Enda en ny ruter i heimen, nå en Cisco 2851

[toreae]

Det er dette du mener?

Cisco(config-ext-nacl)#deny ip aaa.bbb.ccc.ddd 255.255.255.0 any 

 

Skulle selvfølgelig være

Cisco(config-ext-nacl)#deny ip aaa.bbb.ccc.ddd 255.255.255.255 any 

 

Cisco(config-ext-nacl)#deny ip aaa.bbb.ccc.ddd ?

  A.B.C.D  Source wildcard bits

 

Eller er jeg på villspor her?

 

----------------------

 

Hva finnes av betalingsprogram, og hvilke funksjoner har de?

Endret 6. oktober 2017 av toreae

[ChrisCo]

Ikke maske hvis du kun skal blokkere enkelt-adresser. Skal du blokkere hele nett, så bruker du wildcard maske. F.eks /24 = 0.0.0.255

 

Du kan jo prøve å google log viewer og se hva du finner

[toreae]

Cisco(config-ext-nacl)#deny ip host aaa.bbb.ccc.ddd any

Cisco(config-ext-nacl)#permit ip any any                                er denne linjen nødvendig?

 

 

Får prøve google.

Endret 6. oktober 2017 av toreae

[ChrisCo]

Ja, da er en "usynlig" deny any statement på slutten av standard ACL. Så hvis du ikke har den, så vil routeren kun matche de statementene du har lagt inn og blokkere resten.

[toreae]

OK.

 

Ser at det manglet noe i tidligere post:

Cisco(config)#int GigabitEthernet0/0

Cisco(config-if)#ip access-group Block in

Cisco(config-if)#exit

Cisco(config)#exit

 

Det jeg har gjort er å blokkere innkommende trafikk (mot en server som sendere reklame og dritt). Er det på noen slags måte bedre å blokkere mot utgående trafikk? Eller begge deler? 

 

Hvis jeg ønsker å blokkere utgående trafikk, er det da mest hensiktsmessig å blokkere GigabitEthernet0/1.xx?

[ChrisCo]

 

 

Er det på noen slags måte bedre å blokkere mot utgående trafikk? Eller begge deler? 

 

Du vil jo blokkere driten fra å komme inn på nettet ditt.. Men hvis det trigges fra innsiden, så ville jeg nok ha blokkert trafikk mot den serveren. Eller enda bedre, funnet årsaken og fjernet den...

 

 

 

Hvis jeg ønsker å blokkere utgående trafikk, er det da mest hensiktsmessig å blokkere GigabitEthernet0/1.xx?

 

Ja, nærmest kilden

[toreae]

Vel årsaken er uaktuelt å ta vekk. Internett er fritidssyssel, og spill en del av det. Og popups med reklame for skit henger med. Men når de er så ivrige med å spre driten at ruteren får hikke, da frister det å komme med tiltak.

 

Forøvrig er det IKKE et problem (påminnelse til meg selv). 1500 bytes som forsvinner hvert 3. sekund i 5 til 15 minutters periode er ikke problem. Belastning kan dog bli et problem, pr nå ser jeg at det koster å ha zbf, men det er slik jeg leser det fragmenterte pakker som egentlig har skylden:

 

sh proc cpu hist

                                   

                                              1                               

      1312521421333432359745269 8211211121232909949999221111111212125982182294

      698125458610879406840415995466366899618909909676147077766589705949923802

  100                   *     *              **** ****               *        

   90                   *     * *            ***# ****               *      * 

   80                   *     * *            #*## ****               **  *  * 

   70                   **   ** *            #*## ****               **  *  * 

   60                  ***   ** *            #### ****              ***  *  * 

   50     *  *     *   *** * ** *            #### ****              ***  *  * 

   40  *  *  *    ***  ***** ** *            ####*****              ***  *  **

   30  *  ** ** ***** ****** ** *       * ***####*****         * *  **** * ***

   20 ****** ****************** *************####******** ********************

   10 **************#####********************#######*#***************##**#**#*

     0....5....1....1....2....2....3....3....4....4....5....5....6....6....7..

               0    5    0    5    0    5    0    5    0    5    0    5    0  

                   CPU% per hour (last 72 hours)

                  * = maximum CPU%   # = average CPU%

 

Alt blir forvridd her, om noen vil se "det korrekte bilde", kopiere over til notepad. 

[ChrisCo]

Gir mer enn bra nok bilde av cpu. Som du ser, så makser du cpu`en.. Da vil du få pakketap og sirupsfart på nettet... Eneste måten å bli kvitt dette på, er å gi routeren mindre å gjøre...

[toreae]

Vet egentlig ikke hvordan det måles, vi har ikke hatt problem med sirupsfart. * = maximum CPU% er vel i utganspunktet ikke problem, at CPU makser et millisekund bety lite. Hvordan # = average CPU% skal forståes er spørsmålet. Men den ser jeg sjelden veldig høyt på 60 sekunders skalaen.

 

Blir ting ille, så må jeg selvfølgelig gjøre tiltak. 

[ChrisCo]

En liten spike opp mot 100% gjør nok ikke noe. Det er når den blir værende enn stund så høyt at ting begynner å merkes.. Men uansett så forklarer jo CPU spikene det du har av pakketap...