Comments 14
в своей я пока не решился выставить подобный сервис наружу.
Да ничего особо страшного в этом нет. Берете какой-нибудь древний, не нужный роутер (или виртуалку с CSR1k). Делаете соседства с несколькими бордерами. На тех бордерах запрещаете принятие любых префиксов с того LG, и вообще выполняете все настройки как для вражеского роутера, например, ограждаете LG средствами ACL'ей, чтобы если кто-то каким-то образом получит на нем CLI, то никуда прыгнуть с него не сможет, настраиваете со всех сторон полисеры, storm control. Ну и делаете фронтенд на http, валидирующий команды по регулярным выражениям. Или не делаете, а просто пускаете людей по telnet/ssh, но с фильтрацией команд белым списком (по tacacs, RBAC или как угодно).
Итого: если вы решите грохнуть абсолютно любой из найденных вами LG, то повлияет это только на сервис LG. Продакшн вы никому не обвалите. Надо быть идиотом, чтобы выделять под LG боевой роутер с продуктивным трафиком.
UFO just landed and posted this here
Надо быть идиотом, чтобы выделять под LG боевой роутер с продуктивным трафиком.
Вот summary с lg RETN Воронеж соседство с Эр-Телеком:
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 87.245.243.62 9049 412381 45106746 0 18 19w0d1h Establ inet.0: 185/773/769/0
185 активных маршрутов в default таблице. Боевой у RETN роутер или нет? А у Эр-Телеком?
По обратке пир похож на принадлежащий RETN бордер с эр-телекомом. gw-ertelecom.retn.net.
Сколько активных маршрутов — не особо важно для LG, хотя конечно странно, что оно в RIB пишется.
Сколько активных маршрутов — не особо важно для LG, хотя конечно странно, что оно в RIB пишется.
Хотя конечно странно, что ASN у пира чужой… Ну либо что-то хитрое делают, либо «безумству храбрых поем мы славу».
В том-то и дело, что такое много где.
Люди настолько уверены в отсутствии хотя бы элементарных багов? Взять любую версию IOS — у нее найдется что-то вроде «show run вызывает крэш».
Ну не верю я, что кто-то будет давать посторонним какой угодно доступ к своему боевому железу. Что мешает взять какой-нибудь древний хлам и на него пускать?
Ну не верю я, что кто-то будет давать посторонним какой угодно доступ к своему боевому железу. Что мешает взять какой-нибудь древний хлам и на него пускать?
А я верю, когда писал пост пролез достаточно много LG. Ввод везде фильтрован так как написано в статье, если попадается что-то не стандартное команда улетает дальше и там видны сообщения об ошибках с железки. Боевые соседства тоже вполне себе видны.
Изначальное в этом же и был смысл, как мне кажется, это сейчас выглядит пугающе.
Изначальное в этом же и был смысл, как мне кажется, это сейчас выглядит пугающе.
Мы тут с коллегами интересуемся — а как при такой схеме смотреть, например, sh bgp summary или sh route receive-protocol bgp {neighbor}?
Я оставлю это здесь:
github.com/ServerAstra/py-lookingglass
Для быстрого решения работает неплохо. Буду дорабатывать, кому не лень дополняйте )
github.com/ServerAstra/py-lookingglass
Для быстрого решения работает неплохо. Буду дорабатывать, кому не лень дополняйте )
Вообще не понимаю в чем сложность написания looking glass «под себя» и не использовать не пойми что от других. Это пишется за один вечер, с учётом просмотра мануалов по html и php (сам так и написал). Главное не забывать валидировать пользовательский ввод регекспами.
У других можно вполне подходящий выбрать. Народ аж коллекционирует ссылки на LG:
LookingGlass.org
traceroute.org
LookingGlass.org
traceroute.org
Sign up to leave a comment.
Смотрим в looking-glass