On 27 aug 2004, at 14:39, Boudewijn Visser wrote: [..]
De nettere oplossing is de "ip receive <access-list>" feature die wel een echte access-list zet op "alle verkeer gericht aan de router zelf".
Is er zoveel verschil tussen het afhandelen van packets in het interrupt path vs. process switched op software-based routers (7200 en kleiner)? Overigens ondersteunen de laatste "ip receive-acl" niet, dus om packets in het interrupt path (CEF) gedropt te krijgen zul je op elke interface een ACL moeten zetten. Helaas heeft IOS niet het equivalent van FreeBSD's ipfw "deny ip from any to me", waarbij voor `me' automatisch alle adressen van alle lokale interfaces worden gesubstitueerd.
Verder is het opzetten van infrastructure access-lists (/filters) aan de netwerk edges hoe dan ook een goed idee. De urls staan (als gebruikelijk) in de advisory, (en de IOS essentials etc); Het zijn trouwens typisch best practices voor alle netwerk appratuur, niet alleen die van Cisco.
Inderdaad; zie ook http://www.cymru.com/gillsr/documents.html (voorheen op qorbit.net). Groeten, -- Niels Bakker Tel: +31 205 141 716 Amsterdam Internet Exchange Mobile: +31 651 902 772 http://www.ams-ix.net/ E-mail: Niels.Bakker at ams-ix.net