Jump to content
Калькуляторы

Съемник СОРМ. Трафик с не назначенных IP адресов. Cisco WS-C4948E ip unnumbered. VLAN ACL

Reply to this topic

QWE   

QWE
Posted

Доброго дня или вечера!

 

С помощью ip unnumbered раздаю абонентам IP адреса 

 

Съемник СОРМ собирает статистику тарфика на стыке с аплинком (между BGP маршрутизаторами)

 

В съемник попадают пакеты, которые  съемник пересекли в оба направления, двусторонний обмен. При анализе трафика, оказывается что IP адрес, с которого фиксируется двусторонний обмен, не выделен абонентам, а принадлежат ip unnumbered  сети  которая на loopback интерфейсе.

 

Понятно что такой трафик может сгенерить админ любого абонента - подставив чужой IP адрес в src отправляемого пакета.

Пакет уйдет в интернет, вернется, дойдет до роутера на котором висит сеть для ip unnumbered, дропнется. 

 

Кроме как вывешивать IP ACL на VLAN абонента с разрешенными IP  есть ли какие нибудь другие способы на 4948E чтобы исключить подмену IP Адреса? 

 

Кто как вообще борется с  "продвинутыми исследователями" устройства сети интернет , чтобы не подставляли чужие IP адреса?

 

Share this post

Link to post
Share on other sites

jffulcrum   

jffulcrum
Posted

ip verify unicast source reachable-via rx для Cisco, аналоги есть у дрйгих вендоров (помнится, для MT подсказали /ip settings rp-filter=strict ) . В этом случае роутер дропает пакеты с адреса, по таблице маршрутизации недоступного через входящий интерфейс 

Share this post

Link to post
Share on other sites

jffulcrum   

jffulcrum
Posted
2 часа назад, QWE сказал:

эта команда - "аппаратно" работает? или каждый пакет от клиента процом обрабатывается?

 

В режиме strict это делается в CEF, так что в случае простой конфигурации все отстреливается до CPU. В ситуации с кучей линейных карт и/или с резервными маршрутами, когда нужен loose режим - скорее всего полетит на CPU, но в такой балалайке и CPU обычно позволяют такое прожевать, не привлекая внимания санитаров (тем более, что валидные пакеты потока/соединения после первой проверки дальше уже полетят по FIB). И предполагается, что RIB и FIB уже построены, при массовых флапах портов или полной перестройке таблицы маршрутизации фальшивый пакет таки улетит дальше.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...