на днях столкнулся с тем, что один абонент смог нарушить работу сети, простым потоком трафика в 10k / 5k pps, при лимите скорости в 55M.

У Mikrotik crs125-24g-1s-rm CPU взлетело до 90-100% и естественно все сервисы критичные к задержкам(iptv и sip) перестали работать.

 

используется pppoe авторизация и simple queue.

 

В инете нигде не могу найти рабочих инструкций что бы урезать максиальный PPS на одного юзера в 3k pps - думая такого достаточно для работы.

 

Кто нибудь вообще сталкивался с подобными сиутациями?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что за трафик был?

Нужно резать все лишнее на порту доступа. У Вас доступ ведь не на микротике, да?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
9 часов назад, Tau сказал:

Что за трафик был?

Нужно резать все лишнее на порту доступа. У Вас доступ ведь не на микротике, да?

доступ на микротиках(pppoe), на нем зарезан весь трафик с портов кроме pppoe.

 

Для PPPoE юзеров трафик режется только по скорости, никаких других правил нет.

Это были не торренты, потому как опытны путем установил(на тестовом стенде) что при скачивнии/отдачи торентов PPS н полной скорости канала выше 3к не поднимался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 10.09.2017 в 13:11, jone31 сказал:

В инете нигде не могу найти рабочих инструкций что бы урезать максиальный PPS на одного юзера в 3k pps - думая такого достаточно для работы.

 

Кто нибудь вообще сталкивался с подобными сиутациями?

На CRS-125 загляните в меню "Switch -> QoS -> Ingress Port Policier".  Там задается Rate, тип трафика и действия при превышении его.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Частенько флуд это мультикаст или иной не IP трафик, если доступ PPPoE - достаточно перед микротиком зарезать весь трафик, кроме PPPoE протоколов - сразу много проблем снимет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 10.09.2017 в 10:11, jone31 сказал:

на днях столкнулся с тем, что один абонент смог нарушить работу сети, простым потоком трафика в 10k / 5k pps, при лимите скорости в 55M.

У Mikrotik crs125-24g-1s-rm CPU взлетело до 90-100% и естественно все сервисы критичные к задержкам(iptv и sip) перестали работать.

 

используется pppoe авторизация и simple queue.

 

В инете нигде не могу найти рабочих инструкций что бы урезать максиальный PPS на одного юзера в 3k pps - думая такого достаточно для работы.

 

Кто нибудь вообще сталкивался с подобными сиутациями?

Может так:

/ip firewall filter
add action=drop chain=forward connection-limit=500,32 dst-port=!80,443,8080 protocol=tcp src-address=XXX.XXX.XXX.XXX/24 tcp-flags=syn

Ограничение 500 сессий tcp, кроме 80,443,8080 портов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Была похожая проблема, но этот трафик был внутри PPPoE. Было интересно проанализировать трафик, нашли у клиента завирусованный рекордер видеонаблюдения. Больше клиент проблем не доставлял...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти