URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20367
[ Назад ]

Исходное сообщение
"Cisco 3560 и паразитный трафик"
Отправлено colix , 21-Янв-10 09:38

Есть Catalyst 3560 на котором поднят BGP. Есть своя AS и блок PI адресов.
В последнее время начало набегать слишком много паразитного трафика. До 5 гигов в месяц.
Вопрос. Можно ли как нить фильтровать этот трафик? Есть ли какие либо типовые ACL ?

Содержание

Cisco 3560 и паразитный трафик,sshutdownow, 10:25 , 21-Янв-10
- Cisco 3560 и паразитный трафик,colix, 10:30 , 21-Янв-10
  - Cisco 3560 и паразитный трафик,petrovichr, 15:26 , 21-Янв-10
    - Cisco 3560 и паразитный трафик,shutdown now, 19:11 , 21-Янв-10

Сообщения в этом обсуждении

"Cisco 3560 и паразитный трафик"
Отправлено sshutdownow , 21-Янв-10 10:25

>Есть Catalyst 3560 на котором поднят BGP. Есть своя AS и блок
>PI адресов.
>В последнее время начало набегать слишком много паразитного трафика. До 5 гигов
>в месяц.
>Вопрос. Можно ли как нить фильтровать этот трафик? Есть ли какие либо
>типовые ACL ?
и что за трафик? может твоя AS транзитная?
если не транзитная AS, проверить что анонсишь и ACL на каждый интерфейс к каждому пиру - пропускать трафик только к PI и IP для организации BGP.

"Cisco 3560 и паразитный трафик"
Отправлено colix , 21-Янв-10 10:30

>[оверквотинг удален]
>>В последнее время начало набегать слишком много паразитного трафика. До 5 гигов
>>в месяц.
>>Вопрос. Можно ли как нить фильтровать этот трафик? Есть ли какие либо
>>типовые ACL ?
>
>и что за трафик? может твоя AS транзитная?
>
>если не транзитная AS, проверить что анонсишь и ACL на каждый интерфейс
>к каждому пиру - пропускать трафик только к PI и IP
>для организации BGP.
AS не транзитная. tcpdump показывает что идет куча ICMP request. Анонсирую каждому только свои сети. Трафик итак пропускается только к PI

"Cisco 3560 и паразитный трафик"
Отправлено petrovichr , 21-Янв-10 15:26

>[оверквотинг удален]
>>>типовые ACL ?
>>
>>и что за трафик? может твоя AS транзитная?
>>
>>если не транзитная AS, проверить что анонсишь и ACL на каждый интерфейс
>>к каждому пиру - пропускать трафик только к PI и IP
>>для организации BGP.
>
>AS не транзитная. tcpdump показывает что идет куча ICMP request. Анонсирую каждому
>только свои сети. Трафик итак пропускается только к PI
Ты конечно то можешь нарисовать ACL, но трафик вышестоящим оператором все равно посчитается, потому-что трафик уже вышел из интерфейса оператора(т.е. подсчитан)
Другими словами тебе досят, ну или пытаюся.
Выхода два:
1. забить на это дело и смотреть на графики
2. попросить оператора поставить ACL на твой интерфейс(не самый хороший вариант)

"Cisco 3560 и паразитный трафик"
Отправлено shutdown now , 21-Янв-10 19:11

5Гб в месяц для DoS'а слабовато, попробуй найти на какой IP идут icmp-пакеты, потом попросишь оператора прописать маршрут к этому адресу на NULL0.