gsmail Posted June 17, 2014 Posted June 17, 2014 А что можно поставить на IX 1U в качестве фаервола L4 на 10G для защиты от ДДос. Вставить ник Quote
myst Posted June 17, 2014 Posted June 17, 2014 (edited) =))) Уже смешно. Рано вам ещё на IX если вы путаете коммутаторы, фаерволы, и уровни модели оси. Edited June 17, 2014 by myst Вставить ник Quote
gsmail Posted June 17, 2014 Author Posted June 17, 2014 (edited) А что смешно? Расскажите, пожалуйста. Я понимаю, что настоящий фаервол на такую скорость стоит очень дорого, возможно существуют свитчи с возможностью блокировать трафик по портам и ИП. Edited June 17, 2014 by gsmail Вставить ник Quote
danilbal Posted June 17, 2014 Posted June 17, 2014 ACL есть на многих коммутаторах, но от этого они не начинают "коммутировать L4", и уж тем более - защищать от ДДОСа. Вставить ник Quote
myst Posted June 17, 2014 Posted June 17, 2014 (edited) Потому что "свитч" это л2. Фаервол это вообще немного из другой области, а "коммутировать" l4 вообще невозможно. У вас полная каша в голове. Вот по этому смешно. Edited June 17, 2014 by myst Вставить ник Quote
gsmail Posted June 17, 2014 Author Posted June 17, 2014 Существует ли коммутатор с ACL по IP, портам на 10G Вставить ник Quote
myst Posted June 17, 2014 Posted June 17, 2014 Существует ли коммутатор с ACL по IP, портам на 10G Существует. Например cisco4948, но справедливости ради это не коммутатор. Вставить ник Quote
gsmail Posted June 17, 2014 Author Posted June 17, 2014 Существует. Например cisco4948, но справедливости ради это не коммутатор. Фу, меня поняли, спасибо :) То есть его можно подключить по l2 и иметь возможность на порту блокировать трафи по портам и IP ? А сколько таких правил можно добавить, как это влияет на его производительность? Вставить ник Quote
myst Posted June 17, 2014 Posted June 17, 2014 Существует. Например cisco4948, но справедливости ради это не коммутатор. Фу, меня поняли, спасибо :) То есть его можно подключить по l2 и иметь возможность на порту блокировать трафи по портам и IP ? А сколько таких правил можно добавить, как это влияет на его производительность? Да можно. Сколько конкретно ацл можно посмотреть в датащите, заодно глянуть в асиках оно реализовано или софтово, и от этого плясать по производительности. Но никакого анти-дидоса ждать от этого недороутера-пересвича не стоит. Не того класса железка. Вставить ник Quote
gsmail Posted June 17, 2014 Author Posted June 17, 2014 (edited) Но никакого анти-дидоса ждать от этого недороутера-пересвича не стоит. Не того класса железка. имеется ввду, возможность заблокировать атакуемый IP, порт на нем, и все должно дальше работать. Вся суть, что в IX до 10G, а дальше к нам идет уже максимум 0.5G. При атаках, 1гбит, все парализуется. Блокируем весь IP через блекхоле, хотя обычно атаки по UDP, что можно срезать без проблем для сервиса. А по личному опыту, никто не знает про производительнось? Edited June 17, 2014 by gsmail Вставить ник Quote
vlad11 Posted June 17, 2014 Posted June 17, 2014 Ставьте обычный PC, 1Gb он легко отфильтрует. Другое дело, сейчас ДДoС очень часто забивает полностью линки 1 Gb. Дальше уже идут специализированные железки - Cisco ASA, Cisco GUARD, Arbor. Вставить ник Quote
secandr Posted June 17, 2014 Posted June 17, 2014 имеется ввду, возможность заблокировать атакуемый IP, порт на нем, и все должно дальше работать. Купите вы железяку за XX k$ отразите одну, две атаки. Атакующие сообразят, что не проходит атака, сменят в софте одну, две галки и хана вашей защите. Деньги выброшены на ветер. Лучше сделать как предлагает vlad11. Можно в писюк и 10г карточку сунуть, гораздо гибче будет решение. Только наймите человека, рубящего в ПС подобного класса. Ибо мы периодически развлекаемся реализацией на ПС разной лабуды, иногда попадаются довольно забавные ограничения в самых невероятных местах. За счёт большого числа проектов косяки с железом не сильно накладны... Вставить ник Quote
VVSina Posted June 17, 2014 Posted June 17, 2014 ... иногда попадаются довольно забавные ограничения в самых невероятных местах.... А можно пару примеров на вскидку? Вставить ник Quote
vlad11 Posted June 17, 2014 Posted June 17, 2014 А можно пару примеров на вскидку? Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов. Узнаете много нового о ACPI и о разных производителях материнок. Вставить ник Quote
secandr Posted June 17, 2014 Posted June 17, 2014 У нас задачи совсем другие, так что там обычно всё то в винты, то в память упирается. В своё время делали файло-помойку, так выяснилось, что сетевая карточка в недешёвом сервере, мягко говоря, не очень. При трафике в 100-150 мбит сетевая засерает CPU на 100%. Разбираться особо не стали, перекинули задачи на другой сервер. Вставить ник Quote
gsmail Posted June 17, 2014 Author Posted June 17, 2014 А чем железка с возможностью блокировать порты и IP не мобильное решение? Им будет управлять сервер, которые анализирует трафик и принимает решение. Сервер мы пробовали, к сожалению, надо массу знаний, так как достаточно мощный сервер начинает тормозить. Другой вопрос, сможет ли такое недорогое решение как cisco 4948 прожевать 10G c acl. Вставить ник Quote
Butch3r Posted June 17, 2014 Posted June 17, 2014 А можно пару примеров на вскидку? Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов. Узнаете много нового о ACPI и о разных производителях материнок. какую маму посоветуете? Вставить ник Quote
DVM-Avgoor Posted June 17, 2014 Posted June 17, 2014 Другой вопрос, сможет ли такое недорогое решение как cisco 4948 прожевать 10G c acl. Оно железное, ему пофиг. Главное TCAM не переполнить. Вставить ник Quote
digsi Posted June 17, 2014 Posted June 17, 2014 народ, откройте глаза , есть коммутатция на L4 и она идет именно по портам. на прокурвах коммутаторах L3-4 так и описано. Вставить ник Quote
Antares Posted June 17, 2014 Posted June 17, 2014 А можно пару примеров на вскидку? Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов. Узнаете много нового о ACPI и о разных производителях материнок. какую маму посоветуете? +1 Вставить ник Quote
s.lobanov Posted June 17, 2014 Posted June 17, 2014 Если речь про stateless L4 acl, то такое умеют почти все, даже самые дешёвые l2/l3-свитчи. Поможет оно вам от ддоса это уже другой вопрос Вставить ник Quote
g3fox Posted June 17, 2014 Posted June 17, 2014 Для защиты от DDoS вас спасёт любой коммутатор, который можно выключить из розетки. Атакуют - отключаете из розетки, и на защищаемом сервисе всё становится замечательно. А если серьёзно: попробуйте, например, http://qrator.net Ценник не знаю. К ним отношения не имею. Вставить ник Quote
myst Posted June 18, 2014 Posted June 18, 2014 (edited) народ, откройте глаза , есть коммутатция на L4 и она идет именно по портам. на прокурвах коммутаторах L3-4 так и описано. чего??? Яб вас даже на собеседование не пригласил. Edited June 18, 2014 by myst Вставить ник Quote
DVM-Avgoor Posted June 18, 2014 Posted June 18, 2014 Яб вас даже на собеседование не пригласил. Ггг. Ну балансеры например как раз L4 свитчи. Но я не уверен что он их имел ввиду :) Вставить ник Quote
digsi Posted June 18, 2014 Posted June 18, 2014 (edited) myst я бы к вам не пошел, раз в руководстве люди не владеют новым знанием, т.е. по сути отсталые )) http://www.hp.com/rnd/support/faqs/93xx_6308.htm Q: Do the HP ProCurve Routing Switches support Layer 4 switching? Yes. The HP ProCurve Routing Switches execute wire-speed Layer 4 switching decisions based on source and destination IP address in combination with TCP and UDP port numbers. Edited June 18, 2014 by digsi Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.