Jump to content
Калькуляторы

вопрос по маленькой циске (soho71) в режиме бриджа

Понадобилось приготовить сей аппарат в качестве фильтрующего бриджа.

Бридж сделал, через BVI присвоил IP (как я думал для управления) на него повесил ACL позволяющий

доступ на аппарат только с конкретного адреса. Всё работает, фильтр прозрачен, доступ на него ограничен.

А как применить ACL для фильтрации нежелательных портов и протоколов через бридж?

Точнее на что его вешать?

Share this post


Link to post
Share on other sites

Чего-то не так или не там спросил? Или циска не заслуживает внимания? ;)

Спрошу по другому - чем (как) фильтровать forward-трафик на циске в режиме бриджа?

Share this post


Link to post
Share on other sites

Спасибо за ответы, чудом с помощью нашёл:

The transparent IOS firewall feature is available in select Cisco IOS software releases, beginning with 12.3(7)T. Currently, only the following router platforms are supported: Cisco 806, 831, 836, 837, 1701, 1710, 1711, 1712, 1721, 1751, 1760, 1841, 2811, 2821, 2851, 3825, and 3845.

 

Share this post


Link to post
Share on other sites

Она хоть мегабит-то отбриджует? Дохлая же...

Share this post


Link to post
Share on other sites

Там где она (и 806-ые) раньше стояла, наелась по полной, было замечено,

с роутингом и натом прожёвывала около 3 мегабит, но при возрастании pps загибалась.

Потом был снят нат, сильно ситуацию не изменило, думаю pps для неё главней.

Загибалась тупо в 101% по CPU и глухота по консоли ;).

Думаю в бриджинге на 4 мегабита должна устоять, разве что ip inspect прочитал память хавает.

Но в ней 32 метра добито когда-то не родной ;) памяти.

Приму любые советы и замечания.

Share this post


Link to post
Share on other sites

Нет, не потянет - бриджинг даже в CEF не внесен.

Хотя могли допилить, я давно с бриджингом дел не имел...

Share this post


Link to post
Share on other sites

Т.е. пересылка с интерфейса на интерфейс гороздо затруднительней по ресурсам?

Я тут ковыряюсь с одной, как уже писал, она бриджует, с нагрузкой правда пока не проверить.

Но вот ip inspect ну никак не хочет работать, делаю по примеру с http://www.cisco.com/en/US/docs/ios/12_3t/...e/gt_trans.html

в результате показывает, что inspect включён, собственно вот:

#sh ip inspect all

Session audit trail is disabled

Session alert is enabled

one-minute (sampling period) thresholds are [400:500] connections

max-incomplete sessions thresholds are [400:500]

max-incomplete tcp connections per host is 50. Block-time 0 minute.

tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec

tcp idle-time is 3600 sec -- udp idle-time is 30 sec

dns-timeout is 5 sec

Inspection Rule Configuration

Inspection name test1

tcp alert is on audit-trail is off timeout 3600

udp alert is on audit-trail is off timeout 30

 

Interface Configuration

Interface Ethernet0

Inbound inspection rule is test1

tcp alert is on audit-trail is off timeout 3600

udp alert is on audit-trail is off timeout 30

Outgoing inspection rule is not set

Inbound access list is not set

Outgoing access list is 106

Interface Ethernet1

Inbound inspection rule is test1

tcp alert is on audit-trail is off timeout 3600

udp alert is on audit-trail is off timeout 30

Outgoing inspection rule is not set

Inbound access list is not set

Outgoing access list is 106

Но трафик в ACL не попадает, хотя и бегает через бридж без проблем.

Мож кто сталкивался.

 

Share this post


Link to post
Share on other sites
Т.е. пересылка с интерфейса на интерфейс гороздо затруднительней по ресурсам?
Ага, поскольку выполняется не в CEF, а в userspace, что требует переключений контекста.

У меня 7206/NPE-G1 под бриджингом временами просто дохла, хотя там и трафика особо не было, чисто управление свитчами.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this