форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Терминирование PPPoE"

Сообщение от Василий (??) on 01-Дек-06, 02:21

Добрый день. Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы: 1- как бороться если в сегментах сети появлются ложные pppoe-серверы? 2- как защищаться от доса, или флуда, к примеру 1 клиент послыет 1000 запросов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Терминирование PPPoE"

Сообщение от ilinav (??) on 02-Дек-06, 09:26

>Добрый день. > >Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы: >1- как бороться если в сегментах сети появлются ложные pppoe-серверы? >2- как защищаться от доса, или флуда, к примеру 1 клиент послыет >1000 запросов Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан. Или по влану на коммутатор с запрещением трафика между клиентскими портами (sw protected).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Терминирование PPPoE"
	Сообщение от Lacunacoil (ok) on 02-Дек-06, 22:08
	>>Добрый день. >> >>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы: >>1- как бороться если в сегментах сети появлются ложные pppoe-серверы? >>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет >>1000 запросов > > >Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан. >Или по влану на коммутатор с запрещением трафика между клиентскими портами >(sw protected). и от доса тоже можно шторм контроль выставить на коммутаторах...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Терминирование PPPoE"
	Сообщение от Василий (??) on 03-Дек-06, 02:26
	>>>Добрый день. >>> >>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы: >>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы? >>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет >>>1000 запросов >> >> >>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан. >>Или по влану на коммутатор с запрещением трафика между клиентскими портами >>(sw protected). > > >и от доса тоже можно шторм контроль выставить на коммутаторах... а как быть если в одном сегменте поднято несколько ложных пппое-сервер, да разумеется найти по МАС_адресу можно, но не совсем компактно, если сеть не маленькая, т.е. вопрос переиначу: можно ли как-т пользователя привезать к конкретному НАСу, чтоб если в данном сегменте есть еще НАСы он по-преженму устанавливал соединения с оригинальным НАСом, благо клиенты пппое разные бывает.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Терминирование PPPoE"
	Сообщение от Lacunacoil (ok) on 03-Дек-06, 22:51
	>>>>Добрый день. >>>> >>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы: >>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы? >>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет >>>>1000 запросов >>> >>> >>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан. >>>Или по влану на коммутатор с запрещением трафика между клиентскими портами >>>(sw protected). >> >> >>и от доса тоже можно шторм контроль выставить на коммутаторах... > >а как быть если в одном сегменте поднято несколько ложных пппое-сервер, да >разумеется найти по МАС_адресу можно, но не совсем компактно, если сеть >не маленькая, т.е. вопрос переиначу: можно ли как-т пользователя привезать к >конкретному НАСу, чтоб если в данном сегменте есть еще НАСы он >по-преженму устанавливал соединения с оригинальным НАСом, благо клиенты пппое разные бывает. > тут вопрос сводится к второму уровню лучше их отделить как было сказанно выше. Иначе в бродкастовом домене... контролировать это все очень тяжело.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Терминирование PPPoE"
	Сообщение от vgray (??) on 04-Дек-06, 06:57
	>>>>Добрый день. >>>> >>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы: >>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы? >>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет >>>>1000 запросов >>> >>> >>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан. >>>Или по влану на коммутатор с запрещением трафика между клиентскими портами >>>(sw protected). >> >> >>и от доса тоже можно шторм контроль выставить на коммутаторах... > >а как быть если в одном сегменте поднято несколько ложных пппое-сервер, да >разумеется найти по МАС_адресу можно, но не совсем компактно, если сеть >не маленькая, т.е. вопрос переиначу: можно ли как-т пользователя привезать к >конкретному НАСу, чтоб если в данном сегменте есть еще НАСы он >по-преженму устанавливал соединения с оригинальным НАСом, благо клиенты пппое разные бывает. > может port based ACL помогут?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Терминирование PPPoE"
	Сообщение от Milon (ok) on 04-Дек-06, 13:31
	>>>>Добрый день. >>>> >>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы: >>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы? >>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет >>>>1000 запросов >>> >>> >>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан. >>>Или по влану на коммутатор с запрещением трафика между клиентскими портами >>>(sw protected). >> >> >>и от доса тоже можно шторм контроль выставить на коммутаторах... > >а как быть если в одном сегменте поднято несколько ложных пппое-сервер, да >разумеется найти по МАС_адресу можно, но не совсем компактно, если сеть >не маленькая, т.е. вопрос переиначу: можно ли как-т пользователя привезать к >конкретному НАСу, чтоб если в данном сегменте есть еще НАСы он >по-преженму устанавливал соединения с оригинальным НАСом, благо клиенты пппое разные бывает. > к определенному насу привязать легко - ставьте raspppoe на все машины клиентов. там есть такая фича - выбор сервера из списка доступных. при первоначальной установке надо просто указать ваш. и все. см www.raspppoe.org
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Терминирование PPPoE"
	Сообщение от airo (ok) on 04-Дек-06, 11:34
	>>>Добрый день. >>> >>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы: >>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы? >>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет >>>1000 запросов >> >> >>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан. >>Или по влану на коммутатор с запрещением трафика между клиентскими портами >>(sw protected). > > >и от доса тоже можно шторм контроль выставить на коммутаторах... как показала практика броадкаст шторм контроль вреден при использовании pppoe если выставить низкие значения, а если высокие то он не эффективен. При низкиз значения возникает ситуация что если идет поток броадкастов а вместе с ними еще и запросы на соеденение то запросы на соеденение могут дропаться и пользователь не может соедениться
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Терминирование PPPoE"
	Сообщение от Василий (??) on 05-Дек-06, 02:00
	>>>>Добрый день. >>>> >>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы: >>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы? >>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет >>>>1000 запросов >>> >>> >>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан. >>>Или по влану на коммутатор с запрещением трафика между клиентскими портами >>>(sw protected). >> >> >>и от доса тоже можно шторм контроль выставить на коммутаторах... >как показала практика броадкаст шторм контроль вреден при использовании pppoe если выставить >низкие значения, а если высокие то он не эффективен. >При низкиз значения возникает ситуация что если идет поток броадкастов а вместе >с ними еще и запросы на соеденение то запросы на соеденение >могут дропаться и пользователь не может соедениться может имеет смысл терминировать пппое на PC-роутере на linux ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Терминирование PPPoE"
	Сообщение от ilinav (??) on 05-Дек-06, 08:55
	> >может имеет смысл терминировать пппое на PC-роутере на linux ? Было у нас такое. Поплевались и бросили, переползя на циски. Самый главный фактор - человеческий. Цискари есть, а линуксоидов нет. Вернее де юре есть, де факто нет.))) Да и не тянула наша версия линукса много рррое сессий.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Терминирование PPPoE"
	Сообщение от Василий (??) on 05-Дек-06, 11:13
	>> >>может имеет смысл терминировать пппое на PC-роутере на linux ? > >Было у нас такое. Поплевались и бросили, переползя на циски. Самый главный >фактор - человеческий. Цискари есть, а линуксоидов нет. Вернее де юре >есть, де факто нет.))) Да и не тянула наша версия линукса >много рррое сессий. сколько по вашему многу?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Терминирование PPPoE"
	Сообщение от airo (ok) on 29-Янв-07, 11:00
	>Было у нас такое. Поплевались и бросили, переползя на циски. Самый главный >фактор - человеческий. Цискари есть, а линуксоидов нет. Вернее де юре >есть, де факто нет.))) Да и не тянула наша версия линукса >много рррое сессий. а почему только линукс :) ведь есть FreeBSD c mpd4, на 3 штуках сидело по 400 пользователей. больше загнать не пробовал в силу того что нехотелось эксперементировать на юзерах.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Терминирование PPPoE"

Сообщение от tashiki (??) on 05-Дек-06, 03:20

>Добрый день. > >Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы: >1- как бороться если в сегментах сети появлются ложные pppoe-серверы? Быть может я не правильно понял, но ИМХО это лучше сделать аутентификацией. Не рассматривая конкретную топологию и ее особенности это пожалуй самый рациональный способ. Просто "бороться" с "ложными" pppoe-серверами дословно можно только на физическом уровне (с чем-нибудь увесистым, колящим и режущим) > 2- как защищаться от доса, или флуда, к примеру 1 клиент послыет > 1000 запросов Пример: vpdn-group CUSTOMERS accept-dialin   protocol pppoe   virtual-template 1 pppoe limit per-mac 1 pppoe limit max-sessions 1000 (PPPoE Session Limit ->  http://www.cisco.com/en/US/products/sw/iosswrel/ps5012/products_feature_guide09186a0080087a0b.html) Если клиент терминируется на pppoe концентраторе, то по опыту могу сказать, что на 28-ых, 26-ых и 36-ых (последнее смешно но таки правда) минимальный флуд на IP (20-22k pps) валит кошку насмерть (от таких вещей спасает только грамотно настроенная IDS). Насчет аутентификации пример: interface Virtual-Template1 ip unnumbered FastEthernet<N> no ip route-cache no peer default ip address ppp authentication chap pap ms-chap ppp direction callin hold-queue 4096 in hold-queue 4096 out ... pap не рекомендую использовать; chap и ms-chap для подобного рода сети самое ОНО :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]