# vi ssh-acl.pol
ssh-acl.pol:
entry permitMGMT {
if match all {
protocol tcp;
destination-port 22-23;
source-address 1.1.1.1/32;
destination-address 2.2.2.2/32;
} then {
permit;
count permitMGMT;
}
}
entry dropMGMT {
if match all {
protocol tcp;
destination-port 22-23;
destination-address 2.2.2.2/32;
} then {
deny;
count dropMGMT;
}
}
# check policy ssh-acl
# configure access-list ssh-acl vlan Mgmt
Wer von euch sich mit Linux und IPv6 befasst, der weiß sicher auch, dass eine aktuelle BGP Full Table etwas mehr als 9.600 Routen enthält. Wenn man ein Testlab hat und eine Full Table ziehen möchte, dann sollte man unter Linux (betroffen sind zumindest aktuelle Debian, Ubuntu und Suse Installationen) überprüfen wie groß die Routingtable für IPv6 überhaupt sein darf:
# cat /proc/sys/net/ipv6/route/max_size
4096
Mit 4K kommt man da nicht wirklich weit ;). Das ist einer der Werte die angepasst werden müssen … weiter sollte man ebenfalls noch auf r/wmem_default und r/wmem_max aufpassen. Sonst gibts kuriose Fehlermeldungen wie diese:
netlink-cmd error: Cannot allocate memory, type=RTM_NEWROUTE(24), seq=537054
Heute haben wir den ersten Teil unserer laufenden großen Cisco Bestellung rausgesandt. Morgen wissen wir dann final was wir zusätzlich noch brauchen werden, dann geht Teil 2 raus. Und dann wirds richtig spannend … denn wir bringen auch einen zusätzlichen Hersteller ins Spiel, dessen Produkte ausgezeichnet funktionieren, perfekt mit unseren Plänen harmonieren und einfach ein unschlagbare Preis-/Leistungs-Verhältnis haben. Mehr dazu dann in den nächsten Tagen ;).
Montag geht ein Teil der neuen Hardware endlich raus – zum Großteil sind es Erweiterungen für Paris, Prag, Laibach und Zürich. Weitere Geräte wurden natürlich in Klagenfurt und Wien eingebracht und die Verbindung Klagenfurt <-> Wien hat weitere Redundanzen erhalten. Es bleibt spannend ;).
Kürzlich hatten wir einen kapazitiven Engpass bei unseren Backup-Storages – dem haben wir in den letzten Tagen ein Ende gesetzt und wieder um 64TB netto erweitert. Bin schon gespannt wie lange wir damit auskommen werden – für ein paar Wochen wird’s wohl reichen ;).