gsmail Опубликовано 17 июня, 2014 А что можно поставить на IX 1U в качестве фаервола L4 на 10G для защиты от ДДос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 17 июня, 2014 (изменено) =))) Уже смешно. Рано вам ещё на IX если вы путаете коммутаторы, фаерволы, и уровни модели оси. Изменено 17 июня, 2014 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 17 июня, 2014 (изменено) А что смешно? Расскажите, пожалуйста. Я понимаю, что настоящий фаервол на такую скорость стоит очень дорого, возможно существуют свитчи с возможностью блокировать трафик по портам и ИП. Изменено 17 июня, 2014 пользователем gsmail Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
danilbal Опубликовано 17 июня, 2014 ACL есть на многих коммутаторах, но от этого они не начинают "коммутировать L4", и уж тем более - защищать от ДДОСа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 17 июня, 2014 (изменено) Потому что "свитч" это л2. Фаервол это вообще немного из другой области, а "коммутировать" l4 вообще невозможно. У вас полная каша в голове. Вот по этому смешно. Изменено 17 июня, 2014 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 17 июня, 2014 Существует ли коммутатор с ACL по IP, портам на 10G Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 17 июня, 2014 Существует ли коммутатор с ACL по IP, портам на 10G Существует. Например cisco4948, но справедливости ради это не коммутатор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 17 июня, 2014 Существует. Например cisco4948, но справедливости ради это не коммутатор. Фу, меня поняли, спасибо :) То есть его можно подключить по l2 и иметь возможность на порту блокировать трафи по портам и IP ? А сколько таких правил можно добавить, как это влияет на его производительность? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 17 июня, 2014 Существует. Например cisco4948, но справедливости ради это не коммутатор. Фу, меня поняли, спасибо :) То есть его можно подключить по l2 и иметь возможность на порту блокировать трафи по портам и IP ? А сколько таких правил можно добавить, как это влияет на его производительность? Да можно. Сколько конкретно ацл можно посмотреть в датащите, заодно глянуть в асиках оно реализовано или софтово, и от этого плясать по производительности. Но никакого анти-дидоса ждать от этого недороутера-пересвича не стоит. Не того класса железка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 17 июня, 2014 (изменено) Но никакого анти-дидоса ждать от этого недороутера-пересвича не стоит. Не того класса железка. имеется ввду, возможность заблокировать атакуемый IP, порт на нем, и все должно дальше работать. Вся суть, что в IX до 10G, а дальше к нам идет уже максимум 0.5G. При атаках, 1гбит, все парализуется. Блокируем весь IP через блекхоле, хотя обычно атаки по UDP, что можно срезать без проблем для сервиса. А по личному опыту, никто не знает про производительнось? Изменено 17 июня, 2014 пользователем gsmail Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 17 июня, 2014 Ставьте обычный PC, 1Gb он легко отфильтрует. Другое дело, сейчас ДДoС очень часто забивает полностью линки 1 Gb. Дальше уже идут специализированные железки - Cisco ASA, Cisco GUARD, Arbor. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 17 июня, 2014 имеется ввду, возможность заблокировать атакуемый IP, порт на нем, и все должно дальше работать. Купите вы железяку за XX k$ отразите одну, две атаки. Атакующие сообразят, что не проходит атака, сменят в софте одну, две галки и хана вашей защите. Деньги выброшены на ветер. Лучше сделать как предлагает vlad11. Можно в писюк и 10г карточку сунуть, гораздо гибче будет решение. Только наймите человека, рубящего в ПС подобного класса. Ибо мы периодически развлекаемся реализацией на ПС разной лабуды, иногда попадаются довольно забавные ограничения в самых невероятных местах. За счёт большого числа проектов косяки с железом не сильно накладны... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVSina Опубликовано 17 июня, 2014 ... иногда попадаются довольно забавные ограничения в самых невероятных местах.... А можно пару примеров на вскидку? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 17 июня, 2014 А можно пару примеров на вскидку? Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов. Узнаете много нового о ACPI и о разных производителях материнок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 17 июня, 2014 У нас задачи совсем другие, так что там обычно всё то в винты, то в память упирается. В своё время делали файло-помойку, так выяснилось, что сетевая карточка в недешёвом сервере, мягко говоря, не очень. При трафике в 100-150 мбит сетевая засерает CPU на 100%. Разбираться особо не стали, перекинули задачи на другой сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 17 июня, 2014 А чем железка с возможностью блокировать порты и IP не мобильное решение? Им будет управлять сервер, которые анализирует трафик и принимает решение. Сервер мы пробовали, к сожалению, надо массу знаний, так как достаточно мощный сервер начинает тормозить. Другой вопрос, сможет ли такое недорогое решение как cisco 4948 прожевать 10G c acl. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 17 июня, 2014 А можно пару примеров на вскидку? Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов. Узнаете много нового о ACPI и о разных производителях материнок. какую маму посоветуете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 17 июня, 2014 Другой вопрос, сможет ли такое недорогое решение как cisco 4948 прожевать 10G c acl. Оно железное, ему пофиг. Главное TCAM не переполнить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 17 июня, 2014 народ, откройте глаза , есть коммутатция на L4 и она идет именно по портам. на прокурвах коммутаторах L3-4 так и описано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 17 июня, 2014 А можно пару примеров на вскидку? Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов. Узнаете много нового о ACPI и о разных производителях материнок. какую маму посоветуете? +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 июня, 2014 Если речь про stateless L4 acl, то такое умеют почти все, даже самые дешёвые l2/l3-свитчи. Поможет оно вам от ддоса это уже другой вопрос Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 17 июня, 2014 Для защиты от DDoS вас спасёт любой коммутатор, который можно выключить из розетки. Атакуют - отключаете из розетки, и на защищаемом сервисе всё становится замечательно. А если серьёзно: попробуйте, например, http://qrator.net Ценник не знаю. К ним отношения не имею. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 18 июня, 2014 (изменено) народ, откройте глаза , есть коммутатция на L4 и она идет именно по портам. на прокурвах коммутаторах L3-4 так и описано. чего??? Яб вас даже на собеседование не пригласил. Изменено 18 июня, 2014 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 18 июня, 2014 Яб вас даже на собеседование не пригласил. Ггг. Ну балансеры например как раз L4 свитчи. Но я не уверен что он их имел ввиду :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 18 июня, 2014 (изменено) myst я бы к вам не пошел, раз в руководстве люди не владеют новым знанием, т.е. по сути отсталые )) http://www.hp.com/rnd/support/faqs/93xx_6308.htm Q: Do the HP ProCurve Routing Switches support Layer 4 switching? Yes. The HP ProCurve Routing Switches execute wire-speed Layer 4 switching decisions based on source and destination IP address in combination with TCP and UDP port numbers. Изменено 18 июня, 2014 пользователем digsi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...