Jump to content
Калькуляторы

PPPoE флуд на секторах микротик

всем доброго вечера уважаемые гуру

 

L2 радио сеть, авторизация PPPoE

такая проблема, вечерами на всех секторах (RB912, SXT) наблюдается лавинообразный флуд

 

9ca62004075345f2937cdb0b5aec52b7.png

при этом на ether1 такого трафика нет

 

флуд протоколом 8864(pppoe)

f91343ae78251ace65d96c6f8bdfa226.png

абоненты жалуются, как быть то?

спасибо

Edited by yKpon

Share this post


Link to post
Share on other sites

Раз на Ether1 его нет, то откуда он берется? Ведь что бы его передавать, он должен откуда-то придти, например с сетевого порта, тогда там будет поток трафика на прием с такой же скоростью, что на передачу абонентам. Если какой-то абонент сектора передает всем другим, то от него должен быть поток на прием.

 

Поэтому нужно убедится что трафик на бридже между абонентами БС заблокирован, каждая БС сведена отдельным каналом на PPPoE концентратор.

 

Так же нужно посмотреть в Bridge Hosts сколько маков за каждым WDS интерфейсом, кроме всего можно на бридж добавить фильтр, что передавать данные абонентам можно только с мак адреса PPPoE концентратора.

Share this post


Link to post
Share on other sites

 

Поэтому нужно убедится что трафик на бридже между абонентами БС заблокирован, каждая БС сведена отдельным каналом на PPPoE концентратор.

Так же нужно посмотреть в Bridge Hosts сколько маков за каждым WDS интерфейсом, кроме всего можно на бридж добавить фильтр, что передавать данные абонентам можно только с мак адреса PPPoE концентратора.

 

И гидэ твоя минимизация, на хрена эти сложности с фильтрами, и кто их вводит монтажник или такелажник. У мя без всяких фильтров в указаном тобой

 

 

Поэтому нужно убедится что трафик на бридже между абонентами БС заблокирован, каждая БС сведена отдельным каналом на PPPoE концентратор.

Так же нужно посмотреть в Bridge Hosts сколько маков за каждым WDS интерфейсом, кроме всего можно на бридж добавить фильтр, что передавать данные абонентам можно только с мак адреса PPPoE концентратора.

 

И гидэ твоя минимизация, на хрена эти сложности с фильтрами, и кто их вводит монтажник или такелажник. У мя без всяких фильтров в указанном тобой Hosts нема маков.

И что по твоему мну еще урезать, чтобы не ра-бо-та-ло?

Share this post


Link to post
Share on other sites

изоляция должна спасти

 

Про какую изоляцию речь?

Share this post


Link to post
Share on other sites

Про какую изоляцию речь?

 

1. Блокировка трафика между абонентами БС.

2. Отдельный канал от каждой БС до PPPoE сервера.

 

Никаких проблем в работе возникать не будет.

Share this post


Link to post
Share on other sites

Про какую изоляцию речь?

 

1. Блокировка трафика между абонентами БС.

2. Отдельный канал от каждой БС до PPPoE сервера.

 

Никаких проблем в работе возникать не будет.

 

Я же показал как у нас настроено и ни каких блокировок нет ни на базе ни на клиенте,

и со стороны клиента винбокс видит только точку клиента, и маков в хосте у клиентской точки ни каких нету. За точкой хоть трава не расти, ничего от клиента не лезет.

Share this post


Link to post
Share on other sites

Я же показал как у нас настроено и ни каких блокировок нет ни на базе ни на клиенте,

Позвольте полюбопытствовать как у вас реализовано?

Share this post


Link to post
Share on other sites

Я же показал как у нас настроено и ни каких блокировок нет ни на базе ни на клиенте,

Позвольте полюбопытствовать как у вас реализовано?

 

У него видимо station bridge =)

Share this post


Link to post
Share on other sites

У него видимо station bridge =)

 

Не видимо, а точно.

 

Позвольте полюбопытствовать как у вас реализовано?

 

Без проблем, но чтобы мне не напрягаться наваляй свои действия, как реализовано у тебя,

а я по возможности на этом фоне подправлю, чтобы не претендовать на лавры. Но так работает у нас и может быть не приемлемо для вашей сети, а то как пишет saab дизайн сети не правильный.

Share this post


Link to post
Share on other sites

в чём разница station bridge или station wds ?

 

Первый не пропускает L2 трафик, а второй пропускает в полном объеме.

 

Например у вас нужно прозрачно пропустить данные через радио, настраиваете базу bridge клиента station WDS, на вкладках WDS указываете бридж и тип - dynamic, в бридж добавляете сетевой порт и беспроводной адаптер. Когда происходит подключение по радио, данные передаются через порты бриджа по созданным WDS интерфейсам.

 

Если используется station bridge то данные L2 не передаются прозрачно, т.к. нет WDS интерфейса, именно по этой причине в больших сетях без сегментации, трафик и не разлетается по всем абонентам, т.к. они свои маки не светят.

Share this post


Link to post
Share on other sites

Если используется station bridge то данные L2 не передаются прозрачно,

 

И что у мя при такой конфигурации не будет работать, напойка мне.

Ты бы хоть в какой-нибудь сети конфигурацию скоммуниздил, да тут на обозрение бросил бы,

а то ведем беспредметный разговор. А то как сапер, ошибаешься один раз, но каждый день.

Скриншот 2016-03-09 05.25.40.png

Share this post


Link to post
Share on other sites

И что у мя при такой конфигурации не будет работать, напойка мне.

Ты бы хоть в какой-нибудь сети конфигурацию скоммуниздил, да тут на обозрение бросил бы,

а то ведем беспредметный разговор. А то как сапер, ошибаешься один раз, но каждый день.

 

Вы лучше скрин с БС приведите, где эти абоненты подключены, интересно посмотреть окно интерфейсов.

То, что у вас приведено на картинке, никакого отношения к L2 не имеет, то же можно просто в режиме Station сделать, будет работать, т.к. DHCP Client поднимается сразу на wlan. Однако есть и один важный недостаток - при обрыве связи по радио, интерфейс становится не активный и все сессии у абонента обрываются, при повторном подключении будет происходить повторное получение IP адреса. Если бы все работало по нормальной схеме, то есть bridge1 в него порт wlan, то при обрыве радио сам интерфейс bridge1 не выключается, и повторного запроса на получение адреса не происходит, сессии не обрываются.

Share this post


Link to post
Share on other sites

Вы лучше скрин с БС приведите, где эти абоненты подключены,

 

АБзательно, только ночью, сейчас не царское время.

Тока почему-то я, я просил спиз@ить у кого-нибудь конфигурацию и тут показать

 

сессии не обрываются.

 

Там на картинке читай внимательно, сессия закроется через 3 дня, и ip, что клиент получил за ним все это время сохраняется, думаю если он постоянно в инете, то он у него будет висеть всю оставшуюся жизнь. Предупреждаю, заточено не для тебя, а для критики по кривизне шаловливых рук, и не правильному дизайну.

Share this post


Link to post
Share on other sites

авторизация PPPoE на SXT или на клиентских роутерах?

на SXT

 

Про какую изоляцию речь?

 

1. Блокировка трафика между абонентами БС.

2. Отдельный канал от каждой БС до PPPoE сервера.

 

Никаких проблем в работе возникать не будет.

на секторах ether1 и wlan1 в бридже, фильтрую только pppoe и pppoe-discovery, не помогает

 

У него видимо station bridge =)

на клиентах station wds

Share this post


Link to post
Share on other sites

Там на картинке читай внимательно, сессия закроется через 3 дня, и ip, что клиент получил за ним все это время сохраняется, думаю если он постоянно в инете, то он у него будет висеть всю оставшуюся жизнь. Предупреждаю, заточено не для тебя, а для критики по кривизне шаловливых рук, и не правильному дизайну.

 

Так вы путаете понятия присвоение адреса и отключение интерфейса в следствии обрыва связи. Одно дело клиент просидел 3 дня, закончилось время аренды и он получит опять свой адрес на 3 дня. Другое когда связь с БС потеряна, интерфейс wlan1 стал не активным, IP адреса на нем так же перестали работать. Все сессии в НАТе у абонента оборвались.

 

/interface bridge filter
add action=drop chain=forward in-bridge=bridge1 in-interface=!ether1 out-bridge=bridge1 out-interface=!ether1

без изменений

 

У меня работает, в счетчике правила постоянно увеличиваются циферки.

 

/interface bridge filter
add action=drop chain=forward in-bridge=bridge1 in-interface=!eoip-tunnel1 out-bridge=bridge1 out-interface=!eoip-tunnel1

Share this post


Link to post
Share on other sites

/interface bridge filter
add action=drop chain=forward in-bridge=bridge1 in-interface=!ether1 out-bridge=bridge1 out-interface=!ether1

без изменений

 

Он тебе мозги будет парить, а ты будешь у него в роли подопытного кролика,

это он их так разводит. Много кому так насоветовал. И как я говорил, выслушай советы и сделай по своему.

Share this post


Link to post
Share on other sites

Он тебе мозги будет парить, а ты будешь у него в роли подопытного кролика,

это он их так разводит. Много кому так насоветовал. И как я говорил, выслушай советы и сделай по своему.

как же залечить флуд то

Share this post


Link to post
Share on other sites

как же залечить флуд то

 

Так вы правило создали, счетчик на нем увеличивается? Если in и out interface указывать не будете, трафик полностью блокируется?

Share this post


Link to post
Share on other sites

Он тебе мозги будет парить, а ты будешь у него в роли подопытного кролика,

это он их так разводит. Много кому так насоветовал. И как я говорил, выслушай советы и сделай по своему.

как же залечить флуд то

 

Посмотри как сделано у мя и сделай по своему. А потом чужая сеть потемки,

а тут будут советы давать, как надо правильно @.ать при свечах.

Share this post


Link to post
Share on other sites

/interface bridge filter

add action=drop chain=forward in-bridge=bridge1 in-interface=!ether1 out-bridge=bridge1 out-interface=!ether1

 

без изменений

У вас бридж в радио, рутовый? rstp включен?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.