QWE Опубликовано 27 апреля · Жалоба Доброго дня или вечера! С помощью ip unnumbered раздаю абонентам IP адреса Съемник СОРМ собирает статистику тарфика на стыке с аплинком (между BGP маршрутизаторами) В съемник попадают пакеты, которые съемник пересекли в оба направления, двусторонний обмен. При анализе трафика, оказывается что IP адрес, с которого фиксируется двусторонний обмен, не выделен абонентам, а принадлежат ip unnumbered сети которая на loopback интерфейсе. Понятно что такой трафик может сгенерить админ любого абонента - подставив чужой IP адрес в src отправляемого пакета. Пакет уйдет в интернет, вернется, дойдет до роутера на котором висит сеть для ip unnumbered, дропнется. Кроме как вывешивать IP ACL на VLAN абонента с разрешенными IP есть ли какие нибудь другие способы на 4948E чтобы исключить подмену IP Адреса? Кто как вообще борется с "продвинутыми исследователями" устройства сети интернет , чтобы не подставляли чужие IP адреса? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 27 апреля · Жалоба ip verify unicast source reachable-via rx для Cisco, аналоги есть у дрйгих вендоров (помнится, для MT подсказали /ip settings rp-filter=strict ) . В этом случае роутер дропает пакеты с адреса, по таблице маршрутизации недоступного через входящий интерфейс Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
QWE Опубликовано 1 мая · Жалоба ip verify unicast source reachable-via rx - эта команда - "аппаратно" работает? или каждый пакет от клиента процом обрабатывается? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 1 мая · Жалоба 2 часа назад, QWE сказал: эта команда - "аппаратно" работает? или каждый пакет от клиента процом обрабатывается? В режиме strict это делается в CEF, так что в случае простой конфигурации все отстреливается до CPU. В ситуации с кучей линейных карт и/или с резервными маршрутами, когда нужен loose режим - скорее всего полетит на CPU, но в такой балалайке и CPU обычно позволяют такое прожевать, не привлекая внимания санитаров (тем более, что валидные пакеты потока/соединения после первой проверки дальше уже полетят по FIB). И предполагается, что RIB и FIB уже построены, при массовых флапах портов или полной перестройке таблицы маршрутизации фальшивый пакет таки улетит дальше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
