DyadyaGenya
Пользователи-
Публикации
57 -
Зарегистрирован
-
Посещение
О DyadyaGenya
-
Звание
Абитуриент
Контакты
-
ICQ
Array
-
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Поочерёдно зеркалировать порты на компьютер со сниффером. Если зеркалирование не поддерживается - подключать этот компьютер мостом в стыки. если я правильно понимаю то зеркалировать можно и л2 тоже грешу на мыльницы, тем более что на той ветке откуда по идее идет флуд полно таких мыльниц у абонентов, и абоненты там очень "продвинутые" уже много от них намучался (ловил не единожды на раздаче своего же инета через свою сеть, но последний раз защитился биндингом и после того вроде перестали), ну а отловить можно было бы если логирование на свичах шло нормально, а так 1210-28 слбанько логи пишет, а так лупдетект конечно включен -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
про рост мусора я как бы знаю, но не вижу видимых причин как это может в конкретной ситуации помочь вычислить откуда береться флуд пппое пакетов? предположим я его поставлю на агрегацию вместо НР и там так же будет бегать по портам флудящий мак. я уже говорил что бороться можно запретив все чужие пппле пакеты или чужие дхцп, а вот как источник выявить? -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
это наверно первое что я научился делать на управляемых свичах :-) конечно включент на миним размер, ничего страшного не показывает. График не думал рисовать, но возможно попробую. Правда для этого опять придеться отключать защиту от левых пппое серваков, а это опять приведет к проблемам, и не факт что рисуя графики что то найду а чем он поможет? -
mikrotik 750g
тему ответил в DyadyaGenya пользователя DyadyaGenya в Mikrotik коммутаторы и маршрутизаторы
ну тогда пример подробнее плз -
Local Proxy Arp
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Рад бы почитать, да на новые Длинки нет инструкции, в суппорте тоже внятно не говорят. Я потму и спрашивал что есть надежда на то что кто то уже испытал. забейте. когда все или много в одном влане начинаются чудесатости. потом окажется что дешевле влан на абонента / дом - чем вылавливать проблемы. например тут ради посмотреть - циска 3550 - отрабатывала весьма достойно. а чтоб работало, то без нормального доступа с ацл не обойтись. ну как же? есть ведь примеры нормальной работы такой схемы, вот тут описано И кстати, никто от тех же ацл не думает отказываться -
странный вис коммутаторов
тему ответил в sheft пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Во первых, рекомендую сменить эториал на более свежую версию Wireshark (тоже самое только поновее да почувствительнее). Во вторых, не понятна технология тестирования, какие пакеты сыплються на длинке? какие маки светяться? маки с базой сверяли? где ещё такие пакеты бывают? откуда такая уверенность что нет кольца? (то что типа отсутствуют дуплеты и триплеты это не показатель). Инет как раздаете, PPPOE? или ещё как то? конечно лучше поставить Л2 на проблемный участок чтоб лучше мониторить, хотя бы временно. -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
ну а если я ацл написал чтоб все левые пппое пакеты рубило и пропускало только с маком моего сервера? неужели и тогда будет пропускать? я кстати так и сделал, после чего флуд прекращается, хотя может опять же не правильно проверял. Правда есть ещё один способ как этот конкретный флуд запретить, это запрет вссех левых дшсп пакетов даже на аплинках. я пробовал и тот и тот способ работают по отдельности друг от друга -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
на вскидку не подскажите какие из л3 могут быть использованы в зловредных целях? пппое я уже понял, можно и раздачу устроить с использованием вашей сети и флуд устроить -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
так я ж написал только что, что на пппое не действует, вернее действует специфически, соединение создается, в инет пинг идет по цифровым значением, имена не проходят осталось только проверить как работает на НР и кстати, если это так, то получается кто то специально или случайно стал раздавать в сеть пппое трафик скажем с роутера, потому и мака в базе нет, и кольца тогда получается нету -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
проверил ещё раз, действительно пропускает пакеты, соединение создается, но по именам зайти на сайты не может, проходит только пинг на сайт по цифровому значению. и даже в сети продолжает пинговать сетевые хосты жаль не могу щас проверить тоже самое на НР но почему ж тогда запрещенные маки в арп таблицах не светятся? и если можно, то плз ссылку где почитать про L3 протоколы, так сказать весь список -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
не вопрос, для знающих людей пример команды: enable address_binding arp_mode enable address_binding trap_log #show address_binding create address_binding ip_mac ipaddress xxx.xxx.xxx.xxx macaddress yy-yy-yy-yy-yy-yy ports Z config address_binding ip_mac ports Z state enable config address_binding ip_mac ports Z Allow_zeroip enable и никаких других команд никогда не используется. в свое время испытывал эту систему, может и не совсем правильно, но скажем пробовал собирать арп с разных свичей и с сервака, те маки что заблокированы биндингом нигде не всплывают, даже если смотреть динамик фдб. даже если компу не просвоили адрес, на него ни пппое, ни впн не подается, в арп таблицах нигде не светиться, только в списке заблокированых маков для НР команды нужны? вы такое пробовали? или это теория? -
mikrotik 750g
тему ответил в DyadyaGenya пользователя DyadyaGenya в Mikrotik коммутаторы и маршрутизаторы
резет обязательно жал, но все равно только через 3 порт Так при первом включении после ресета он предлагает сбросить начальную конфигурацию. А вы наверно подтвердили ее. в очередной раз нажад на резет и уже более внимательно посмотрел, действительно жал раньше на "ок" особо не разобравшись. Сейчас удалил конфиг и могу заходить через любой порт -
mikrotik 750g
тему ответил в DyadyaGenya пользователя DyadyaGenya в Mikrotik коммутаторы и маршрутизаторы
Не знаю не знаю, сколько не читал про EoIP получается что будут потери в скорости. Но мне проще, потому что наш пров именно влнами связал нам ещё пару районов, которые имеют правда свои сервера (роутер и пппое) и одно направление только с роутером, который вланом прокидывает трафик на сервера и уже туда люди конектятся по пппое. Но там районы более перспективные, поэтому имело смысл ставить дополнительные серваки, а ту затрачивааться не имеет смысла, да и местом ограничены. Да и чтоб настроить EoIP ещё один не нужен, его на фрях тоже поднять можно, по крайней мере наш главный админ так говорит -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Ещё ни разу не встречал чтоба биндинг работал только скажем с пппое трафик, да и в описании этой функции везде пишут что дропает она все пакеты с не правильной парой, проверяли, пробовали настроить пппое с не правильной парой, так не пускает ни какой трафик в этом порту. -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
были у меня подозрения на этот счет, особенно с учетом того что на одной из веток есть дес-3028, но, потворюсь, такое колличество маков было всегда. Кроме того, если б это была проблема с хешем, то запрет чужих пппое не помог бы, а он помагает. Да и маки то неизвестно откуда беруться, их в базе нет, к адресам не привязываются, на портах почти везде настроен ip-mac-binding что по идее должно защитить от появления левых маков (естественно не защищены в первую очередь аплинковские порты и кое где юзерские, с тупариками за ним, ну и свичи на агрегации тоже без биндинга)