builder Posted September 14, 2009 Posted September 14, 2009 Понадобилось приготовить сей аппарат в качестве фильтрующего бриджа. Бридж сделал, через BVI присвоил IP (как я думал для управления) на него повесил ACL позволяющий доступ на аппарат только с конкретного адреса. Всё работает, фильтр прозрачен, доступ на него ограничен. А как применить ACL для фильтрации нежелательных портов и протоколов через бридж? Точнее на что его вешать? Вставить ник Quote
builder Posted September 15, 2009 Author Posted September 15, 2009 Чего-то не так или не там спросил? Или циска не заслуживает внимания? ;) Спрошу по другому - чем (как) фильтровать forward-трафик на циске в режиме бриджа? Вставить ник Quote
builder Posted September 15, 2009 Author Posted September 15, 2009 Спасибо за ответы, чудом с помощью нашёл: The transparent IOS firewall feature is available in select Cisco IOS software releases, beginning with 12.3(7)T. Currently, only the following router platforms are supported: Cisco 806, 831, 836, 837, 1701, 1710, 1711, 1712, 1721, 1751, 1760, 1841, 2811, 2821, 2851, 3825, and 3845. Вставить ник Quote
UglyAdmin Posted September 16, 2009 Posted September 16, 2009 Она хоть мегабит-то отбриджует? Дохлая же... Вставить ник Quote
builder Posted September 16, 2009 Author Posted September 16, 2009 Там где она (и 806-ые) раньше стояла, наелась по полной, было замечено, с роутингом и натом прожёвывала около 3 мегабит, но при возрастании pps загибалась. Потом был снят нат, сильно ситуацию не изменило, думаю pps для неё главней. Загибалась тупо в 101% по CPU и глухота по консоли ;). Думаю в бриджинге на 4 мегабита должна устоять, разве что ip inspect прочитал память хавает. Но в ней 32 метра добито когда-то не родной ;) памяти. Приму любые советы и замечания. Вставить ник Quote
UglyAdmin Posted September 16, 2009 Posted September 16, 2009 Нет, не потянет - бриджинг даже в CEF не внесен. Хотя могли допилить, я давно с бриджингом дел не имел... Вставить ник Quote
builder Posted September 16, 2009 Author Posted September 16, 2009 Т.е. пересылка с интерфейса на интерфейс гороздо затруднительней по ресурсам? Я тут ковыряюсь с одной, как уже писал, она бриджует, с нагрузкой правда пока не проверить. Но вот ip inspect ну никак не хочет работать, делаю по примеру с http://www.cisco.com/en/US/docs/ios/12_3t/...e/gt_trans.html в результате показывает, что inspect включён, собственно вот: #sh ip inspect all Session audit trail is disabled Session alert is enabled one-minute (sampling period) thresholds are [400:500] connections max-incomplete sessions thresholds are [400:500] max-incomplete tcp connections per host is 50. Block-time 0 minute. tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec tcp idle-time is 3600 sec -- udp idle-time is 30 sec dns-timeout is 5 sec Inspection Rule Configuration Inspection name test1 tcp alert is on audit-trail is off timeout 3600 udp alert is on audit-trail is off timeout 30 Interface Configuration Interface Ethernet0 Inbound inspection rule is test1 tcp alert is on audit-trail is off timeout 3600 udp alert is on audit-trail is off timeout 30 Outgoing inspection rule is not set Inbound access list is not set Outgoing access list is 106 Interface Ethernet1 Inbound inspection rule is test1 tcp alert is on audit-trail is off timeout 3600 udp alert is on audit-trail is off timeout 30 Outgoing inspection rule is not set Inbound access list is not set Outgoing access list is 106 Но трафик в ACL не попадает, хотя и бегает через бридж без проблем. Мож кто сталкивался. Вставить ник Quote
UglyAdmin Posted September 16, 2009 Posted September 16, 2009 Т.е. пересылка с интерфейса на интерфейс гороздо затруднительней по ресурсам?Ага, поскольку выполняется не в CEF, а в userspace, что требует переключений контекста.У меня 7206/NPE-G1 под бриджингом временами просто дохла, хотя там и трафика особо не было, чисто управление свитчами. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.