Jump to content
Калькуляторы

AlKov

VIP
  • Content Count

    1806
  • Joined

  • Last visited

About AlKov

  • Rank
    Доцент

Контакты

  • Сайт
    http://
  • ICQ
    315697575

Информация

  • Пол
    Мужчина

Город

  • Город
    Россия, Ивановская обл.

Recent Profile Visitors

5486 profile views
  1. Кто-нибудь юзает на OLT FD1104SN ONU CDATA FD511G-E ? Наблюдаю странную картину с ними - исчезает МАС на UNI порту ONU, кратковременно можно увидеть, но буквально на секунду.. Клиентская сессия РРРоЕ в это время не прерывается. ONU включены бриджем с vlan. До появления FD511G-E, ставили ONU CDATA FD111HZ, с ними такой проблемы нет. Что примечательно, такая фигня наблюдается не на всех FD511G-E. Похоже только на тех, где нет активного клиентского трафика в данный момент (не уверен), т.к. "служебка" РРРоЕ есть по-любому.. Что бы это все значило и как полечить? P.S. Оно, конечно, не смертельно, но очень неудобно для мониторинга/диагностики..
  2. @kosmich7 , может оно и так, но.. Мне вообще с самых бородатых времен не нравилась FreeBSD, как ОС для сетевых задач. С маршрутизацией были постоянно какие-то заморочки, NAT вообще глючил по-черному, бондинг тоже страшно убогий.. Но до появления и полировки accel-ppp, просто не существовало достойной замены mpd5, как софтового NAS. Допускаю, что я просто не умею ее (FreeBSD) готовить, но.. Один из моих "последователей" давно уже ушел на аццел и был этим очень доволен. Мне же было просто лень это сделать - работает и ладно.. Но теперь вот гром грянул, пришлось почесаться. :-)
  3. Еще один момент вспомнил - в ком. строке СоА надо еще указать путь до словарей. Типа так: -d /usr/share/freeradius/dictionary.cisco А лучше добавить в файл /usr/share/freeradius/dictionary строку $INCLUDE dictionary.cisco, если ее там нет. Может еще с синтаксисом передачи атрибутов что-нибудь не так. Кавычки/апострофы, etc..
  4. Похоже на отсутствие цисковского словаря на NASe. Хотя, учитывая что NAS контроллер Cisco 3504, выглядит это довольно странно..
  5. Не смог найти сакральный смысл сей операции, но действительно - уже поздно. FreeBSD 12 давно снес и поставил вместо нее Debian с accel-ppp, а на древних 9-ках работает и без бубна.
  6. @Axen , я что-то никак не соображу, а для чего вам вообще MSTP? Задача-то у вас какая? Построить кольцо, или просто блокировать петли? Если второе, то чем не устраивает Loopdetect? Не знаю насчет DGS-1210 (я их принципиально не использую - ну очень неудачная серия!), на 3200 Loopdetect работает без претензий. P.S. Роскошный зоопарк! Но я не завидую.. ;-)
  7. Совершенно верно. Именно так и есть. И не более того. Даже при личном обращении в хелпдеск. Порты только в рамках услуги, стоимость которой вызывает сильнейший рвотный рефлекс...
  8. Да похоже, что умеют. Но за деньги. Совершенно не адекватные.. Своему апстриму (ТТК) я такой вопрос задавал. Ответ - "Для этого необходимо покупка услуги `Защита от ddos атак`"..
  9. Уже начал прорабатывать этот вариант. Хоть и костыль тоже, но все же как-то поможет сократить время "лечения". Сейчас полностью ручной вариант через хелпдеск аплинка, времени уходит очень много - минимум 30 мин. от начала DDoS. Даже учитывая то, что аплинк реагирует максимально оперативно. P.S. Если аплинк согласиться, то BGP мне придется осваивать практически с нуля, до этого ни разу нигде его не юзал.. :-( Плюс ко всему прочему "пограничный маршрутизатор" (L2+ DGS-3420) BGP не умеет.. А тех, которые стоят "ниже" и умеют BGP (CentOS) аж 4 штуки.. Как все это разруливать между ними, пока не представляю..
  10. А заказчика, или "стартера" реально вычислить?
  11. Ну да, фигню брякнул.. Совсем отупел с этим DDoS.. :-( А как это выглядит? Можно поподробнее?
  12. да, именно что-то подобное я и имел ввиду. В моем случае, очень похоже, что ко мне летел именно тот самый UDP-SYN, т.к. "ответа" от атакуемого IP я не наблюдал. И трафик летел именно на рандомные порты (что-то >3000). Но вот src всегда был 123. Т.е. как бы есть за что зацепиться. Или я ошибаюсь?
  13. Ну вообщем-то, именно этот вариант и был предложен первым. Естественно, он меня почти не устраивает, т.к. при этом я полностью теряю контроль над ситуацией. Пока обсуждаем более гибкий вариант - blackhol-ить только паразитный трафик, типа того же "левого ntp". Кстати.. Наш апстрим именно ТТК. И я бы не сказал, что они уже близкИ к РТК. Все вполне адекватно и достаточно оперативно. Может конечно, потому-что мы с ними почти 15 лет работаем. Да, еще один момент забыл уточнить - паблик IP у нас PA и именно от ТТК. Да какая нахрен детекция! Бедный старый сисадмин ( я то бишь ) ломает себе мозг, шарясь глазьями по всяческим нетфлоу файлам и выхлопам tcpdump-а. :-) Вместо того, чтобы спокойно спать (последняя атака стартанула в 23:30 и жужжела целый час).
  14. А что может предложить мне апстрим? Ну или что мне у него запросить реализовать? Реален ли вариант не "ручного привода"? Как-то уж шибко хлопотный он получается..