dimsmain Posted April 22, 2016 (edited) · Report post У нас в качестве сетевого оборудования используются свичи juniper ex* Подключили мы тут защиту от qrator и в связи с особенностью у них, необходимо делать модификацию MSS для исходящего трафика (входящий идет через qrator исходящий через ДЦ), ex* это делать не умеют. Покупать MX только ради этой функции не очень разумно. Посоветуйте, пожалуйста, железку от 8 гигабитных ethernet-портов, которая бы могла переваривать 4Gbps исходяшего трафика (300-500k pps) и модифицировать tcp mss для всех пакетов, которые там проходят, желательно с возможностью роста. Edited April 22, 2016 by dimsmain Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted April 22, 2016 · Report post Если серверов не много, то просто занизьте MTU на них. Я не видел дешёвых свитчей, умеющих это делать, а роутеры на 4G это дорого, разве что сервер с linux Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimsmain Posted April 22, 2016 · Report post Если серверов не много, то просто занизьте MTU на них. Я не видел дешёвых свитчей, умеющих это делать, а роутеры на 4G это дорого, разве что сервер с linux серверов много + есть не под нашим управлением где физически этого не сделать. > а роутеры на 4G это дорого Можете сказать примерный уровень цен ? Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted April 23, 2016 · Report post Juniper m10i либо cisco 6500 с 720-3b Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted April 23, 2016 · Report post mss меняется только в SYN пакетах. потому можно попробовать извратиться, сделав некое подобие PBR для них (если ваше железо позволит), завернув только SYN на какую-нить железку. там большая производительность не нужна... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted April 23, 2016 · Report post Снижайте MTU на ваших серверах. А трафик не-ваших - пропустите через PC-роутер. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted April 23, 2016 · Report post Надо учитывать, если мту там просто дефолтный то можно и занизить, но если там выкручено до 9к чтобы оптимизировать локальный pps, то занижение mtu может проблем еще принести, не обязательно и не сейчас, но возможно По-моему правильней попробовать устранить источник проблемы, транспорт должен давать стандартный мту 1500 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted April 23, 2016 · Report post По-моему правильней попробовать устранить источник проблемы, транспорт должен давать стандартный мту 1500 источник проблемы устранить невозможно. ddos-защиты это внешние сервисы, с которыми надо поднимать тунель, дальше сам понимаешь. я уже давно заметил, что многие сервисы занижают mss, потому что активно используют тунели не, ну можно конечно сейчас начать говорить про заказ l2/l3-vpn до antiddos-сервисы, но зачастую это невозможно на практике или будет стоить ещё дороже, чем сама ddos-защита Можете сказать примерный уровень цен ? я не знаю какие у вас скидки от gpl, поэтому сказать по ценам не могу. б/у можете посмотреть на nag или ebay. вам нужна железка, которая маркетингов позиционируется как роутер, а не как свитч mss меняется только в SYN пакетах. потому можно попробовать извратиться, сделав некое подобие PBR для них (если ваше железо позволит), завернув только SYN на какую-нить железку. там большая производительность не нужна... осталось найти свитч, который умеет делать pbr для tcp.syn. я вот сходу не знаю такого Кстати, ещё один вариант - попросить делать tcp_mss_adjust сам anti-ddos сервис Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdntw Posted April 23, 2016 (edited) · Report post осталось найти свитч, который умеет делать pbr для tcp.syn. я вот сходу не знаю такого если не ошибаюсь то и на самом EX можно проматчить эти пакетики. сейчас проверю в лабе. сорри за скрин) Edited April 23, 2016 by rdntw Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted April 25, 2016 · Report post А на самих серверах нельзя занизить? Или их чересчур много? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted June 2, 2016 · Report post А L2TP они не умеют? Он как раз решает эту проблему намного более грамотно и не заставляет юзера перелопачивать всю его сеть в поисках - кому же понизить MSS и снять флаги DF. Да и вообще ничего не заставляет - юзай и радуйся :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...