KaraVan Опубликовано 20 августа, 2009 · Жалоба Такая вот беда приключилась: Получаю IPTV мультикастом из сети провайдера. Топология простейшая: на всех пользователей цифрового ТВ у него один vlan, в котором торчит моя клиентская STB. Последнее время участились вылазки кулхацкеров: летит под 30 kpps unicast DHCP ACK от имени якобы DHCP-сервера провайдера на несуществующий mac-адрес. У себя терминирую vlan на D-Link 3526. Его, беднягу, от таких всплесков unicast траффика дико грузит (нагрузка CPU 100%). Соответственно страдает (сыпется) картинка, наблюдаются потери в других vlan. Чем реально фильтровать такую дрянь, подскажите пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
HoatDog Опубликовано 20 августа, 2009 (изменено) · Жалоба Поробуй фильтровать ACLками //Разрешаем нужный create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3 config access_profile profile_id 3 add access_id a ip source_ip 192.168.1.254 udp src_port 67 port 1-24 permit //Запрешаем чужие дхцп сервера create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7 config access_profile profile_id 7 add access_id a ip source_ip 0.0.0.0 udp src_port 67 port 1-24 deny по идее зарежит все пакеты посылаем не нужными серверами если не поможет ограничить количество пакетов юникаст трафика с это порта если настройки не нужны в принципе зарезать все дхцпешники Изменено 20 августа, 2009 пользователем HoatDog Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KaraVan Опубликовано 20 августа, 2009 · Жалоба Поробуй фильтровать ACLками //Разрешаем нужный create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3 config access_profile profile_id 3 add access_id a ip source_ip 192.168.1.254 udp src_port 67 port 1-24 permit //Запрешаем чужие дхцп сервера create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7 config access_profile profile_id 7 add access_id a ip source_ip 0.0.0.0 udp src_port 67 port 1-24 deny по идее зарежит все пакеты посылаем не нужными серверами Дрянь якобы летит с нужного сервера(поддельный src). :( Иначе долго бы не раздумывал.если не поможет ограничить количество пакетов юникаст трафика с это портаА как? С помощью Traffic Control ? Стоит Action drop на 2000 pps. От нагрузки на CPU не спасает. Видимо функция обрабатывается процессором?1 если настройки не нужны в принципе зарезать все дхцпешникиУвы и ах - для STB он жизненно необходим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
HoatDog Опубликовано 20 августа, 2009 (изменено) · Жалоба Поробуй фильтровать ACLками //Разрешаем нужный create access_profile ip source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 3 config access_profile profile_id 3 add access_id a ip source_ip 192.168.1.254 udp src_port 67 port 1-24 permit //Запрешаем чужие дхцп сервера create access_profile ip source_ip_mask 0.0.0.0 udp src_port_mask 0xFFFF profile_id 7 config access_profile profile_id 7 add access_id a ip source_ip 0.0.0.0 udp src_port 67 port 1-24 deny по идее зарежит все пакеты посылаем не нужными серверами Дрянь якобы летит с нужного сервера(поддельный src). :( Иначе долго бы не раздумывал.если не поможет ограничить количество пакетов юникаст трафика с это портаА как? С помощью Traffic Control ? Стоит Action drop на 2000 pps. От нагрузки на CPU не спасает. Видимо функция обрабатывается процессором?1 если настройки не нужны в принципе зарезать все дхцпешникиУвы и ах - для STB он жизненно необходим. срк мак тоже подельный или все таки есть вариант фильтрации?Либо фильтровать по маку получателя ваши маки в белый лист все остальное в сад Изменено 20 августа, 2009 пользователем HoatDog Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KaraVan Опубликовано 21 августа, 2009 · Жалоба срк мак тоже подельный или все таки есть вариант фильтрации?Либо фильтровать по маку получателя Увы, да - поддельный. По получателю фильтрую, но он постоянно меняется :( ваши маки в белый лист все остальное в садК сожалению, такая схема неприемлема по ряду причин. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 21 августа, 2009 · Жалоба помоему это проблема провайдера. поставьте его в известность - пусть решает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 21 августа, 2009 · Жалоба помоему это проблема провайдера. поставьте его в известность - пусть решает "здравствуйте, я покупаю у вас интернет за писят копеек и раздаю ваш IPTV на шару ещё пару десяткам человек, которые не хотят платить вам свои писят копеек, и у меня понимаешь ли не работает мой STB из-за "блаблабла"" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KaraVan Опубликовано 21 августа, 2009 · Жалоба Первое, что было сделано - обращение к админам провайдера. Это отдельная эпопея, но скажу что ответ лаконичен - пока работает, ничего трогать не будут. Оно действительно 98% времени работает нормально. :) Только при сильных приступах наблюдаются потери и "осыпания". ingress Лол. Люблю людей с чувством юмора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...