Перейти к содержимому
Калькуляторы

~pavel~

Пользователи
 Просмотреть профиль  Активность

  • Публикации

    23

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем ~pavel~

  1. Опубликовано · Жалоба на ответ

    11 hours ago, argotel said:

    Ребят есть какие-то свежие отзывы? Цена не дешевая, поэтому хотелось бы побольше открытости. Спасибо)

    Используем TR для терминации PPPoE,

    в боевую без перезагрузки TR работает с октября прошлого года.

     

    Сейчас запускаем второй сервак чтобы полностью заменить старые с accel-ppp.

     

    Баги и недоработки разработчик исправляет оперативно.

     

    Единственный баг который у нас не решен - это разваливающийся LACP LAG, у нас он падал через несколько часов после запуска.

    Пришлось пока отказаться от LAG.

     

    Возможно на свежей версии TR и на другом железе этой проблемы нет, надо тестировать.

     

     

    image.thumb.png.9c3b0ed267dc4d33f5198d10b405a04e.png

  2. Опубликовано · Жалоба на ответ

    В коммутаторе SNR-S2985G-8T есть функционал защиты от  ip-spoofing?

     

    Защита от arp-spoofing есть через arp inspection и dhcp snooping, а вот защиты от ip-spoofing никак не могу найти.

     

      SNR-S2985G-8T Device, Compiled on Apr 29 09:43:05 2019
      CPU Mac f8:f0:82:77:e3:3f
      Vlan MAC f8:f0:82:77:e3:3e
      SoftWare Version 7.0.3.5(R0241.0306)
      BootRom Version 7.2.40
      HardWare Version 1.1.2
      CPLD Version N/A
      Serial No.:SW070911I105002270
      Copyright (C) 2019 NAG LLC
      All rights reserved
      Last reboot is cold reset.
      Uptime is 0 weeks, 0 days, 2 hours, 16 minutes

     

     

     

  4. Опубликовано · Изменено пользователем ~pavel~ · Жалоба на ответ

     

    nfdump не подошел, потому что он не может сопоставлять отдельные сообщения о трафике и nat-трансляций.

    Модуль ipt_NETLOW согласно стандарта шлет эту инфу отдельными сообщениями.

     

    Хотя возможно допилить nfdump.

     

     

    Что именно nfdump не умеет?

     

    вот пример с NAT трансляциями:

     

    ./nfdump -T -r /var/data/nfsen/profiles-data/live/localhost/2016/01/01/nfcapd.201608180100 "proto tcp and dst port 443" -c 5

     

    Date first seen Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte

    2016-01-01 00:59:59.773 DELETE Ignore TCP 172.23.4.3:54348 -> 93.0.201.36:443 X.Y.252.12:54348 -> 93.0.201.36:443 0 0

    2016-01-01 00:59:59.806 CREATE Ignore TCP 172.23.0.146:65162 -> 7.240.171.23:443 X.Y.252.8:65162 -> 7.240.171.23:443 0 0

    2016-01-01 00:59:59.971 CREATE Ignore TCP 172.23.2.21:48311 -> 13.252.90.202:443 X.Y.252.10:48311 -> 13.252.90.202:443 0 0

    2016-01-01 01:00:00.235 DELETE Ignore TCP 172.23.3.19:55707 -> 154.225.152.208:443 X.Y.252.11:55707 -> 154.225.152.208:443 0 0

    2016-01-01 01:00:00.266 CREATE Ignore TCP 172.23.3.115:40615 -> 13.252.90.202:443 X.Y.252.11:40615 -> 13.252.90.202:443 0 0

  5. Опубликовано · Жалоба на ответ

    kayot, докладываю ситуацию :)

    Вчера наблюдал общий трафик на бонде 1.46G.

    Соответственно, в влане на абонов - 1.07G/0.4G, 116/85kpps.

    LA не поднимался существенно.

     

    Ошибок на интерфейсах тоже нет?

  6. Опубликовано · Жалоба на ответ

    Взять минимальный mtu в сети, это 1496, то для 100 000 килобит (100 мегабит) деленных на 1.5 килобита, то выйдет около 65000 пакетов чтобы забить весь канал.

    Павел, в расчетах ошибся, 1496 байт - это 11968 бит. Соотв-но на MTU 1496 байт чтобы получить 100Мбит/c достаточно будет и 7000 пакетов.

    В разных DDOS атаках размер пакетов разный, поэтому определять атаки только по числу пакетов очень сложно. Например атаки с NTP серверов идут с размером пакета в районе 400 байт.

  7. Опубликовано · Жалоба на ответ

    Кто-нибудь может подсказать как поменять скорость на сервисе или поменять активный сервис без потерь???

     

    Если сначала деактивировать сервис, а потом активировать другой, то при этом трафик все-таки теряется.

     

    есть какой-нибдь еще вариант???

  9. Опубликовано · Жалоба на ответ

    У всех на S2326TP-EI нормально работает мультикаст?

     

    У нас через некоторое время на всех S2326TP-EI перестают проходить IGMP report,

    помогает только reset igmp-snooping group all.

     

    Никто не сталкивался с подобной проблемой?

     

    software: s2300-v100r006c00spc800.cc

    patch: s2300_v100r006sph018.pat

  10. Опубликовано · Изменено пользователем ~pavel~ · Жалоба на ответ

    За 14 дней accel с PPPoE съел 80 метров памяти, это нормально???

    У кого как утекает память с PPPoE, можете поделиться?

     

    accel-ppp version 3fc000aa67ee38002ec97419a760f23cccd87210

    accel-ppp# show stat

    uptime: 14.06:23:14

    cpu: 0%

    mem(rss/virt): 83980/5156144 kB

    core:

    mempool_allocated: 13257433

    mempool_available: 256055

    thread_count: 12

    thread_active: 1

    context_count: 566

    context_sleeping: 0

    context_pending: 0

    md_handler_count: 1651

    md_handler_pending: 0

    timer_count: 1082

    timer_pending: 0

    sessions:

    starting: 4294967114

    active: 543

    finishing: 183

    pppoe:

    starting: 0

    active: 544

    delayed PADO: 0

    recv PADI: 1316609

    drop PADI: 0

    sent PADO: 1310050

    recv PADR(dup): 601473(40)

    sent PADS: 601473

    filtered: 0

    radius(1, 172.19.19.21):

    state: active

    fail count: 0

    request count: 0

    queue length: 0

    auth sent: 572786

    auth lost(total/5m/1m): 2050/0/0

    auth avg query time(5m/1m): 2707/2683 ms

    acct sent: 62949

    acct lost(total/5m/1m): 65/0/0

    acct avg query time(5m/1m): 3/3 ms

    interim sent: 5051093

    interim lost(total/5m/1m): 1649/0/0

    interim avg query time(5m/1m): 7/7 ms

  12. Опубликовано · Изменено пользователем ~pavel~ · Жалоба на ответ

    Кто знает как nfdump заставить понимать NAT Addr:Port???

     

    Посмотрел с помощью wireshark ipt_NETFLOW шлет порты правильно, а nfdump вместо Src NAT IP Addr:Port Dst NAT IP Addr:Port выдает X-Src IP Addr:Port X-Dst IP Addr:Port

     

    /usr/local/bin/nfcapd -w -D -p 30009 -u netflow -B 200000 -S 1 -P /var/data/nfsen/var/run/p30005.pid -z -I Nat -T nel -l /var/data/nfsen/profiles-data/live/Nat

     

    /usr/local/bin/nfdump -r nfcapd.201312041435 -onel "nat event add" | more

    Date first seen Event Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port

    2013-12-04 14:35:00.012 ADD TCP 172.23.193.12:62645 -> 95.30.82.236:33848 34.52.73.161:1 -> 95.30.82.236:68

    2013-12-04 14:35:00.012 ADD UDP 172.23.202.217:6881 -> 178.64.209.167:6881 34.52.73.187:1 -> 178.64.209.167:68

    2013-12-04 14:35:00.012 ADD TCP 172.23.212.51:61807 -> 89.218.201.202:43453 34.52.73.166:1 -> 89.218.201.202:56

    2013-12-04 14:35:00.016 ADD TCP 172.23.192.248:50505 -> 84.52.66.23:443 34.52.73.191:1 -> 84.52.66.23:68

    2013-12-04 14:35:00.016 ADD TCP 172.23.220.182:60805 -> 46.162.255.73:46476 34.52.73.182:1 -> 46.162.255.73:68

    2013-12-04 14:35:00.016 ADD TCP 172.23.200.35:57037 -> 82.131.58.247:21042 34.52.73.164:1 -> 82.131.58.247:68

    2013-12-04 14:35:00.016 ADD TCP 172.23.200.35:57039 -> 5.164.179.104:6881 34.52.73.164:1 -> 5.164.179.104:68

    2013-12-04 14:35:00.016 ADD TCP 172.23.200.35:57038 -> 193.34.160.56:28322 34.52.73.164:1 -> 193.34.160.56:68

    2013-12-04 14:35:00.016 ADD TCP 172.23.200.35:57040 -> 85.194.226.97:16881 34.52.73.164:1 -> 85.194.226.97:56

  16. Опубликовано · Жалоба на ответ

    Кто как борется с mac spoofing на Huawei S2300?

     

    Никак не могу найти работающий способ чтобы защититься от перезвата mac адреса со стороны клиента.

     

    есть такой конфиг

    acl name forbidden_mac 4001
rule 20 permit source-mac 000c-42a4-26ae
#
traffic classifier forbidden_traffic operator or
if-match acl forbiden_mac
#
traffic behavior deny
deny
#
traffic policy user-side
classifier forbiden_traffic behavior deny
#
dhcp enable
dhcp snooping enable
dhcp server detect
#
vlan 912
dhcp snooping trusted interface GigabitEthernet0/0/1
#
interface Ethernet0/0/5
description Home-dhcp-user
port hybrid pvid vlan 912
port hybrid untagged vlan 912 999
mac-limit maximum 3
stp edged-port enable
stp point-to-point force-false
traffic-policy user-side inbound
dhcp snooping enable
dhcp snooping check dhcp-request enable alarm dhcp-request enable threshold 120
dhcp snooping check dhcp-chaddr enable alarm dhcp-chaddr enable threshold 120
dhcp snooping alarm dhcp-reply enable threshold 120
dhcp snooping check dhcp-rate enable 50 alarm dhcp-rate enable threshold 50
arp anti-attack check user-bind enable
arp anti-attack check user-bind alarm enable
arp anti-attack check user-bind alarm threshold 200
arp anti-attack check user-bind check-item ip-address
ip source check user-bind enable
ip source check user-bind alarm enable
ip source check user-bind alarm threshold 200
unicast-suppression packets 32
multicast-suppression packets 8
broadcast-suppression packets 8

     

    Все замечательно работает, есть защита от подмены ip, arp, даже с

    поддельным маком коммутатор пакеты не форвардит, но вот одна беда,

    мак этот коммутатор записывает в таблицу коммутации.

     

    <ChangeMe>display mac-address Ethernet 0/0/5

    -------------------------------------------------------------------------------

    MAC Address VLAN/VSI Learned-From Type

    -------------------------------------------------------------------------------

    000c-42a4-26ae 912/- Eth0/0/5 dynamic

     

    Может есть еще какой нибудь способ за исключением статической привязки мака и влан на клиента?

  17. Опубликовано · Изменено пользователем ~pavel~ · Жалоба на ответ

    Вот что мне удалось обнаружить при копировании на NE40:

    В конфиге для передаи на роутер перевод строки надо делать 2 байтами: #0D#0A, а не #0A.

    При использовании hwCfgOperateTable в названии файла обязательно надо ставить расширение, иначе выпадает ошибка "The set value is illegal or unsupported in some way", при копировании с фтп обязательно надо указать login и password.

  18. Опубликовано · Жалоба на ответ

    allexch, то есть подсчет раздельный (1 сессия - 1 IP из подсети), а bandwidth один на всех?

    Я думаю подразумевается чтобы ISG могла оперировать не одиночными ip а еще и сетями. Чтобы можно было открыть сессию привязав ее к сети, соответственно и аккаунтинг на всю сеть.

  20. Опубликовано · Жалоба на ответ

    У нас НАТы тянут сейчас по 1,5 гига, 60% нагрузка в час пик, если отключить раскраску P2P трафика, то нагрузка еще снизится

     

    стоят по 2 процессора 4ядерных:

    model name : Intel® Xeon® CPU X5355 @ 2.66GHz

     

     

  23. Опубликовано · Жалоба на ответ

    У нас это решено с помощью разнесения пользователей в разные vrf, где от разных ISG разный приоритет дефолтов и на разные ISG отдаются с разныим приоритетами клиентские префиксы