форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"в чём СУТЬ ip inspect?"

Сообщение от sergeyfromkomi (ok) on 12-Авг-08, 16:46

Добрый день!! Уважаемые специалисты объясните, в чём СУТЬ ip inspect. Он (ip inspect) следит за каждой сессией(открытием/закрытием) или просто ограничивает таймаут сессии или что-то ещё …. БУДУ ОЧЕНЬ БЛАГОДАРЕН ЛЮБОЙ ИНФОРМАЦИИ!!!

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "в чём СУТЬ ip inspect?"

Сообщение от Ярослав Росомахо (ok) on 12-Авг-08, 17:24

>Он (ip inspect) следит за каждой сессией(открытием/закрытием) или просто ограничивает таймаут сессии Следит за каждой сессией.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "в чём СУТЬ ip inspect?"
	Сообщение от Аноним (??) on 12-Авг-08, 20:59
	>>Он (ip inspect) следит за каждой сессией(открытием/закрытием) или просто ограничивает таймаут сессии > >Следит за каждой сессией. собственно из название ясно - инспектирование сесиий, что именно инспетировать можно задать, почитайте что-нибудь о CBAC
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "в чём СУТЬ ip inspect?"
	Сообщение от sergeyfromkomi (ok) on 13-Авг-08, 10:19
	ip inspect много потребляет ресурсов? у меня 7201, 1666Mhz 1Gb ram и 15-18 Mbit/s через неё(через cisc-у) проходит. ip inspect name test tcp interface Ethernet0/1        ip address 172.16.1.2 255.255.255.0        ip access-group 111 in        ip inspect test out       access-list 111 deny icmp any 10.1.1.0 0.0.0.255 echo access-list 111 permit icmp any 10.1.1.0 0.0.0.255 cisc-a дико тормозит.....(очень..) имхо... можно только избирательно по протоколам ...?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "в чём СУТЬ ip inspect?"
	Сообщение от Аноним (??) on 13-Авг-08, 12:45
	>[оверквотинг удален] >interface Ethernet0/1 >       ip address 172.16.1.2 255.255.255.0 >       ip access-group 111 in >       ip inspect test out >access-list 111 deny icmp any 10.1.1.0 0.0.0.255 echo >access-list 111 permit icmp any 10.1.1.0 0.0.0.255 > >cisc-a дико тормозит.....(очень..) > >имхо... можно только избирательно по протоколам ...? ресурсов это потребляет, но не чрезмерно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "в чём СУТЬ ip inspect?"
	Сообщение от sergey (??) on 13-Авг-08, 14:31
	>ресурсов это потребляет, но не чрезмерно. строка: ip inspect name test tcp - в теле главного конфига, будет обрабатывать весь трафик, отслеживая (выбирая) только tcp и дальше по алгоритму? а если трафик 18 Mbit/s ...? насколько сильно будет загибаться 7201 у меня примерно 150-200 подинтерфейсов. Зарание спасибо.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "в чём СУТЬ ip inspect?"
	Сообщение от Ярослав Росомахо (ok) on 13-Авг-08, 14:33
	>строка: ip inspect name test tcp - в теле главного конфига, будет >обрабатывать весь трафик, отслеживая (выбирая) только tcp и дальше по алгоритму? Нет, не будет. Почитайте например http://www.cisco.com/univercd/cc/td/doc/product/software/ios...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "в чём СУТЬ ip inspect?"
	Сообщение от Изгой (??) on 13-Авг-08, 14:31
	>[оверквотинг удален] >>       ip access-group 111 in >>       ip inspect test out >>access-list 111 deny icmp any 10.1.1.0 0.0.0.255 echo >>access-list 111 permit icmp any 10.1.1.0 0.0.0.255 >> >>cisc-a дико тормозит.....(очень..) >> >>имхо... можно только избирательно по протоколам ...? > >ресурсов это потребляет, но не чрезмерно. Ну да немного -) 600 байт на каждое соединение -) потребляет часть ресурсов процессора
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "в чём СУТЬ ip inspect?"
	Сообщение от sergeyfromkomi (ok) on 14-Авг-08, 17:05
	Люди помогите 3-ий день бьюсь..... не хочет работать этот ip inspect ! ! ip inspect name test tcp ! ! interface GigabitEthernet0/1.100 encapsulation dot1Q 100 ip address 10.1.1.161 255.255.255.224 ip flow egress ip nat inside ip inspect test in (и так тоже пробывал: ip inspect test out) ip virtual-reassembly no snmp trap link-status ! в сети: 10.1.1.160/27 , есть www-сервер (10.1.1.170)доступный ТОЛЬКО из 10.1.1.160/27 Цель: запретить доступ из ЛЮБЫХ ДРУГИХ подсетей(в.ч. инет) к 10.1.1.170,НО не ограничивать в трафике 10.1.1.170 HELP!!!!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "в чём СУТЬ ip inspect?"
	Сообщение от CrAzOiD (ok) on 14-Авг-08, 17:35
	>[оверквотинг удален] >out) > ip virtual-reassembly > no snmp trap link-status >! > >в сети: 10.1.1.160/27 , есть www-сервер (10.1.1.170)доступный ТОЛЬКО из 10.1.1.160/27 >Цель: запретить доступ из ЛЮБЫХ ДРУГИХ подсетей(в.ч. инет) к 10.1.1.170,НО не ограничивать >в трафике 10.1.1.170 > >HELP!!!! а где ACL? Вот читай: http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5708/ps...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "в чём СУТЬ ip inspect?"
	Сообщение от dxer on 17-Авг-08, 18:19
	>[оверквотинг удален] >> >>в сети: 10.1.1.160/27 , есть www-сервер (10.1.1.170)доступный ТОЛЬКО из 10.1.1.160/27 >>Цель: запретить доступ из ЛЮБЫХ ДРУГИХ подсетей(в.ч. инет) к 10.1.1.170,НО не ограничивать >>в трафике 10.1.1.170 >> >>HELP!!!! > >а где ACL? >Вот читай: >http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5708/ps... Смысл использовать эту фичу, есть в том случае, если у вас средний бренч и денег для IPS-аналогичных систем нет - включаете. Но на магистральниках - это абсолютно ненужная функция. Поставьте IPS/ASA перед (за) ним :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]