~pavel~

Используем TR для терминации PPPoE, в боевую без перезагрузки TR работает с октября прошлого года. Сейчас запускаем второй сервак чтобы полностью заменить старые с accel-ppp. Баги и недоработки разработчик исправляет оперативно. Единственный баг который у нас не решен - это разваливающийся LACP LAG, у нас он падал через несколько часов после запуска. Пришлось пока отказаться от LAG. Возможно на свежей версии TR и на другом железе этой проблемы нет, надо тестировать.

В коммутаторе SNR-S2985G-8T есть функционал защиты от ip-spoofing? Защита от arp-spoofing есть через arp inspection и dhcp snooping, а вот защиты от ip-spoofing никак не могу найти. SNR-S2985G-8T Device, Compiled on Apr 29 09:43:05 2019 CPU Mac f8:f0:82:77:e3:3f Vlan MAC f8:f0:82:77:e3:3e SoftWare Version 7.0.3.5(R0241.0306) BootRom Version 7.2.40 HardWare Version 1.1.2 CPLD Version N/A Serial No.:SW070911I105002270 Copyright (C) 2019 NAG LLC All rights reserved Last reboot is cold reset. Uptime is 0 weeks, 0 days, 2 hours, 16 minutes

В PPPoE планируется поддержка "intermediate agent"? Хотелось бы видеть в Radius запросах ADSL-Agent-Circuit-Id, ADSL-Agent-Remote-Id.

Что именно nfdump не умеет? вот пример с NAT трансляциями: ./nfdump -T -r /var/data/nfsen/profiles-data/live/localhost/2016/01/01/nfcapd.201608180100 "proto tcp and dst port 443" -c 5 Date first seen Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte 2016-01-01 00:59:59.773 DELETE Ignore TCP 172.23.4.3:54348 -> 93.0.201.36:443 X.Y.252.12:54348 -> 93.0.201.36:443 0 0 2016-01-01 00:59:59.806 CREATE Ignore TCP 172.23.0.146:65162 -> 7.240.171.23:443 X.Y.252.8:65162 -> 7.240.171.23:443 0 0 2016-01-01 00:59:59.971 CREATE Ignore TCP 172.23.2.21:48311 -> 13.252.90.202:443 X.Y.252.10:48311 -> 13.252.90.202:443 0 0 2016-01-01 01:00:00.235 DELETE Ignore TCP 172.23.3.19:55707 -> 154.225.152.208:443 X.Y.252.11:55707 -> 154.225.152.208:443 0 0 2016-01-01 01:00:00.266 CREATE Ignore TCP 172.23.3.115:40615 -> 13.252.90.202:443 X.Y.252.11:40615 -> 13.252.90.202:443 0 0

Ошибок на интерфейсах тоже нет?

Павел, в расчетах ошибся, 1496 байт - это 11968 бит. Соотв-но на MTU 1496 байт чтобы получить 100Мбит/c достаточно будет и 7000 пакетов. В разных DDOS атаках размер пакетов разный, поэтому определять атаки только по числу пакетов очень сложно. Например атаки с NTP серверов идут с размером пакета в районе 400 байт.

Кто-нибудь может подсказать как поменять скорость на сервисе или поменять активный сервис без потерь??? Если сначала деактивировать сервис, а потом активировать другой, то при этом трафик все-таки теряется. есть какой-нибдь еще вариант???

maga ставь nfsen/nfdump

У всех на S2326TP-EI нормально работает мультикаст? У нас через некоторое время на всех S2326TP-EI перестают проходить IGMP report, помогает только reset igmp-snooping group all. Никто не сталкивался с подобной проблемой? software: s2300-v100r006c00spc800.cc patch: s2300_v100r006sph018.pat

За 14 дней accel с PPPoE съел 80 метров памяти, это нормально??? У кого как утекает память с PPPoE, можете поделиться? accel-ppp version 3fc000aa67ee38002ec97419a760f23cccd87210 accel-ppp# show stat uptime: 14.06:23:14 cpu: 0% mem(rss/virt): 83980/5156144 kB core: mempool_allocated: 13257433 mempool_available: 256055 thread_count: 12 thread_active: 1 context_count: 566 context_sleeping: 0 context_pending: 0 md_handler_count: 1651 md_handler_pending: 0 timer_count: 1082 timer_pending: 0 sessions: starting: 4294967114 active: 543 finishing: 183 pppoe: starting: 0 active: 544 delayed PADO: 0 recv PADI: 1316609 drop PADI: 0 sent PADO: 1310050 recv PADR(dup): 601473(40) sent PADS: 601473 filtered: 0 radius(1, 172.19.19.21): state: active fail count: 0 request count: 0 queue length: 0 auth sent: 572786 auth lost(total/5m/1m): 2050/0/0 auth avg query time(5m/1m): 2707/2683 ms acct sent: 62949 acct lost(total/5m/1m): 65/0/0 acct avg query time(5m/1m): 3/3 ms interim sent: 5051093 interim lost(total/5m/1m): 1649/0/0 interim avg query time(5m/1m): 7/7 ms

Работает, спасибо!

Кто знает как nfdump заставить понимать NAT Addr:Port??? Посмотрел с помощью wireshark ipt_NETFLOW шлет порты правильно, а nfdump вместо Src NAT IP Addr:Port Dst NAT IP Addr:Port выдает X-Src IP Addr:Port X-Dst IP Addr:Port /usr/local/bin/nfcapd -w -D -p 30009 -u netflow -B 200000 -S 1 -P /var/data/nfsen/var/run/p30005.pid -z -I Nat -T nel -l /var/data/nfsen/profiles-data/live/Nat /usr/local/bin/nfdump -r nfcapd.201312041435 -onel "nat event add" | more Date first seen Event Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port 2013-12-04 14:35:00.012 ADD TCP 172.23.193.12:62645 -> 95.30.82.236:33848 34.52.73.161:1 -> 95.30.82.236:68 2013-12-04 14:35:00.012 ADD UDP 172.23.202.217:6881 -> 178.64.209.167:6881 34.52.73.187:1 -> 178.64.209.167:68 2013-12-04 14:35:00.012 ADD TCP 172.23.212.51:61807 -> 89.218.201.202:43453 34.52.73.166:1 -> 89.218.201.202:56 2013-12-04 14:35:00.016 ADD TCP 172.23.192.248:50505 -> 84.52.66.23:443 34.52.73.191:1 -> 84.52.66.23:68 2013-12-04 14:35:00.016 ADD TCP 172.23.220.182:60805 -> 46.162.255.73:46476 34.52.73.182:1 -> 46.162.255.73:68 2013-12-04 14:35:00.016 ADD TCP 172.23.200.35:57037 -> 82.131.58.247:21042 34.52.73.164:1 -> 82.131.58.247:68 2013-12-04 14:35:00.016 ADD TCP 172.23.200.35:57039 -> 5.164.179.104:6881 34.52.73.164:1 -> 5.164.179.104:68 2013-12-04 14:35:00.016 ADD TCP 172.23.200.35:57038 -> 193.34.160.56:28322 34.52.73.164:1 -> 193.34.160.56:68 2013-12-04 14:35:00.016 ADD TCP 172.23.200.35:57040 -> 85.194.226.97:16881 34.52.73.164:1 -> 85.194.226.97:56

куплю PI /23, /24, предложения - в личку

стоит V100R006C03, он получается старее чем V100R006C03SPC100?

К сожалению на V100R006SPH013 такой команды нет, [host]mac? mac-address mac-authen mac-forced-forwarding mac-spoofing-defend

Кто как борется с mac spoofing на Huawei S2300? Никак не могу найти работающий способ чтобы защититься от перезвата mac адреса со стороны клиента. есть такой конфиг acl name forbidden_mac 4001 rule 20 permit source-mac 000c-42a4-26ae # traffic classifier forbidden_traffic operator or if-match acl forbiden_mac # traffic behavior deny deny # traffic policy user-side classifier forbiden_traffic behavior deny # dhcp enable dhcp snooping enable dhcp server detect # vlan 912 dhcp snooping trusted interface GigabitEthernet0/0/1 # interface Ethernet0/0/5 description Home-dhcp-user port hybrid pvid vlan 912 port hybrid untagged vlan 912 999 mac-limit maximum 3 stp edged-port enable stp point-to-point force-false traffic-policy user-side inbound dhcp snooping enable dhcp snooping check dhcp-request enable alarm dhcp-request enable threshold 120 dhcp snooping check dhcp-chaddr enable alarm dhcp-chaddr enable threshold 120 dhcp snooping alarm dhcp-reply enable threshold 120 dhcp snooping check dhcp-rate enable 50 alarm dhcp-rate enable threshold 50 arp anti-attack check user-bind enable arp anti-attack check user-bind alarm enable arp anti-attack check user-bind alarm threshold 200 arp anti-attack check user-bind check-item ip-address ip source check user-bind enable ip source check user-bind alarm enable ip source check user-bind alarm threshold 200 unicast-suppression packets 32 multicast-suppression packets 8 broadcast-suppression packets 8 Все замечательно работает, есть защита от подмены ip, arp, даже с поддельным маком коммутатор пакеты не форвардит, но вот одна беда, мак этот коммутатор записывает в таблицу коммутации. <ChangeMe>display mac-address Ethernet 0/0/5 ------------------------------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------------------------------- 000c-42a4-26ae 912/- Eth0/0/5 dynamic Может есть еще какой нибудь способ за исключением статической привязки мака и влан на клиента?

Вот что мне удалось обнаружить при копировании на NE40: В конфиге для передаи на роутер перевод строки надо делать 2 байтами: #0D#0A, а не #0A. При использовании hwCfgOperateTable в названии файла обязательно надо ставить расширение, иначе выпадает ошибка "The set value is illegal or unsupported in some way", при копировании с фтп обязательно надо указать login и password.

Я думаю подразумевается чтобы ISG могла оперировать не одиночными ip а еще и сетями. Чтобы можно было открыть сессию привязав ее к сети, соответственно и аккаунтинг на всю сеть.

У меня есть вопрос по поводу редиректа. Может проще отправлять пакеты не прошедшие аутентификацию в другую цепочку, а там уже можно делать все что угодно???

У нас НАТы тянут сейчас по 1,5 гига, 60% нагрузка в час пик, если отключить раскраску P2P трафика, то нагрузка еще снизится стоят по 2 процессора 4ядерных: model name : Intel® Xeon® CPU X5355 @ 2.66GHz

Я вроде так делал в файле /lib/modules/2.6.31.13-custom/build/include/asm-generic/int-ll64.h изменил #include <asm/bitsperlong.h> на #include <asm-generic/bitsperlong.h>

GSR - жутко тупой и ограниченный девайс для использования в качестве бордера

У нас это решено с помощью разнесения пользователей в разные vrf, где от разных ISG разный приоритет дефолтов и на разные ISG отдаются с разныим приоритетами клиентские префиксы