The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ip virtual-reassembly & GRE tunnel"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"ip virtual-reassembly & GRE tunnel"  +/
Сообщение от VolanD (ok) on 04-Сен-12, 11:38 
Добрый день!

Есть циско роутер Cisco 881, на нем есть туннельный интерфейс, через который клиенты ходят в интернет (НАТ соответсвенно на нем). Все прекрасно работает, но беспокоят периодические сообщения IP_VFR-3-OVERLAP_FRAGMENTS.

Конфиг интерфейса:

ip address Y.Y.Y.Y 255.255.255.248
ip access-group ExtendedACL out
ip mtu 1416
ip nat outside
ip virtual-reassembly in
ip tcp adjust-mss 1300
tunnel source FastEthernet4
tunnel destination X.X.X.X

Собственно вопрос, как так происходит? Ну это явно не атака на роутер? Чувствую, что это из-за DF, но почему происходит оверлап?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ip virtual-reassembly & GRE tunnel"  +/
Сообщение от Денис (??) on 04-Сен-12, 19:46 
>[оверквотинг удален]
>  ip address Y.Y.Y.Y 255.255.255.248
>  ip access-group ExtendedACL out
>  ip mtu 1416
>  ip nat outside
>  ip virtual-reassembly in
>  ip tcp adjust-mss 1300
>  tunnel source FastEthernet4
>  tunnel destination X.X.X.X
> Собственно вопрос, как так происходит? Ну это явно не атака на роутер?
> Чувствую, что это из-за DF, но почему происходит оверлап?

Малость не тему, а что дает "in" в "ip virtual-reassembly in" ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ip virtual-reassembly & GRE tunnel"  +/
Сообщение от VolanD (ok) on 05-Сен-12, 06:13 
>[оверквотинг удален]
>>  ip access-group ExtendedACL out
>>  ip mtu 1416
>>  ip nat outside
>>  ip virtual-reassembly in
>>  ip tcp adjust-mss 1300
>>  tunnel source FastEthernet4
>>  tunnel destination X.X.X.X
>> Собственно вопрос, как так происходит? Ну это явно не атака на роутер?
>> Чувствую, что это из-за DF, но почему происходит оверлап?
> Малость не тему, а что дает "in" в "ip virtual-reassembly in" ?

Да совсем даже в тему. Ну циска говорит:
in   Enable VFR on Ingress
out  Enable VFR on Egress

Подробностей не нашел, но могу предположить, что при выходе с интерфейса она также собирает "в уме".

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ip virtual-reassembly & GRE tunnel"  +/
Сообщение от Myxa email(ok) on 05-Сен-12, 17:26 
Ошибка говорит о том, что не совпадают оффсеты фрагментов и в том числе может свидетельствовать об атаке (Overlapping Fragment Attack). Хотя подобные симптомы может вызывать и торрент.

cle ip traff и попозже
show ip traffic | i fragm|reass|unreach
смотрите что там у вас с фрагментацией.

Дальше как варианты, зависит также от типа трафика:
- скидывать DF bit (в случае с UDP)
- ip virtual-reassembly max-fragments
- ip virtual-reassembly drop-fragments

Может есть смысл настроить ip inspect

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру