~pavel~
-
Публикации
23 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем ~pavel~
-
-
В коммутаторе SNR-S2985G-8T есть функционал защиты от ip-spoofing?
Защита от arp-spoofing есть через arp inspection и dhcp snooping, а вот защиты от ip-spoofing никак не могу найти.
SNR-S2985G-8T Device, Compiled on Apr 29 09:43:05 2019
CPU Mac f8:f0:82:77:e3:3f
Vlan MAC f8:f0:82:77:e3:3e
SoftWare Version 7.0.3.5(R0241.0306)
BootRom Version 7.2.40
HardWare Version 1.1.2
CPLD Version N/A
Serial No.:SW070911I105002270
Copyright (C) 2019 NAG LLC
All rights reserved
Last reboot is cold reset.
Uptime is 0 weeks, 0 days, 2 hours, 16 minutes -
В PPPoE планируется поддержка "intermediate agent"?
Хотелось бы видеть в Radius запросах ADSL-Agent-Circuit-Id, ADSL-Agent-Remote-Id.
-
Опубликовано · Изменено пользователем ~pavel~ · Жалоба на ответ
nfdump не подошел, потому что он не может сопоставлять отдельные сообщения о трафике и nat-трансляций.
Модуль ipt_NETLOW согласно стандарта шлет эту инфу отдельными сообщениями.
Хотя возможно допилить nfdump.
Что именно nfdump не умеет?
вот пример с NAT трансляциями:
./nfdump -T -r /var/data/nfsen/profiles-data/live/localhost/2016/01/01/nfcapd.201608180100 "proto tcp and dst port 443" -c 5
Date first seen Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte
2016-01-01 00:59:59.773 DELETE Ignore TCP 172.23.4.3:54348 -> 93.0.201.36:443 X.Y.252.12:54348 -> 93.0.201.36:443 0 0
2016-01-01 00:59:59.806 CREATE Ignore TCP 172.23.0.146:65162 -> 7.240.171.23:443 X.Y.252.8:65162 -> 7.240.171.23:443 0 0
2016-01-01 00:59:59.971 CREATE Ignore TCP 172.23.2.21:48311 -> 13.252.90.202:443 X.Y.252.10:48311 -> 13.252.90.202:443 0 0
2016-01-01 01:00:00.235 DELETE Ignore TCP 172.23.3.19:55707 -> 154.225.152.208:443 X.Y.252.11:55707 -> 154.225.152.208:443 0 0
2016-01-01 01:00:00.266 CREATE Ignore TCP 172.23.3.115:40615 -> 13.252.90.202:443 X.Y.252.11:40615 -> 13.252.90.202:443 0 0
-
kayot, докладываю ситуацию :)
Вчера наблюдал общий трафик на бонде 1.46G.
Соответственно, в влане на абонов - 1.07G/0.4G, 116/85kpps.
LA не поднимался существенно.
Ошибок на интерфейсах тоже нет?
-
Взять минимальный mtu в сети, это 1496, то для 100 000 килобит (100 мегабит) деленных на 1.5 килобита, то выйдет около 65000 пакетов чтобы забить весь канал.
Павел, в расчетах ошибся, 1496 байт - это 11968 бит. Соотв-но на MTU 1496 байт чтобы получить 100Мбит/c достаточно будет и 7000 пакетов.
В разных DDOS атаках размер пакетов разный, поэтому определять атаки только по числу пакетов очень сложно. Например атаки с NTP серверов идут с размером пакета в районе 400 байт.
-
Кто-нибудь может подсказать как поменять скорость на сервисе или поменять активный сервис без потерь???
Если сначала деактивировать сервис, а потом активировать другой, то при этом трафик все-таки теряется.
есть какой-нибдь еще вариант???
-
maga
ставь nfsen/nfdump
-
У всех на S2326TP-EI нормально работает мультикаст?
У нас через некоторое время на всех S2326TP-EI перестают проходить IGMP report,
помогает только reset igmp-snooping group all.
Никто не сталкивался с подобной проблемой?
software: s2300-v100r006c00spc800.cc
patch: s2300_v100r006sph018.pat
-
Опубликовано · Изменено пользователем ~pavel~ · Жалоба на ответ
За 14 дней accel с PPPoE съел 80 метров памяти, это нормально???
У кого как утекает память с PPPoE, можете поделиться?
accel-ppp version 3fc000aa67ee38002ec97419a760f23cccd87210
accel-ppp# show stat
uptime: 14.06:23:14
cpu: 0%
mem(rss/virt): 83980/5156144 kB
core:
mempool_allocated: 13257433
mempool_available: 256055
thread_count: 12
thread_active: 1
context_count: 566
context_sleeping: 0
context_pending: 0
md_handler_count: 1651
md_handler_pending: 0
timer_count: 1082
timer_pending: 0
sessions:
starting: 4294967114
active: 543
finishing: 183
pppoe:
starting: 0
active: 544
delayed PADO: 0
recv PADI: 1316609
drop PADI: 0
sent PADO: 1310050
recv PADR(dup): 601473(40)
sent PADS: 601473
filtered: 0
radius(1, 172.19.19.21):
state: active
fail count: 0
request count: 0
queue length: 0
auth sent: 572786
auth lost(total/5m/1m): 2050/0/0
auth avg query time(5m/1m): 2707/2683 ms
acct sent: 62949
acct lost(total/5m/1m): 65/0/0
acct avg query time(5m/1m): 3/3 ms
interim sent: 5051093
interim lost(total/5m/1m): 1649/0/0
interim avg query time(5m/1m): 7/7 ms
-
Поставьте версию nfdump 1.6.10
Работает, спасибо!
-
Опубликовано · Изменено пользователем ~pavel~ · Жалоба на ответ
Кто знает как nfdump заставить понимать NAT Addr:Port???
Посмотрел с помощью wireshark ipt_NETFLOW шлет порты правильно, а nfdump вместо Src NAT IP Addr:Port Dst NAT IP Addr:Port выдает X-Src IP Addr:Port X-Dst IP Addr:Port
/usr/local/bin/nfcapd -w -D -p 30009 -u netflow -B 200000 -S 1 -P /var/data/nfsen/var/run/p30005.pid -z -I Nat -T nel -l /var/data/nfsen/profiles-data/live/Nat
/usr/local/bin/nfdump -r nfcapd.201312041435 -onel "nat event add" | more
Date first seen Event Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port
2013-12-04 14:35:00.012 ADD TCP 172.23.193.12:62645 -> 95.30.82.236:33848 34.52.73.161:1 -> 95.30.82.236:68
2013-12-04 14:35:00.012 ADD UDP 172.23.202.217:6881 -> 178.64.209.167:6881 34.52.73.187:1 -> 178.64.209.167:68
2013-12-04 14:35:00.012 ADD TCP 172.23.212.51:61807 -> 89.218.201.202:43453 34.52.73.166:1 -> 89.218.201.202:56
2013-12-04 14:35:00.016 ADD TCP 172.23.192.248:50505 -> 84.52.66.23:443 34.52.73.191:1 -> 84.52.66.23:68
2013-12-04 14:35:00.016 ADD TCP 172.23.220.182:60805 -> 46.162.255.73:46476 34.52.73.182:1 -> 46.162.255.73:68
2013-12-04 14:35:00.016 ADD TCP 172.23.200.35:57037 -> 82.131.58.247:21042 34.52.73.164:1 -> 82.131.58.247:68
2013-12-04 14:35:00.016 ADD TCP 172.23.200.35:57039 -> 5.164.179.104:6881 34.52.73.164:1 -> 5.164.179.104:68
2013-12-04 14:35:00.016 ADD TCP 172.23.200.35:57038 -> 193.34.160.56:28322 34.52.73.164:1 -> 193.34.160.56:68
2013-12-04 14:35:00.016 ADD TCP 172.23.200.35:57040 -> 85.194.226.97:16881 34.52.73.164:1 -> 85.194.226.97:56
-
куплю PI /23, /24, предложения - в личку
-
стоит V100R006C03,
он получается старее чем V100R006C03SPC100?
-
К сожалению на V100R006SPH013 такой команды нет,
[host]mac?
mac-address mac-authen
mac-forced-forwarding mac-spoofing-defend
-
Кто как борется с mac spoofing на Huawei S2300?
Никак не могу найти работающий способ чтобы защититься от перезвата mac адреса со стороны клиента.
есть такой конфиг
acl name forbidden_mac 4001 rule 20 permit source-mac 000c-42a4-26ae # traffic classifier forbidden_traffic operator or if-match acl forbiden_mac # traffic behavior deny deny # traffic policy user-side classifier forbiden_traffic behavior deny # dhcp enable dhcp snooping enable dhcp server detect # vlan 912 dhcp snooping trusted interface GigabitEthernet0/0/1 # interface Ethernet0/0/5 description Home-dhcp-user port hybrid pvid vlan 912 port hybrid untagged vlan 912 999 mac-limit maximum 3 stp edged-port enable stp point-to-point force-false traffic-policy user-side inbound dhcp snooping enable dhcp snooping check dhcp-request enable alarm dhcp-request enable threshold 120 dhcp snooping check dhcp-chaddr enable alarm dhcp-chaddr enable threshold 120 dhcp snooping alarm dhcp-reply enable threshold 120 dhcp snooping check dhcp-rate enable 50 alarm dhcp-rate enable threshold 50 arp anti-attack check user-bind enable arp anti-attack check user-bind alarm enable arp anti-attack check user-bind alarm threshold 200 arp anti-attack check user-bind check-item ip-address ip source check user-bind enable ip source check user-bind alarm enable ip source check user-bind alarm threshold 200 unicast-suppression packets 32 multicast-suppression packets 8 broadcast-suppression packets 8
Все замечательно работает, есть защита от подмены ip, arp, даже с
поддельным маком коммутатор пакеты не форвардит, но вот одна беда,
мак этот коммутатор записывает в таблицу коммутации.
<ChangeMe>display mac-address Ethernet 0/0/5
-------------------------------------------------------------------------------
MAC Address VLAN/VSI Learned-From Type
-------------------------------------------------------------------------------
000c-42a4-26ae 912/- Eth0/0/5 dynamic
Может есть еще какой нибудь способ за исключением статической привязки мака и влан на клиента?
-
Опубликовано · Изменено пользователем ~pavel~ · Жалоба на ответ
Вот что мне удалось обнаружить при копировании на NE40:
В конфиге для передаи на роутер перевод строки надо делать 2 байтами: #0D#0A, а не #0A.
При использовании hwCfgOperateTable в названии файла обязательно надо ставить расширение, иначе выпадает ошибка "The set value is illegal or unsupported in some way", при копировании с фтп обязательно надо указать login и password.
-
allexch, то есть подсчет раздельный (1 сессия - 1 IP из подсети), а bandwidth один на всех?
Я думаю подразумевается чтобы ISG могла оперировать не одиночными ip а еще и сетями. Чтобы можно было открыть сессию привязав ее к сети, соответственно и аккаунтинг на всю сеть.
-
У меня есть вопрос по поводу редиректа.
Может проще отправлять пакеты не прошедшие аутентификацию в другую цепочку, а там уже можно делать все что угодно???
-
У нас НАТы тянут сейчас по 1,5 гига, 60% нагрузка в час пик, если отключить раскраску P2P трафика, то нагрузка еще снизится
стоят по 2 процессора 4ядерных:
model name : Intel® Xeon® CPU X5355 @ 2.66GHz
-
Я вроде так делал
в файле /lib/modules/2.6.31.13-custom/build/include/asm-generic/int-ll64.h
изменил
#include <asm/bitsperlong.h>
на
#include <asm-generic/bitsperlong.h>
-
GSR - жутко тупой и ограниченный девайс для использования в качестве бордера
-
У нас это решено с помощью разнесения пользователей в разные vrf, где от разных ISG разный приоритет дефолтов и на разные ISG отдаются с разныим приоритетами клиентские префиксы
TheRouter - software router and bras (dpdk based)
в Программное обеспечение, биллинг и *unix системы
Опубликовано · Жалоба на ответ
Используем TR для терминации PPPoE,
в боевую без перезагрузки TR работает с октября прошлого года.
Сейчас запускаем второй сервак чтобы полностью заменить старые с accel-ppp.
Баги и недоработки разработчик исправляет оперативно.
Единственный баг который у нас не решен - это разваливающийся LACP LAG, у нас он падал через несколько часов после запуска.
Пришлось пока отказаться от LAG.
Возможно на свежей версии TR и на другом железе этой проблемы нет, надо тестировать.