу в оплате эл-ва старым "специалистам", как раз получится половина зарплаты, т.к. для нормального сетевого инженера вообще нет разницы на чем реализовывать, что циска, что юнипер, что микротик, что хуавей.

Вот, дарю, не благодарите. https://support.huawei.com/huaweiconnect/carrier/en/thread-82497-1-1.html

 

[dr Tr0jan]

@vurd разница в оплате электричества может быть незначительна. Мы, например, за мангал вообще не платили. А за $600 в месяц нормального сетевого инженера не найдешь.