Bonjour, pour vous faire un retour: access-list compiled => Turbo ACL => Cela a effectivement largement allégé le CPU (à mon avis, je suis retombé au niveau de CPU d'avant les ACL)
Lors d'un DDOS, ACL sur une interface IN est encore plus efficace qu'une route BGP envoyée en RTBH, mais forcément la gestion des ACL est moins souple et dynamique que du RTBH. Merci à tous pour les informations. Fabien Le jeu. 9 janv. 2020 à 20:05, Michel Py <mic...@arneill-py.sacramento.ca.us> a écrit : > >> Vérifie si t’as pas des routes statiques vers une interface Broadcast > (c’est le mal) > > +1 > > ip route 0.0.0.0 0.0.0.0 g1/0 c'est une catastrophe. > Il faut faire : ip route 0.0.0.0 0.0.0.0 x.x.x.x > > Aussi voir si t'as pas un problème de flooding / unresolved unicast, c'est > un classique sur certains IX. Différence entre le timeout de CAM (300 > secondes) et le timeout de ARP (4 heures) et dans une situation asymétrique > on se retrouve avec des centaines de mégabits qui ne te sont pas destinés. > Sur un 7301 çà m'étonnerait que çà touche le CPU, ceci dit. > > Tans que t'y es : sur l'ACL entrante, deny de tout ce qui n'est pas tes > préfixes dans l'adresse de destination. C'est plus propre. > > > Bcp de unsupported et de redirect aussi.... > > Moi j'ai 0 dans les redirect. Les Unsupp'ted çà fait longtemps que j'ai > abandonné. > > T'as quoi dans BGP using xxxx total bytes of memory ? > (sh ip bgp summary) > > Et dans sh mem (le début) ? > > Michel. > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
