Jump to content
Калькуляторы

Cisco ASR - reflexive ACL как?

встал на ручник, не могу догуглиться до истины )

хочу позакрывать входящие коннекты к NAT'у, поднятому на ASR.

наиболее логичным мне видится использование Reflexive ACL

вот только в ASR этот вид ACL не завезли

 

в связи с этим вопрос к цисковедам - что такое "ENH" в нижнем комменте по ссылке (никак не могу расшифровать), либо как иначе можно закрыться от всех входящих коннектов в адреса ната, которые не established изнутри из-под ната?

 

самое простое было бы - если б кто-то с цискологином зашел в https://bst.cisco.com/quickview/bug/CSCvn75709 и поделился содержимым.

Edited by nixx

Share this post


Link to post
Share on other sites

1 час назад, nixx сказал:

...то qfp 99% при 2,7 Mpps входящего паразитного.

Дык это надо CoPP настраивать. Ну и плюс на сервисах самого ASR у вас же висят ACLи и в Инет они же не смотрят?

 

Хотя если QFP.. странно

Share this post


Link to post
Share on other sites

при таких вопросах у меня возникает ощущение, что я чего-то совсем не знаю.

 

как CoPP соотносится с загрузкой qfp, который data plane?

можете на пальцах или в мануал потыкать?

с софт-процессором же control plane у меня как раз все радужно, не выше 3%.

 

и про какие сервисы самого ASR речь? у меня там кроме телнета/радиуса/snmp на отдельном физ интерфейсе/vrf'е, вообще ничего нет, и они недостижимы извне в принципе.

Share this post


Link to post
Share on other sites

4 минуты назад, nixx сказал:

при таких вопросах у меня возникает ощущение, что я чего-то совсем не знаю.

Да нет, это я что-то сразу не подумал про QFP.

 

1 минуту назад, nixx сказал:

как CoPP соотносится с загрузкой qfp, который data plane?

Вы считаете, что это из-за паразитного трафика на NAT адреса? А адрес прям прописан на инт-се или там просто трансляция в конфиге? Если на инт-се и нет трансляции по идее это уже адрес самого роутера и трафик должен лететь на CPU. Может НАТ как-то не так настроен?

 

У меня просто был NATна ASR, но с этим проблем не было. Может дело в прошивке?

Share this post


Link to post
Share on other sites

просто трансляция в конфиге, сами адреса нигде не вписаны, кроме нат-пула.

то, что я ловлю tcpdump'ом на бордере выше ASR - это сплошь входящий трафик на адреса ната, причем и на те, в которые сама циска никого не занатила (ну т.е. просто свободные от сессий)

в предыдущие атаки циске было абсолютно плевать на подобный трафик, да и сами атаки быстро сворачивались по причине того, что циска им ничего не отвечала, ну и ппс был достаточно мелкий.

сейчас она тоже ничего не отвечает, но ее безостановочно долбят с большим ппсом совершенно рандомным трафиком, и она оху... уходит в себя.

 

(оффтопик) подозреваю, что в работе уже не it army, а кто-то еще типа ркн/цмуссопа... (ну это личная паранойя по принципу "кому выгодно"). либо эта самая it army сменила стратегию. раньше они быстро отваливались, если им в ответ было просто молчание.

Share this post


Link to post
Share on other sites

Qfp действительно очень больно, когда много пакетов летит, которые не попадают в Нат трансляции ) это касается и атак в нат пул и просто маршрутизации трафика, которому не нужно подвергаться нату через интерфейс с nat outside.

Share this post


Link to post
Share on other sites

30 минут назад, zhenya` сказал:

Qfp действительно очень больно, когда много пакетов летит, которые не попадают в Нат трансляции ) это касается и атак в нат пул и просто маршрутизации трафика, которому не нужно подвергаться нату через интерфейс с nat outside.


а решение есть? 
 

Share this post


Link to post
Share on other sites

Цитата

Symptom: CLI for Reflexive acls not present

Conditions: CLI to configure reflexive acls missing

Workaround: use ZBFW instead

(c) https://bst.cisco.com/bugsearch/bug/CSCvn75709

я таки осилил изобразить из себя американца с цискологином.

но что такое "ENH" - так и осталось непонятым (для меня). либо это что-то "Enhanced", и такого в списке фич асрки чуть ли не тысяча разного, либо это какая-то аббревиатура, и тогда я не могу найти/сопоставить.

пойду ZBFW постигать... поможет ли? )

 

ps: asr1002x-universalk9.16.09.08.SPA.bin, если кому-то почему-то интересно. Feature navigator уверяет, что Reflexive ACL в ветках 16 и 17 присутствуют )) но их там нет.

Edited by nixx

Share this post


Link to post
Share on other sites

P.S. Одна правда проблемка.... поскольку АНАТ - CGNAT, то мусор будет сыпаться на клиентов. Но кстати допилить его до "полного" ната при желании можно без проблем, только не знаю будет ли это быстрее коннтрака (исходники его не смотрел).

Share this post


Link to post
Share on other sites

32 минуты назад, sdy_moscow сказал:

Попробуйте вместо ASR софтовый ANAT.

У вас какая ASR стоит?

1002-X у меня.

я хотел попробовать ANAT в другой инсталляции, где стоит линуксовый "чистый" нат без каких-либо доп навесок (на ASR и авторизация, и шейпинг сделаны, помимо ната), но нюанс про cg-nat оставался незамеченным. в таком случае он мне вообще никак не полезен в свете регулярных атак от "коллег" из-за рубежа, а более вреден.

Share this post


Link to post
Share on other sites

26 минут назад, nixx сказал:

1002-X у меня.

я хотел попробовать ANAT в другой инсталляции, где стоит линуксовый "чистый" нат без каких-либо доп навесок (на ASR и авторизация, и шейпинг сделаны, помимо ната), но нюанс про cg-nat оставался незамеченным. в таком случае он мне вообще никак не полезен в свете регулярных атак от "коллег" из-за рубежа, а более вреден.

Смотря какие задачи решаете... если НАТ в качестве Файрвола - то да, если же работаете в качестве оператора - то сложно сказать, что лучше и правильнее. Допилить до фильтрации по IP адресам АНАТ в общем-то не так сложно, разве что придется чуть помудрить с созданием сессий и как следствие расход портов на клиента подрастет.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.