"V následující debatě zaznělo, že jde o problém známý patnáct či dvacet let. Řeší jej control plane policy, kterou umí všechny současné routery. Z vnějšku pak je sice na router otevřený SSH port, ale ve skutečnosti není možné jeho provozem zahltit počítač uvnitř routeru, protože tok je už na data plane limitován například na jeden megabit."
Kdyz prece poslu dos na port 179 tak ho muze policy omezit na 1Mbit, tim se neslozi controllplane, ale co regulerni BGP pakety, ty to prece statisticky zacne dropovat taky, takze jsem tam, kde jsem byl...
Nebo v cem je rozdil/vyhoda proti klasickym ACL rules?
Dekuji.
To je tema na dost dlouhou prednasku, takze hodne zjednodusene:
Neni uplne moudre udelat jedine pravidlo pro cilovy port tcp/179. Ta pravidla v CoPP je potreba strukturovat tak, aby se prave to, co zminujete, nestalo, matchovat packety muzete podle cele rady parametru (neni uplne od veci tam pouzit krome zdrojovych adres i TTL).
Ne kazda platforma umi v asicoch matchovat packety na zaklade cele rady parametru. Pravidlo s TTL se da hodne jednoduse obejit, pokud nepouzivaj obe strany bgp ttl security..
