[Nlnog] Cisco Telnet, anyone ?
Boudewijn Visser
bvisser-nlnog at xs4all.nl
Fri Aug 27 12:39:50 UTC 2004
> On Fri, 27 Aug 2004 at 13:35 +0200, Pim van Pelt wrote:
>
>> dus.. ;)
>
> Iedereen die zijn cisco-vty's niet voorzien heeft van een access-list met
> daarin je management-subnet moet sowieso afgeschoten worden, me dunkt }-)
En dat is nog niet helemaal voldoende om je router zo robust mogelijk op
te zetten.
vty access-class'es (en idem snmp gerefereerde access-lists) worden
door de route processor (/process based op single-cpu platformen)
afgehandeld.
Een vty access-class wordt *niet* vertaald naar een 'echte' access-list,
die in asic/vip/interrupt mode [dwz: zo efficient als mogelijk]
afgehandeld wordt.
Feitelijk het verschil tussen tcpwrappers en packet filters.
De nettere oplossing is de "ip receive <access-list>" feature die wel een
echte access-list zet op "alle verkeer gericht aan de router zelf" .
En er is tegenwoordig "control plane policing" (feature in nieuwere IOSen).
Verder is het opzetten van infrastructure access-lists (/filters ) aan de
netwerk edges hoe dan ook een goed idee.
De urls staan (als gebruikelijk) in de advisory, (en de IOS essentials etc);
Het zijn trouwens typisch best practices voor alle netwerk appratuur,
niet alleen die van Cisco.
Boudewijn
More information about the NLNOG
mailing list