On Fri, 27 Aug 2004 at 13:35 +0200, Pim van Pelt wrote:
dus.. ;)
Iedereen die zijn cisco-vty's niet voorzien heeft van een access-list met daarin je management-subnet moet sowieso afgeschoten worden, me dunkt }-)
En dat is nog niet helemaal voldoende om je router zo robust mogelijk op te zetten. vty access-class'es (en idem snmp gerefereerde access-lists) worden door de route processor (/process based op single-cpu platformen) afgehandeld. Een vty access-class wordt *niet* vertaald naar een 'echte' access-list, die in asic/vip/interrupt mode [dwz: zo efficient als mogelijk] afgehandeld wordt. Feitelijk het verschil tussen tcpwrappers en packet filters. De nettere oplossing is de "ip receive <access-list>" feature die wel een echte access-list zet op "alle verkeer gericht aan de router zelf" . En er is tegenwoordig "control plane policing" (feature in nieuwere IOSen). Verder is het opzetten van infrastructure access-lists (/filters ) aan de netwerk edges hoe dan ook een goed idee. De urls staan (als gebruikelijk) in de advisory, (en de IOS essentials etc); Het zijn trouwens typisch best practices voor alle netwerk appratuur, niet alleen die van Cisco. Boudewijn