Ок, понял. Мой telegram - @evgenimaksimov
Заканьте туда примерное описание задачь, которые решают сервера и что вы хотите получить после установки в плане security. Заодно, поподробнеее опишите сеть. А то мы здесь зафлудим ленту
sharkirill: хм.. я так понимаю, необходимо, чтобы ip роутера светился на двух площадках? тогда встречный вопрос - насколько нужно именно агрегирование? или же просто необходимо резервирование?
По всей видимости, object-groups действительно не работают внутри ACL для cef-exeption трафика внутри control-plane policing (copp) политик.
Здравствуй, еще один незадокументированный cisco-косяк
у меня такое ощущение, что для cef-exeption трафика внутри cppr на IOS-XE в целом:
1. недоступен для анализа ip-заголовок (какой-то баг или недоработка софта)
2. некорректно отрабатывают object-groups
В пользу этих версий говорит еще то, что помимо BFD трафика, аналогичная проблема проявилась и на LDP трафике. В правилах под LDP так же использовались obect-groups и после их замены на "any" ldp-сессии поднялись.
Теперь почему я думаю, что проблема характерна для всего cef-exeption трафика. Разделы полисера, отвечающие за BGP, SSH, SNMP и пр. написаны так же с помощью object-groups и никаких вопросов не возникает - все работает корректно. Плюс, в политике есть раздел, написанный под tLDP трафик - все tldp сессии изначально были в up (tldp пакеты имеют ttl >1 и обрабатываются через cef. в остальном ничем от ldp-unicast пакетов не отличаются).
Разве может не быть CEF у ASR роутеров? В доках он описан и на нем многое завязано: www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipswitch...
Плюс CEF это фишка data plane, а QFP - это просто SPU-чип, часть PFE (packet forwarding engine) (PPE в доках ASR). Согласен, что через него все идет, он же чать фабрики, но с отсутствием CEF не согласен.
Или вы про архитектуру control-plane полисирования на ASR? Тогда согласен - на IOS фильтрция трехуровневая. Отдельный фильтр на CEF host-inbound трафик (host), отдельный на трафик host-inbound вне CEF (cef-exeption) и отдельный на транзитные пакеты, требующие для своей обработки ресурсы CPU (transit). Все вместе это и называлось cppr фильтрафией. На IOS-XE есть только единый агрегированный фильтр, позволяющий делать copp полисирование.
Но вопрос не о архитектурных различиях, он в том, почему пакеты не попадают под специально для них написанное условие (максимально специфичное) но попадают под условие "permit udp any any" в самом конце политики
Nik: Если банальшина в норме, то двигаем дальше - я так понимаю выше по течению коммутатора (который .x.127.252 ) и стоит SRX210, на котором висит x.212.35.97?
Пришлите (можно на почту) вывод show route adv bgp $ваш_пиринг c него.
Дальше -больше. Как у вас прописано security зонирование и security политики в SRX? Можете тупо выслать вывод show conf security
Попытался поправить положение.
Поставил из готовых .deb. В IDS режимах все (как и раньше) работает без проблем. Если включить IPS через DAQ nfq - снорт запускается, но, как только в него попадают пакеты, либо умирает сам, либо убивает всю систему. Так что не помогло.
Я уже начал думать на DAQ драйвер (т.к. проблемы возникают, как только начинаю его использовать). Пересобрал его с последними версиями библиотек, после этого пересобрал сам снорт. Все завелось, но снова "bus error", как только в снорт попадает пакет из nfq.
Вопрос открыт, может, кто что подскажет?)
P.S. Еще пару забавных фактов:
-- поведение snort'а в нулевой nfq-очереди немного стабильнее - успевает обработать пару пакетов
-- если не редактировать правила (т.е. оставить их все в "alert" режиме) и запустить snort в IPS/nfq, то он стабилен: но DAQ работает в одностороннем режиме - пакет от клиента обрабатывается в snort и уходит дальше. Ответные пакеты видны в snort, но к клиенту уже не попадают
Есть, но только в unstable ветке актуальная версия. Не уверен, что она заработает. Но для теста да, можно попробовать перейти на sid ветку и посмотреть.
В стандартном репе слишком древний и с текущим DAQ не встанет - api не совместимы.
Интересно, почему он после корректной сборки/установки не работает
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
Заканьте туда примерное описание задачь, которые решают сервера и что вы хотите получить после установки в плане security. Заодно, поподробнеее опишите сеть. А то мы здесь зафлудим ленту