DyadyaGenya
Пользователи-
Публикации
57 -
Зарегистрирован
-
Посещение
Все публикации пользователя DyadyaGenya
-
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Поочерёдно зеркалировать порты на компьютер со сниффером. Если зеркалирование не поддерживается - подключать этот компьютер мостом в стыки. если я правильно понимаю то зеркалировать можно и л2 тоже грешу на мыльницы, тем более что на той ветке откуда по идее идет флуд полно таких мыльниц у абонентов, и абоненты там очень "продвинутые" уже много от них намучался (ловил не единожды на раздаче своего же инета через свою сеть, но последний раз защитился биндингом и после того вроде перестали), ну а отловить можно было бы если логирование на свичах шло нормально, а так 1210-28 слбанько логи пишет, а так лупдетект конечно включен -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
про рост мусора я как бы знаю, но не вижу видимых причин как это может в конкретной ситуации помочь вычислить откуда береться флуд пппое пакетов? предположим я его поставлю на агрегацию вместо НР и там так же будет бегать по портам флудящий мак. я уже говорил что бороться можно запретив все чужие пппле пакеты или чужие дхцп, а вот как источник выявить? -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
это наверно первое что я научился делать на управляемых свичах :-) конечно включент на миним размер, ничего страшного не показывает. График не думал рисовать, но возможно попробую. Правда для этого опять придеться отключать защиту от левых пппое серваков, а это опять приведет к проблемам, и не факт что рисуя графики что то найду а чем он поможет? -
mikrotik 750g
тему ответил в DyadyaGenya пользователя DyadyaGenya в Mikrotik коммутаторы и маршрутизаторы
ну тогда пример подробнее плз -
Local Proxy Arp
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Рад бы почитать, да на новые Длинки нет инструкции, в суппорте тоже внятно не говорят. Я потму и спрашивал что есть надежда на то что кто то уже испытал. забейте. когда все или много в одном влане начинаются чудесатости. потом окажется что дешевле влан на абонента / дом - чем вылавливать проблемы. например тут ради посмотреть - циска 3550 - отрабатывала весьма достойно. а чтоб работало, то без нормального доступа с ацл не обойтись. ну как же? есть ведь примеры нормальной работы такой схемы, вот тут описано И кстати, никто от тех же ацл не думает отказываться -
странный вис коммутаторов
тему ответил в sheft пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Во первых, рекомендую сменить эториал на более свежую версию Wireshark (тоже самое только поновее да почувствительнее). Во вторых, не понятна технология тестирования, какие пакеты сыплються на длинке? какие маки светяться? маки с базой сверяли? где ещё такие пакеты бывают? откуда такая уверенность что нет кольца? (то что типа отсутствуют дуплеты и триплеты это не показатель). Инет как раздаете, PPPOE? или ещё как то? конечно лучше поставить Л2 на проблемный участок чтоб лучше мониторить, хотя бы временно. -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
ну а если я ацл написал чтоб все левые пппое пакеты рубило и пропускало только с маком моего сервера? неужели и тогда будет пропускать? я кстати так и сделал, после чего флуд прекращается, хотя может опять же не правильно проверял. Правда есть ещё один способ как этот конкретный флуд запретить, это запрет вссех левых дшсп пакетов даже на аплинках. я пробовал и тот и тот способ работают по отдельности друг от друга -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
на вскидку не подскажите какие из л3 могут быть использованы в зловредных целях? пппое я уже понял, можно и раздачу устроить с использованием вашей сети и флуд устроить -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
так я ж написал только что, что на пппое не действует, вернее действует специфически, соединение создается, в инет пинг идет по цифровым значением, имена не проходят осталось только проверить как работает на НР и кстати, если это так, то получается кто то специально или случайно стал раздавать в сеть пппое трафик скажем с роутера, потому и мака в базе нет, и кольца тогда получается нету -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
проверил ещё раз, действительно пропускает пакеты, соединение создается, но по именам зайти на сайты не может, проходит только пинг на сайт по цифровому значению. и даже в сети продолжает пинговать сетевые хосты жаль не могу щас проверить тоже самое на НР но почему ж тогда запрещенные маки в арп таблицах не светятся? и если можно, то плз ссылку где почитать про L3 протоколы, так сказать весь список -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
не вопрос, для знающих людей пример команды: enable address_binding arp_mode enable address_binding trap_log #show address_binding create address_binding ip_mac ipaddress xxx.xxx.xxx.xxx macaddress yy-yy-yy-yy-yy-yy ports Z config address_binding ip_mac ports Z state enable config address_binding ip_mac ports Z Allow_zeroip enable и никаких других команд никогда не используется. в свое время испытывал эту систему, может и не совсем правильно, но скажем пробовал собирать арп с разных свичей и с сервака, те маки что заблокированы биндингом нигде не всплывают, даже если смотреть динамик фдб. даже если компу не просвоили адрес, на него ни пппое, ни впн не подается, в арп таблицах нигде не светиться, только в списке заблокированых маков для НР команды нужны? вы такое пробовали? или это теория? -
mikrotik 750g
тему ответил в DyadyaGenya пользователя DyadyaGenya в Mikrotik коммутаторы и маршрутизаторы
резет обязательно жал, но все равно только через 3 порт Так при первом включении после ресета он предлагает сбросить начальную конфигурацию. А вы наверно подтвердили ее. в очередной раз нажад на резет и уже более внимательно посмотрел, действительно жал раньше на "ок" особо не разобравшись. Сейчас удалил конфиг и могу заходить через любой порт -
mikrotik 750g
тему ответил в DyadyaGenya пользователя DyadyaGenya в Mikrotik коммутаторы и маршрутизаторы
Не знаю не знаю, сколько не читал про EoIP получается что будут потери в скорости. Но мне проще, потому что наш пров именно влнами связал нам ещё пару районов, которые имеют правда свои сервера (роутер и пппое) и одно направление только с роутером, который вланом прокидывает трафик на сервера и уже туда люди конектятся по пппое. Но там районы более перспективные, поэтому имело смысл ставить дополнительные серваки, а ту затрачивааться не имеет смысла, да и местом ограничены. Да и чтоб настроить EoIP ещё один не нужен, его на фрях тоже поднять можно, по крайней мере наш главный админ так говорит -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Ещё ни разу не встречал чтоба биндинг работал только скажем с пппое трафик, да и в описании этой функции везде пишут что дропает она все пакеты с не правильной парой, проверяли, пробовали настроить пппое с не правильной парой, так не пускает ни какой трафик в этом порту. -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
были у меня подозрения на этот счет, особенно с учетом того что на одной из веток есть дес-3028, но, потворюсь, такое колличество маков было всегда. Кроме того, если б это была проблема с хешем, то запрет чужих пппое не помог бы, а он помагает. Да и маки то неизвестно откуда беруться, их в базе нет, к адресам не привязываются, на портах почти везде настроен ip-mac-binding что по идее должно защитить от появления левых маков (естественно не защищены в первую очередь аплинковские порты и кое где юзерские, с тупариками за ним, ну и свичи на агрегации тоже без биндинга) -
mikrotik 750g
тему ответил в DyadyaGenya пользователя DyadyaGenya в Mikrotik коммутаторы и маршрутизаторы
вот ссылка на рисонок, но наверно проще было нарисавать от руки :-) что то не нравиться мне как в визио рисует при необходимости напишу какие адреса где используются, вот результат команды ip firewall filter export, он фактически чистый, потому что решил сбросить все [admin@MikroTik] >> ip firewall filter export # jan/02/1970 00:03:10 by RouterOS 4.11 # software id = XHYR-QME1 # /ip firewall filter add action=accept chain=input comment="default configuration" disabled=no \ protocol=icmp add action=accept chain=input comment="default configuration" \ connection-state=established disabled=no in-interface=ether1-gateway add action=accept chain=input comment="default configuration" \ connection-state=related disabled=no in-interface=ether1-gateway add action=drop chain=input comment="default configuration" disabled=no \ in-interface=ether1-gateway [admin@MikroTik] >> -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
ниже 200 не опускается, но так всегда было, а проблемы только недавно появились -
mikrotik 750g
тему ответил в DyadyaGenya пользователя DyadyaGenya в Mikrotik коммутаторы и маршрутизаторы
резет обязательно жал, но все равно только через 3 порт -
mikrotik 750g
тему ответил в DyadyaGenya пользователя DyadyaGenya в Mikrotik коммутаторы и маршрутизаторы
пока ставиться визио, ещё вопрос, почему то кроме как через 3 порт не хочет заходить на микротик. это так задумано или я не могу настроить? -
mikrotik 750g
тему ответил в DyadyaGenya пользователя DyadyaGenya в Mikrotik коммутаторы и маршрутизаторы
и прикрепить рисунок? а куда вылажить? на посторонний сайт? -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
К сожалению не было времени сюда заходить, появились другие проблемы, о кторых тоже написал на форуме, вот и не отвечал. с этой проблемой я именно так и борюсь, сперваа стал запрещать мак который флудит, потом они стали меняться и я запретил все пппое, но так и не нашел откуда береться кольцо, и насколько это было вредительство. Странно то что даже при полном отключении двух веток в каждой продолжают бегать флудящие маки. Я уже сходил с ноутом на вторую ветку, где в агрегации стоит НР. Стоит отключить запрет ПППОЕ и через время флуд появляется везде на аплинковских портах. Но это не дело постоянно так дергать сеть. Может и не плохо писать правила против чужих пппое, но кольцо то от этого не денеться никуда, и причина его появления тже не выясниться, а в будущем может вылезти ещё каким нибудь боком -
mikrotik 750g
тему добавил DyadyaGenya в Mikrotik коммутаторы и маршрутизаторы
Пришлось столкнуться с новой задачей связать через магитсраль вышестоящего провайдера новый сегмент, так чтоб люди из новой сети (LAN3) получали из старой-главной (LAN1) адреса и инет по пппое, ну и желательно настроить прокси арп на роутере. Теоретически все просто, создать влн, пробросить через прова и распаковать его на новом сегменте с помощью какого то роутера, толи сервачок насроить толи роутер. Решил поставить роутер, выбрал микротик 750г, по описанию и по отзывам хорошая штука. На первый взгляд вроде простая в настройках. Но не получается. А время поджимает. Хотелось бы готовый алгоритм с командами, а ешё лучше конфиг, чтоб тупо залить на роутер :-) -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
имеется ввиду только на юзерских портах? строго по одной паре, есть правда пару где по две пары мак-айпи, и они арп таблице соответсвуют, никаких других, кроме статических нет, нет и в списке заблокированых. статических до 24 на комутатор. мак блокирую легко, никто не звонит, опять же, когда блокирую, то флуд пропадает, но через время может появиться новый мак -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
ну правильно, я и смотрю, только вредоносные маки светяться только на палинковских портах, если б где то на порту доступа светились то все было бы понятно -
флуд pppoe в сети
тему ответил в DyadyaGenya пользователя DyadyaGenya в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
ну и как его вычислить? бегать отключать? и где бегать? на той ветке где агрегация на НР сделана или на дгс3120? и что самое обидное, мака то в базе такого нет и если просто тупо порты соеденены пачкордом то получается что кто то специально это делает?