[yKpon]

всем доброго вечера уважаемые гуру

 

L2 радио сеть, авторизация PPPoE

такая проблема, вечерами на всех секторах (RB912, SXT) наблюдается лавинообразный флуд

 

при этом на ether1 такого трафика нет

 

флуд протоколом 8864(pppoe)

абоненты жалуются, как быть то?

спасибо

Изменено 5 марта, 2016 пользователем yKpon

[Saab95]

Раз на Ether1 его нет, то откуда он берется? Ведь что бы его передавать, он должен откуда-то придти, например с сетевого порта, тогда там будет поток трафика на прием с такой же скоростью, что на передачу абонентам. Если какой-то абонент сектора передает всем другим, то от него должен быть поток на прием.

 

Поэтому нужно убедится что трафик на бридже между абонентами БС заблокирован, каждая БС сведена отдельным каналом на PPPoE концентратор.

 

Так же нужно посмотреть в Bridge Hosts сколько маков за каждым WDS интерфейсом, кроме всего можно на бридж добавить фильтр, что передавать данные абонентам можно только с мак адреса PPPoE концентратора.

[sokrat]

 

Поэтому нужно убедится что трафик на бридже между абонентами БС заблокирован, каждая БС сведена отдельным каналом на PPPoE концентратор.

Так же нужно посмотреть в Bridge Hosts сколько маков за каждым WDS интерфейсом, кроме всего можно на бридж добавить фильтр, что передавать данные абонентам можно только с мак адреса PPPoE концентратора.

 

И гидэ твоя минимизация, на хрена эти сложности с фильтрами, и кто их вводит монтажник или такелажник. У мя без всяких фильтров в указаном тобой

 

 

Поэтому нужно убедится что трафик на бридже между абонентами БС заблокирован, каждая БС сведена отдельным каналом на PPPoE концентратор.

Так же нужно посмотреть в Bridge Hosts сколько маков за каждым WDS интерфейсом, кроме всего можно на бридж добавить фильтр, что передавать данные абонентам можно только с мак адреса PPPoE концентратора.

 

И гидэ твоя минимизация, на хрена эти сложности с фильтрами, и кто их вводит монтажник или такелажник. У мя без всяких фильтров в указанном тобой Hosts нема маков.

И что по твоему мну еще урезать, чтобы не ра-бо-та-ло?

[Ferdin]

авторизация PPPoE на SXT или на клиентских роутерах?

[Liner's]

изоляция должна спасти, тогда будет понятно кто

[sokrat]

изоляция должна спасти

 

Про какую изоляцию речь?

[Saab95]

Про какую изоляцию речь?

 

1. Блокировка трафика между абонентами БС.

2. Отдельный канал от каждой БС до PPPoE сервера.

 

Никаких проблем в работе возникать не будет.

[sokrat]

Про какую изоляцию речь?

 

1. Блокировка трафика между абонентами БС.

2. Отдельный канал от каждой БС до PPPoE сервера.

 

Никаких проблем в работе возникать не будет.

 

Я же показал как у нас настроено и ни каких блокировок нет ни на базе ни на клиенте,

и со стороны клиента винбокс видит только точку клиента, и маков в хосте у клиентской точки ни каких нету. За точкой хоть трава не расти, ничего от клиента не лезет.

[Nurjr]

Я же показал как у нас настроено и ни каких блокировок нет ни на базе ни на клиенте,

Позвольте полюбопытствовать как у вас реализовано?

[Saab95]

Я же показал как у нас настроено и ни каких блокировок нет ни на базе ни на клиенте,

Позвольте полюбопытствовать как у вас реализовано?

 

У него видимо station bridge =)

[sokrat]

У него видимо station bridge =)

 

Не видимо, а точно.

 

Позвольте полюбопытствовать как у вас реализовано?

 

Без проблем, но чтобы мне не напрягаться наваляй свои действия, как реализовано у тебя,

а я по возможности на этом фоне подправлю, чтобы не претендовать на лавры. Но так работает у нас и может быть не приемлемо для вашей сети, а то как пишет saab дизайн сети не правильный.

[Ferdin]

У него видимо station bridge =)

в чём разница station bridge или station wds ?

[Saab95]

в чём разница station bridge или station wds ?

 

Первый не пропускает L2 трафик, а второй пропускает в полном объеме.

 

Например у вас нужно прозрачно пропустить данные через радио, настраиваете базу bridge клиента station WDS, на вкладках WDS указываете бридж и тип - dynamic, в бридж добавляете сетевой порт и беспроводной адаптер. Когда происходит подключение по радио, данные передаются через порты бриджа по созданным WDS интерфейсам.

 

Если используется station bridge то данные L2 не передаются прозрачно, т.к. нет WDS интерфейса, именно по этой причине в больших сетях без сегментации, трафик и не разлетается по всем абонентам, т.к. они свои маки не светят.

[sokrat]

Если используется station bridge то данные L2 не передаются прозрачно,

 

И что у мя при такой конфигурации не будет работать, напойка мне.

Ты бы хоть в какой-нибудь сети конфигурацию скоммуниздил, да тут на обозрение бросил бы,

а то ведем беспредметный разговор. А то как сапер, ошибаешься один раз, но каждый день.

[Saab95]

И что у мя при такой конфигурации не будет работать, напойка мне.

Ты бы хоть в какой-нибудь сети конфигурацию скоммуниздил, да тут на обозрение бросил бы,

а то ведем беспредметный разговор. А то как сапер, ошибаешься один раз, но каждый день.

 

Вы лучше скрин с БС приведите, где эти абоненты подключены, интересно посмотреть окно интерфейсов.

То, что у вас приведено на картинке, никакого отношения к L2 не имеет, то же можно просто в режиме Station сделать, будет работать, т.к. DHCP Client поднимается сразу на wlan. Однако есть и один важный недостаток - при обрыве связи по радио, интерфейс становится не активный и все сессии у абонента обрываются, при повторном подключении будет происходить повторное получение IP адреса. Если бы все работало по нормальной схеме, то есть bridge1 в него порт wlan, то при обрыве радио сам интерфейс bridge1 не выключается, и повторного запроса на получение адреса не происходит, сессии не обрываются.

[sokrat]

Вы лучше скрин с БС приведите, где эти абоненты подключены,

 

АБзательно, только ночью, сейчас не царское время.

Тока почему-то я, я просил спиз@ить у кого-нибудь конфигурацию и тут показать

 

сессии не обрываются.

 

Там на картинке читай внимательно, сессия закроется через 3 дня, и ip, что клиент получил за ним все это время сохраняется, думаю если он постоянно в инете, то он у него будет висеть всю оставшуюся жизнь. Предупреждаю, заточено не для тебя, а для критики по кривизне шаловливых рук, и не правильному дизайну.

[yKpon]

авторизация PPPoE на SXT или на клиентских роутерах?

на SXT

 

Про какую изоляцию речь?

 

1. Блокировка трафика между абонентами БС.

2. Отдельный канал от каждой БС до PPPoE сервера.

 

Никаких проблем в работе возникать не будет.

на секторах ether1 и wlan1 в бридже, фильтрую только pppoe и pppoe-discovery, не помогает

 

У него видимо station bridge =)

на клиентах station wds

[yKpon]

снял default forward, ничего не изменилось

[yKpon]

/interface bridge filter
add action=drop chain=forward in-bridge=bridge1 in-interface=!ether1 out-bridge=bridge1 out-interface=!ether1

без изменений

[Saab95]

Там на картинке читай внимательно, сессия закроется через 3 дня, и ip, что клиент получил за ним все это время сохраняется, думаю если он постоянно в инете, то он у него будет висеть всю оставшуюся жизнь. Предупреждаю, заточено не для тебя, а для критики по кривизне шаловливых рук, и не правильному дизайну.

 

Так вы путаете понятия присвоение адреса и отключение интерфейса в следствии обрыва связи. Одно дело клиент просидел 3 дня, закончилось время аренды и он получит опять свой адрес на 3 дня. Другое когда связь с БС потеряна, интерфейс wlan1 стал не активным, IP адреса на нем так же перестали работать. Все сессии в НАТе у абонента оборвались.

 

/interface bridge filter
add action=drop chain=forward in-bridge=bridge1 in-interface=!ether1 out-bridge=bridge1 out-interface=!ether1

без изменений

 

У меня работает, в счетчике правила постоянно увеличиваются циферки.

 

/interface bridge filter
add action=drop chain=forward in-bridge=bridge1 in-interface=!eoip-tunnel1 out-bridge=bridge1 out-interface=!eoip-tunnel1

[sokrat]

/interface bridge filter
add action=drop chain=forward in-bridge=bridge1 in-interface=!ether1 out-bridge=bridge1 out-interface=!ether1

без изменений

 

Он тебе мозги будет парить, а ты будешь у него в роли подопытного кролика,

это он их так разводит. Много кому так насоветовал. И как я говорил, выслушай советы и сделай по своему.

[yKpon]

Он тебе мозги будет парить, а ты будешь у него в роли подопытного кролика,

это он их так разводит. Много кому так насоветовал. И как я говорил, выслушай советы и сделай по своему.

как же залечить флуд то

[Saab95]

как же залечить флуд то

 

Так вы правило создали, счетчик на нем увеличивается? Если in и out interface указывать не будете, трафик полностью блокируется?

[sokrat]

Он тебе мозги будет парить, а ты будешь у него в роли подопытного кролика,

это он их так разводит. Много кому так насоветовал. И как я говорил, выслушай советы и сделай по своему.

как же залечить флуд то

 

Посмотри как сделано у мя и сделай по своему. А потом чужая сеть потемки,

а тут будут советы давать, как надо правильно @.ать при свечах.

[Nurjr]

/interface bridge filter

add action=drop chain=forward in-bridge=bridge1 in-interface=!ether1 out-bridge=bridge1 out-interface=!ether1

 

без изменений

У вас бридж в радио, рутовый? rstp включен?