Jump to content
Калькуляторы

simpl3x

Пользователи
  • Content Count

    65
  • Joined

  • Last visited

About simpl3x

  • Rank
    Абитуриент

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. @orlik @vurd я правильно понимаю, что в общем случае, кроме анализа NETFLOW\IPFIX на стороне, штатных средств у Juniper MX серии нет, что бы детектировать такие вещи? смутило просто: show ddos-protection protocols icmp Packet types: 1, Modified: 1, Received traffic: 1, Currently violated: 0 Currently tracked flows: 1, Total detected flows: 3 * = User configured value Protocol Group: ICMP Packet type: aggregate (Aggregate for all ICMP traffic) Aggregate policer configuration: Bandwidth: 50 pps* Burst: 50 packets* Recover time: 300 seconds Enabled: Yes Flow detection configuration: Detection mode: On* Detect time: 30 seconds* Log flows: Yes Recover time: 60 seconds Timeout flows: No Timeout time: 300 seconds Flow aggregation level configuration: Aggregation level Detection mode Control mode Flow rate Subscriber Automatic Drop 10 pps Logical interface Automatic Drop 10 pps Physical interface Automatic Drop 1000 pps* System-wide information: Aggregate bandwidth is no longer being violated No. of FPCs that have received excess traffic: 1 Last violation started at: 2019-12-21 15:26:54 MSK Last violation ended at: 2019-12-21 15:27:13 MSK Duration of last violation: 00:00:19 Number of violations: 3 Received: 1040220 Arrival rate: 14 pps Dropped: 245069 Max arrival rate: 2476 pps Flow counts: Aggregation level Current Total detected Subscriber 0 1 Logical-interface 1 2 Total 1 3 Routing Engine information: Bandwidth: 50 pps, Burst: 50 packets, enabled Aggregate policer is never violated Received: 795221 Arrival rate: 10 pps Dropped: 0 Max arrival rate: 29 pps Dropped by individual policers: 0 FPC slot 0 information: Bandwidth: 100% (50 pps), Burst: 100% (50 packets), enabled Hostbound queue 0 Aggregate policer is no longer being violated Last violation started at: 2019-12-21 15:26:54 MSK Last violation ended at: 2019-12-21 15:27:13 MSK Duration of last violation: 00:00:19 Number of violations: 3 Received: 1040220 Arrival rate: 14 pps Dropped: 245069 Max arrival rate: 2476 pps Dropped by individual policers: 0 Dropped by aggregate policer: 28593 Dropped by flow suppression: 216476 Flow counts: Aggregation level Current Total detected State Subscriber 0 1 Active Logical-interface 1 2 Active Total 1 3 в этой портянке есть Routing Engine, думал что это как раз об этом
  2. Добрый день, коллеги. Подскажите рецепт, как порезать внезапно летящий транзитный DDoS (относительно Juniper'a) из сети в сторону твоей AS. Как детектировать на нём, что это DDoS, можно ли это в принципе сделать, например с помощью ddos-protection ? Как отправить этот трафик в ад, или добавить dst-addr в blackhole community с помощью встроенного языка, ну или хотя бы просто дропнуть? За спасение приз гарантирован!
  3. @sdy_moscow да дело не в договорах. там то все указано, сроки реализации и тп. ну и как бы план реализации же с их участием подписывается, там все прописано. сейчас, речь не о том. речь о том, что нужен СОРМ, которого нет и не ясно, будет ли, а если будет, то насколько безопасен этот велосипед.
  4. коллеги, поделитесь опытом внедрения/эксплуатации СОРМ3 от VasExperts! на текущий момент, внедрение длится уже не один месяц (с учётом разработки технического решения - 1.5 года) и ответа на вопрос "когда?" нет, зато есть срок обозначенный в плане внедрения и он закончится в этом году. на фоне этого есть пара вопросов: 1) кто нибудь имеет опыт успешного внедрения и как долго это всё длилось? а то, все это больше похоже на эксперимент по разработке и рабочего продукта не существует! 2) в схеме использования СОРМ3 участвует СКАТ DPI(лицензия FLTR) для выгрузки абонентских данных по трафику на СОРМ3. После включения функционала FLTR поймали "клин" на сервере DPI и при условии отсутствия bypass'а на картах положили трафик клиентов. Кто нибудь с чем то подобным сталкивался? Ответа от разработчика "что это было?" мы так и не получили!
  5. Добрый день, коллеги подскажите как в таком окружении посмотреть текущую утилизацию шейпера? 03.16.08.S #show subscriber session username 100.64.4.248 Type: DHCPv4, UID: 2883, State: authen, Identity: 100.64.4.248 IPv4 Address: 100.64.4.248 Session Up-time: 08:14:30, Last Changed: 08:14:30 Switch-ID: 20898104 Policy information: Authentication status: authen Active services associated with session: name "IPoE10Mbps1SLA", applied before account logon Rules, actions and conditions executed: subscriber rule-map IPoE-SUBSCRIBER-CONTROL condition always event session-restart 10 authorize aaa list IPoE-AAA identifier source-ip-address subscriber rule-map default-internal-rule condition always event service-start 1 service-policy type service identifier service-name Classifiers: Class-id Dir Packets Bytes Pri. Definition 0 In 920627 231996802 0 Match Any 1 Out 1762368 2205745378 0 Match Any Template Id : 10 Features: Idle Timeout: Class-id Dir Timeout value Idle-Time Source 1 Out 43300 00:00:00 Peruser Accounting: Class-id Dir Packets Bytes Source 0 In 920625 211742640 Peruser 0 In 920625 211742640 IPoE10Mbps1SLA 1 Out 1670470 2031493289 Peruser 1 Out 1670470 2031493289 IPoE10Mbps1SLA Policing: Class-id Dir Avg. Rate Normal Burst Excess Burst Source 0 In 10485500 1966080 3932160 IPoE10Mbps1SLA 1 Out 10485500 1966080 3932160 IPoE10Mbps1SLA Configuration Sources: Type Active Time AAA Service ID Name USR 08:14:30 - Peruser SVC 08:14:30 1560283644 IPoE10Mbps1SLA INT 08:14:30 - TenGigabitEthernet0/0/1.502 Сервисы на CISCO залетают через RADIUS Attributes: Acct-Interim-Interval=240 Framed-IP-Address=100.64.4.248 Idle-Timeout=43300 cisco-avpair=subscriber:accounting-list=IPoE-AAA cisco-SSG-Account-Info=AIPoE10Mbps1SLA Acct-Interim-Interval=900 Idle-Timeout=3600 cisco-avpair=subscriber:accounting-list=IPoE-AAA cisco-SSG-Service-Info=QU;;1048576;;196608;;393216;;D;;1048576;;196608;;393216 Сабы терминируются так: interface TenGigabitEthernet0/0/1.502 description "== ACCESS SUBSCRIBERS INTERFACE SVLAN:502 ==" encapsulation dot1Q 502 second-dot1q any ip dhcp relay information option server-id-override ip dhcp relay information option-insert ip dhcp relay information policy-action replace ip unnumbered Loopback0 ip helper-address 10.1.1.1 ip nat inside ip flow monitor NETFLOW-TO-COLLECTOR input no ip route-cache same-interface arp timeout 43200 service-policy type control IPoE-SUBSCRIBER-CONTROL ip subscriber l2-connected initiator unclassified mac-address initiator dhcp end
  6. @ShyLion предполагаю что это версия ios snmpget 10.1.1.2 -v 2c .1.3.6.1.2.1.123.1.7.0 SNMPv2-SMI::mib-2.123.1.7.0 = Gauge32: 302292   на 03.17.03.S.156-1.S3 и 03.16.07b.S.155-3.S7b работает
  7. NAT - общее количество сессий - .1.3.6.1.2.1.123.1.7.0 NAT - Error - resource errors - .1.3.6.1.2.1.123.1.12.1.1.3.0 NAT - Error - quota drops - .1.3.6.1.2.1.123.1.12.1.1.4.0 NAT - Error - out of port error - .1.3.6.1.2.1.123.1.12.1.1.2.0 NAT - IP - освобождение в блоке - .1.3.6.1.2.1.123.1.14.2.1.6.0.{ID} NAT - IP - резервирование в блоке - .1.3.6.1.2.1.123.1.14.2.1.5.0.{ID}
  8. сработало всё кошка честно резала квоту, при этом отмирало всё остальное(в том числе и трафик в бридждомене, который к нату не имеет никакого отношения)
  9. Не, посмотрели netflow по потокам и по нат трансляциям, явно видно что он лупит какие то китайские адреса по 80 порту или по порту на котором крутятся какие то фронтенды вебсервисов, в пиках выдавая 75k pps. И при этом процессорная загрузка RP никаким образом не показывает что ему как то не по себе.
  10. @ShyLion Ну вот проблема в том, что у клиента на доступе не было юникаст рейтлимита, у кошки естественно настройки: В итоге все как описано выше. Да - кошка не даёт клиенту больше выделенного, но при этом дохнет сама. При этом, я не нашел как это ещё проявляется, кроме как на ошибоках nat quota drops резкий скачек до 1.5 млн.
  11. в общем, суть оказалась проще. один из клиентов генерировал ~1 млн. соединений в минуту(видимо какой то ботнет) и укладывал asr. вопрос, есть ли какой то механизм, который позволит не падать кошке в такой ситуации? (ответ: "резать это на доступе" - реализован)   в этом отношении заблуждался.
  12. в общем, при смене ios Cisco IOS XE Software, Version 03.16.07b.S - Extended Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.5(3)S7b, RELEASE SOFTWARE (fc1) проблема с отвалом subscriber's пропала.
  13. да в том то и дело, что это сделали в первую очередь и на момент падения логи остаются чистыми. там ничего нет, от чего можно оттолкнуться. в любом случае, пока железяка не падает, после отключения ip local-proxy-arp на интерфейсах. ищем актуальную версию ios (16.3.7 или 16.6.3).   в ситуации, когда надо максимально утилизировать доступные ipv4, он нужен.
  14. @jffulcrum а какая нынче актуально-стабильная версия, в которой адекватно работает CGNAT в IPoE?