Перейти к содержимому
Калькуляторы

SeroeKrevedko

Новичок
 Просмотреть профиль  Активность

  • Публикации

    9

  • Зарегистрирован

  • Посещение

О SeroeKrevedko

  • Звание
    Абитуриент
    Абитуриент

  1. same source/destination IP address для PAT cisco

    тему добавил SeroeKrevedko в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...

    Добрый день, существует ли у PAT'a на циске аналог опции микротика same (same - gives a particular client the same source/destination IP address from supplied range for each connection.) Или PAT на циске именно таким образом и работает? NAT FAQ

  2. ddos и fragmented udp

    тему ответил в OKyHb пользователя SeroeKrevedko в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...

    я хотел узнать, использует ли кто-то такие конструкции и к чему это может провести. Вот циска утверждает что проблемы могут быть в редких случаях: "Under rare circumstances, a valid session might require fragmentation and therefore be filtered if a deny fragment statement exists in the ACL. Conditions that might lead to fragmentation include the use of digital certificates for ISAKMP authentication and the use of IPSec NAT Traversal." В моём понимании это может привести к проблемам при передаче больших файлов, но про это упоминаний нет. Спросить мне не у кого, поэтому я пошёл искать правду на форум.

  3. ddos и fragmented udp

    тему ответил в OKyHb пользователя SeroeKrevedko в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...

    Данные правила относятся именно к data plane

  4. ddos и fragmented udp

    тему ответил в OKyHb пользователя SeroeKrevedko в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...

    Львиная доля трафика это пакеты без Layer 4 информации. Хотя наверно Вы правы и это просто часть фрагментированного трафика от dns amplififcation. Вы как выходите из положения, блекхол?

  5. ddos и fragmented udp

    тему ответил в OKyHb пользователя SeroeKrevedko в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...

    вот отрывок из приведённой ввыше ссылки: Если кратко, то так как Layer 4 информация находится только в initial fragment, то фильтры, основанные на TCP и UDP будут работать только на эти initial fragment. Например: ip access-list extended ACL-FRAGMENT-EXAMPLE permit tcp any host 192.168.1.1 eq 80 deny tcp any host 192.168.1.1 eq 22 таким акссесс листом будут дропаться только начальные фрагменты на основе Layer 4, все остальные будут пропускаться. Это с сайта циски. Хотя это по идее это должно больше относиться к udp, так как tcp сессия просто не поднимется.

  6. ddos и fragmented udp

    тему ответил в OKyHb пользователя SeroeKrevedko в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...

    мы такой дени не используем, стоит начать? нас сегодня ночью ддосили, суммарно наверно на 15 Гб, udp. Большинство пакетов - не инициализированные фрагменты. Вот я и хотел уточнить у коллег по опыту использования данных правил.

  7. ddos и fragmented udp

    тему ответил в OKyHb пользователя SeroeKrevedko в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...

    Вообще cisco советует вот здесь https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html в начале каждой acl делать следующее: deny tcp any any fragments deny udp any any fragments deny icmp any any fragments deny ip any any fragments ТС так никто и не ответил, кто-то использует подобные конструкции, и к чему это может привести? Фрагментированные пакеты в сети должны ходить ведь, а все проблемы создают не-инициализированные фрагменты.

  8. Посоветуйте, использовать cisco redundancy или хранить sup на полке

    тему ответил в sfenixs пользователя SeroeKrevedko в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...

    а GLBP будет работать с unnumbered? cisco говорит только про HSRP/VRRP: "For IP unnumbered interfaces, the foll owing features are not supported: – – HSRP/VRRP" Может быть кто-нибудь сможет подсказать, имея в ядре с7606 с unnumbered vlan'ами, как можно организовать её резервирование?

  9. Балансировка канала

    тему ответил в FATHER_FBI пользователя SeroeKrevedko в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...

    Работает примерно такая же схема - 3 радиолинка на район, каждый линк в своём влане с адресацией. Вланы терменируются на микротиках с той и другой стороны, на микротиках поднят OSPF. Вопрос, умеют ли микротики балансировать трафик per-packet? При балансировки per-destination получается ситуация, когда абонент попадает на относительно плохой канал, например со скоростью 10мбит/c при тарифе в 20 мбит/c, и скорость выше десятки не поднимается.