Cisco 2800 con 500 Host pretendo troppo?

[steste640]

Ho un Cisco 2800 con 4 linee adsl fasciate in PPP multilink per una banda totale di 16/2 Mbps che va sempre a banda piena.
dietro il cisco c'e' un firewall Mikrotik con dietro circa 500 Host di cui statisticamente mediamente 200 attivi.
Il mio problema e' che in certi orari sembra che il cisco vada un po' in crisi in quanto pur essendoci ancora banda sulla linea i ping in esterno passano da 16 ms (mix milano) a 500ms o 1000ms provati dal prompt del cisco.
Per fare abbassare il ping devo stroncare dalla rete alcuni host che utilizzano e-mule o simili (dei 200 attivi sono una cinquantina di solito).
Possibile che il cisco sia al limite del numero delle connessioni?
Mediamente un host con P2p mi apre circa 200 connessioni che x 50 fa 10000 connessioni aperte.
Il cisco mi dice che ha la CPU tra il 60 e 80 percento e usa solo il 10 percento di memoria.
Sul Cisco c'e' attivo un QOS per il voip.

Secondo voi ho il cisco al limite o devo andare a cercare altrove?

stefano

[Wizard]

Per fare abbassare il ping devo stroncare dalla rete alcuni host che utilizzano e-mule o simili (dei 200 attivi sono una cinquantina di solito).

Io mi preoccuperei di sta cosa...
Dal firewall nn puoi bloccare il p2p?

[ciscomanagement]

Il problema è quasi sicuramente dovuto alla cinquantina di terminali che usano emule.

Potresti provare a bloccare le porte di emule, in modo che con id basso il numero di connessioni diminuiscono.
Faresti respirare il router e non toglieresti il pane completamente dalla bocca dei cinquantini.

Il firewall per sostenere questo traffico deve avere una cpu non indifferente.

Altra cosa... hai un 2801, un 2811, un 2821, o un 2851 ?

[Helix]

Diciamo che dove lavoro ora hanno i 2811 e ci fanno girare anche più di 500 utenti!!!

[Wizard]

Blocca assolutamente il p2p!

1) Non è legale e se la finanza fa un controllo siete nelle grane
2) Si usa banda di produzione
3) Fa lavorare peggio 3/4 della azienda

[Helix]

esatto!!!

[steste640]

E' un 2811.
Il firewall e' un mikrotik OS 2.9.39 che gita su pentium 4 2800 con carico di CPU al 50 percento. Per ora regge.
Per il P2P non so proprio come bloccarlo. Il mikrotik ha gia' l'opzione blocca P2P attiva e mi stronca il P2P classico ma con attivo l'offuscamento del protocollo questo filtro viene bypassato.
Avevo pensato di limitare la banda alle porte tcp dalla 1000 alla 65000.
Che ne pensate?

Posso anche bloccare a mano le reti dei server ma e' una guerra continua, dovrei passare le giornate solo a fare questo.

Stefano

[ciscomanagement]

In effetti ciò che dice wizard non sono eresie, ma realtà.

Tranne nel 3° punto perche ti peggiora 4/4 dell'azienda

Diciamo che se i client utilizzassero una vpn esterna non effettuerebbo il natting di tutte quelle connessioni sul router, e neanche sul firewall se hanno il doppio nat.

Comunque se sei l'amministratore o sei vicino ad esso, ti conviene veramente bloccare il tutto, non si sa mai

Wizard ti ha consigliato il mentadent, meglio prevenire che curare.

[Wizard]

Io in questi casi consiglio la seguente cosa dato che "poca spesa tanta resa"!

Sul FW (meglio) o sul router crei delle acl in uscita che permettono solo le porte necessarie e tutto il resto lo chiudi!
In questo modo i vari client di file sharing nn si connetteranno neanche!

Le porte da aprire sono la

80 tcp
443 tcp
53 udp
25 tcp
110 tcp
...

[ciscomanagement]

Limitare la banda non limita le connessioni, se blocchi le porte limiti qualcosa.
Però se non ricordo male emule puo essere impostato anche con le porte di navigazione in rete e si connette ugualmente.

La politica di offuscamento l'hanno inserita nelle ultime versione mi sembra; l'intento era di bypassare i filtri delle compagnie che fornisco adsl, ma alla fine bypassano solamente i filtri interni della propria rete.

Wizard ed altri utenti partecipi ne sa sicuramnete 1 milione di volte più di me; però questi filtri che utilizzano gli isp sono prodotti sempre dalla cisco, però non sono a conoscenza se possono essere montati a livello personale (amatoriale)

Purtroppo la politica in ufficio è questa, se qualcuno trova una soluzione, tutti i colleghi ne vengono a conoscenza.
Si potrebbe usare un poco di politica aziendale, individuare gli ip della lan e mettere in croce in qualche modo queste persone (non prendere l'esempio di quelli delle FS, che sono scannati vivi a momenti).
Diciamo di impressionare con un poco di coercizione

Attendi che altri sicuramente ti risponderanno con altre idee utili alla causa

[ciscomanagement]

Ah dimenticavo... il router... scusami.

Il 2811 monta una cpu a 350 mhz, che per gestire 500 utenti è piu che sufficiente, vai tranquillo.

[Wizard]

Punto primo (non tecnico):

- Si manda una bella mail (magari la manda un dirigente) dove si vieta l'uso di software di file sharing in azienda
- Tutti quelli che continuano a scaricare vengono trovati e dati in pasto al dirigente

Punto secondo (tecnico):

- Si configurano le acl come ti dicevo prima sul firewall
- Si configurano i filtri per il p2p sul router Cisco (NBAR)

[k4mik4ze]

80 tcp
443 tcp
53 udp
25 tcp
110 tcp
...

non essere così STRICT suvvia

diamogliela anche la 20 e la 21, che possono servire....e la 666
Cmq quoto in toto: tutto chiuso tranne il necessario!

[Wizard]

Cmq quoto in toto: tutto chiuso tranne il necessario!

Questa è una cosa che andrebbe cmq fatta in ogni situazione!
Siamo OT però nella maggior parte delle realtà ci sn filtri in entrata ma in uscita è tutto aperto...

[mondin.luca]

80 tcp
443 tcp
53 udp
25 tcp
110 tcp
...

non essere così STRICT suvvia

diamogliela anche la 20 e la 21, che possono servire....e la 666
Cmq quoto in toto: tutto chiuso tranne il necessario!

Si beh dai, le porte che servono per le applicazioni, si fa richiesta ufficiale, una bella ACL in uscita e un bell' ip deny any any log così vedi tutto su un bel syslog aziendale e li vai a cazziare uno x uno quando non hai niente da fare