Misak
и надо ли и в врф и в грт писать?
Pavel
В остальных врф я никогда не писал, но скорее всего там тоже по дефолту реджект, как того требует RFC
Misak
Ну, в интернетной таблице как минимум.
но ведь это же не спасет от проблемы, которую обсуждали?
Misak
по моему можно как раз в врф не писать а в грт надо
Misak
ну что реджекты от аггрегейтов включают ддос
Pavel
Посмотри в show route forwarding-table
Pavel
ну что реджекты от аггрегейтов включают ддос
Да нет, агрегейты-дженерейты тут вообще ни при чем
Pavel
У тебя в фибе всегда есть reject по дефолту
Misak
Посмотри в show route forwarding-table
ты про это?
Destination Type RtRef Next hop Type Index NhRef Netif
default user 0 b0:c6:9a:e9:7f:cc ucst 573 172 ae1.0
default perm 0 rjct 36 1
Misak
0.0.0.0/32 perm 0 dscd 34 1
еще это есть
Pavel
Вторая запись
Pavel
Первая это твой дефолт с реальным некст-хопом
Misak
ну вот в чем два вывода? первый я понял - вместо дженерейта статик
Pavel
А вторая — неявный реджект, которого требует рфц
Pavel
ну вот в чем два вывода? первый я понял - вместо дженерейта статик
Да неважно, главное, чтоб ты был уверен, что если пакет не нашел маршрута, то ты его дропнешь, а не зареджектишь
Misak
второй вывод - вот что Владимир рекомендовал routing-options aggregate defaults discard ?
Misak
или везде статик дискард?
Lena Kasyanova
Всем, привет. А кто-нибудь имел дело с Мелланоксами? Вопрос в следующем - надо в Port Channel ( lacp) добавить еще 1 порт ethernet, как это правильно сделать.
Stanislav
2к18
а у тебя дефолт это агрегейт\дженерейт с контрибьютед рут с фв от апстрима?
мне не особо нравится 600к контрибьютед рутс.
Ilya
Evgeniy
Tema
а у тебя дефолт это агрегейт\дженерейт с контрибьютед рут с фв от апстрима?
мне не особо нравится 600к контрибьютед рутс.
делай set route-opt static route 0/0 discard и всё
Stanislav
спасибо)
Stanislav
Lena Kasyanova
взять и добавить?
Вроде так, но настройки интерфейсов должны быть идентичны. При добавлении, чтобы port channel не поломать.
Evgeniy
ну приведи к идентичным.)
Pavel
ну я так и планирую
Только с pref 9999 на всякий случай, если у тебя там живой дефолт оттуда-то возьмется
Pavel
второй вывод - вот что Владимир рекомендовал routing-options aggregate defaults discard ?
Я так понимаю, это то же самое. То есть он дефолторый имплицитный reject превратит в discard
Pavel
Видимо это недавно что ли появилось
Tema
да, об этом и была речь
Tema
по-дефолту в aggregate если не специфика посылает icmp
Tema
@kmisak Про какие 40г ты говорил тогда?))
Pavel
Ну и я, в принципе, тоже
Tema
умрет-то твой рутер в первую очередь
Tema
потом, что ты можешь сделать, если тебе легитимно рут по ебгп прилетел?
Tema
вот это не понял
Pavel
Если тебе от даунлинка прилетит нечто в несуществующим дст-адресом
Tema
причем тут ebgp и что от чего умрет если статик с дискардом
Tema
Если тебе от даунлинка прилетит нечто в несуществующим дст-адресом
несуществующий это? 257.257.257.257 ?
Tema
:D
Tema
иначе он по fv уйдет к апстриму
Ilya
Бестпруктисы смотрю по ddos prot
Ilya
Рекомендуют трафик предназначенный re менять поведение ddos
Ilya
Полисить, а не дропать и т.п.
Ilya
Ну там icmp, bgp, ldp, etc
Tema
@mxssl
Tema
сделай подобное ARISTA vs QFX )
Tema
Eugene
Бестпруктисы смотрю по ddos prot
мне стыдно признаться, но когда-то "по молодости" у меня была такая фигня, когда шторм ложил OOB и железку
Tema
все итак понятно?
Ilya
мне стыдно признаться, но когда-то "по молодости" у меня была такая фигня, когда шторм ложил OOB и железку
А у меня на этой неделе было
Eugene
@somovis точнее это я сейчас понял, из твоей проблемы и солюшена/рекомендации Павла..
Eugene
А у меня на этой неделе было
ну а я получается, выводы сделал только вот сейчас :)) век живи - век учись блин
Ilya
Ага да
Ilya
:)
Eugene
тогда я это локализовывал тушив железки/линки и это все с дымящимися волосами на заднице..
Tema
https://meduza.io/news/2018/02/08/osnovatelya-dodo-pitstsy-doprosili-po-delu-o-sbyte-narkotikov-cherez-pitstserii
Eugene
но там еще конечно был сыроватый на тот момент хуавей.. а у тебя то взрослые джуны
Eugene
https://meduza.io/news/2018/02/08/osnovatelya-dodo-pitstsy-doprosili-po-delu-o-sbyte-narkotikov-cherez-pitstserii
До-до как и Теремок со своим главным сударем.. нифига не известны за мкадом :)
Eugene
а хайпа много очень
Tema
До-до как и Теремок со своим главным сударем.. нифига не известны за мкадом :)
додо по-моему с регионов и начали
Tema
в мск только недавно появились
Alexander
https://www.rbc.ru/business/08/02/2018/5a7bebaf9a79472d8157694b
Eugene
да? ну я хз все равно чего в мск все прутся от додо.. на vc постоянно хайп
Ilya
Case Study: Suspicious Flow Detection
To illustrate the power of SCFD, let’s explore a simple case using the ARP protocol. In data centers (DCs)
Ilya
Меня аж дёрнуло