On Fri, 27 Aug 2004 at 13:35 +0200, Pim van Pelt wrote:
dus.. ;)
Iedereen die zijn cisco-vty's niet voorzien heeft van een access-list met daarin je management-subnet moet sowieso afgeschoten worden, me dunkt }-)
En dat is nog niet helemaal voldoende om je router zo robust mogelijk op te zetten. vty access-class'es (en idem snmp gerefereerde access-lists) worden door de route processor (/process based op single-cpu platformen) afgehandeld. Een vty access-class wordt *niet* vertaald naar een 'echte' access-list, die in asic/vip/interrupt mode [dwz: zo efficient als mogelijk] afgehandeld wordt. Feitelijk het verschil tussen tcpwrappers en packet filters. De nettere oplossing is de "ip receive <access-list>" feature die wel een echte access-list zet op "alle verkeer gericht aan de router zelf" . En er is tegenwoordig "control plane policing" (feature in nieuwere IOSen). Verder is het opzetten van infrastructure access-lists (/filters ) aan de netwerk edges hoe dan ook een goed idee. De urls staan (als gebruikelijk) in de advisory, (en de IOS essentials etc); Het zijn trouwens typisch best practices voor alle netwerk appratuur, niet alleen die van Cisco. Boudewijn
On 27 aug 2004, at 14:39, Boudewijn Visser wrote: [..]
De nettere oplossing is de "ip receive <access-list>" feature die wel een echte access-list zet op "alle verkeer gericht aan de router zelf".
Is er zoveel verschil tussen het afhandelen van packets in het interrupt path vs. process switched op software-based routers (7200 en kleiner)? Overigens ondersteunen de laatste "ip receive-acl" niet, dus om packets in het interrupt path (CEF) gedropt te krijgen zul je op elke interface een ACL moeten zetten. Helaas heeft IOS niet het equivalent van FreeBSD's ipfw "deny ip from any to me", waarbij voor `me' automatisch alle adressen van alle lokale interfaces worden gesubstitueerd.
Verder is het opzetten van infrastructure access-lists (/filters) aan de netwerk edges hoe dan ook een goed idee. De urls staan (als gebruikelijk) in de advisory, (en de IOS essentials etc); Het zijn trouwens typisch best practices voor alle netwerk appratuur, niet alleen die van Cisco.
Inderdaad; zie ook http://www.cymru.com/gillsr/documents.html (voorheen op qorbit.net). Groeten, -- Niels Bakker Tel: +31 205 141 716 Amsterdam Internet Exchange Mobile: +31 651 902 772 http://www.ams-ix.net/ E-mail: Niels.Bakker at ams-ix.net
On 27 aug 2004, at 14:39, Boudewijn Visser wrote:
[..]
De nettere oplossing is de "ip receive <access-list>" feature die wel een echte access-list zet op "alle verkeer gericht aan de router zelf".
Is er zoveel verschil tussen het afhandelen van packets in het interrupt path vs. process switched op software-based routers (7200 en kleiner)?
Ja. Orde grootte factor 10 in switching performance. (je zoekt je helemaal rot op de cisco site, maar hier een URL met pps voor process en fast switched performance voor een aantal single cpu routers (4500,3700,3620,7200 etc ) : http://www.cisco.com/en/US/products/hw/routers/ps5199/prod_bulletin09186a008... Packets richting CPU claimen daarnaast andere resources (input queue ) die beter gebruikt kan worden voor routing updates, keepalives e.d. Kortom, drop 'm early on. Inderdaad bestaat "ip receive" alleen op 75xx en 12K platformen. Hoewel Control Plane Policing wel op de lower end (17xx,26xx,37xx,72xx) cisco's bestaat.
Overigens ondersteunen de laatste "ip receive-acl" niet, dus om packets in het interrupt path (CEF) gedropt te krijgen zul je op elke interface een ACL moeten zetten. Helaas heeft IOS niet het equivalent van FreeBSD's ipfw "deny ip from any to me", waarbij voor `me' automatisch alle adressen van alle lokale interfaces worden gesubstitueerd.
Ja, een paar kleine uitbreidingen op de ACL syntax zouden heel erg fijn zijn. Een auto-ref voor "me", de mogelijkheid om in volgorde meerdere access-listsen op interfaces te apply'en , zodat je generieke en interface-specifieke acl's kunt scheiden zou erg fijn zijn. Met goede infrastructure filters op de edge zou je overigens alleen op edge devices echt behoefte hebben aan "ip receive" of een emulatie ervan met access-lists.
Verder is het opzetten van infrastructure access-lists (/filters) aan de netwerk edges hoe dan ook een goed idee. De urls staan (als gebruikelijk) in de advisory, (en de IOS essentials etc); Het zijn trouwens typisch best practices voor alle netwerk appratuur, niet alleen die van Cisco.
Inderdaad; zie ook http://www.cymru.com/gillsr/documents.html (voorheen op qorbit.net).
Yup, hoop goed leesvoer op cymru. Boudewijn
participants (2)
-
bvisser-nlnog@xs4all.nl -
niels.bakker@ams-ix.net