Jump to content
Калькуляторы

l4 свитч

А что можно поставить на IX 1U в качестве фаервола L4 на 10G для защиты от ДДос.

Share this post


Link to post
Share on other sites

=)))

Уже смешно.

 

Рано вам ещё на IX если вы путаете коммутаторы, фаерволы, и уровни модели оси.

Edited by myst

Share this post


Link to post
Share on other sites

А что смешно? Расскажите, пожалуйста.

 

Я понимаю, что настоящий фаервол на такую скорость стоит очень дорого, возможно существуют свитчи с возможностью блокировать трафик по портам и ИП.

Edited by gsmail

Share this post


Link to post
Share on other sites

ACL есть на многих коммутаторах, но от этого они не начинают "коммутировать L4", и уж тем более - защищать от ДДОСа.

Share this post


Link to post
Share on other sites

Потому что "свитч" это л2. Фаервол это вообще немного из другой области, а "коммутировать" l4 вообще невозможно.

 

У вас полная каша в голове. Вот по этому смешно.

Edited by myst

Share this post


Link to post
Share on other sites

Существует ли коммутатор с ACL по IP, портам на 10G

Share this post


Link to post
Share on other sites

Существует ли коммутатор с ACL по IP, портам на 10G

Существует. Например cisco4948, но справедливости ради это не коммутатор.

Share this post


Link to post
Share on other sites

Существует. Например cisco4948, но справедливости ради это не коммутатор.

Фу, меня поняли, спасибо :)

 

То есть его можно подключить по l2 и иметь возможность на порту блокировать трафи по портам и IP ?

А сколько таких правил можно добавить, как это влияет на его производительность?

Share this post


Link to post
Share on other sites

Существует. Например cisco4948, но справедливости ради это не коммутатор.

Фу, меня поняли, спасибо :)

 

То есть его можно подключить по l2 и иметь возможность на порту блокировать трафи по портам и IP ?

А сколько таких правил можно добавить, как это влияет на его производительность?

Да можно.

 

Сколько конкретно ацл можно посмотреть в датащите, заодно глянуть в асиках оно реализовано или софтово, и от этого плясать по производительности.

 

Но никакого анти-дидоса ждать от этого недороутера-пересвича не стоит. Не того класса железка.

Share this post


Link to post
Share on other sites

Но никакого анти-дидоса ждать от этого недороутера-пересвича не стоит. Не того класса железка.

имеется ввду, возможность заблокировать атакуемый IP, порт на нем, и все должно дальше работать.

Вся суть, что в IX до 10G, а дальше к нам идет уже максимум 0.5G. При атаках, 1гбит, все парализуется. Блокируем весь IP через блекхоле, хотя обычно атаки по UDP, что можно срезать без проблем для сервиса.

 

 

А по личному опыту, никто не знает про производительнось?

Edited by gsmail

Share this post


Link to post
Share on other sites

Ставьте обычный PC, 1Gb он легко отфильтрует.

Другое дело, сейчас ДДoС очень часто забивает полностью линки 1 Gb.

Дальше уже идут специализированные железки - Cisco ASA, Cisco GUARD, Arbor.

Share this post


Link to post
Share on other sites

имеется ввду, возможность заблокировать атакуемый IP, порт на нем, и все должно дальше работать.

Купите вы железяку за XX k$ отразите одну, две атаки. Атакующие сообразят, что не проходит атака, сменят в софте одну, две галки и хана вашей защите. Деньги выброшены на ветер.

 

Лучше сделать как предлагает vlad11. Можно в писюк и 10г карточку сунуть, гораздо гибче будет решение. Только наймите человека, рубящего в ПС подобного класса. Ибо мы периодически развлекаемся реализацией на ПС разной лабуды, иногда попадаются довольно забавные ограничения в самых невероятных местах. За счёт большого числа проектов косяки с железом не сильно накладны...

Share this post


Link to post
Share on other sites

... иногда попадаются довольно забавные ограничения в самых невероятных местах....

 

А можно пару примеров на вскидку?

Share this post


Link to post
Share on other sites

А можно пару примеров на вскидку?

 

Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов.

Узнаете много нового о ACPI и о разных производителях материнок.

Share this post


Link to post
Share on other sites

У нас задачи совсем другие, так что там обычно всё то в винты, то в память упирается. В своё время делали файло-помойку, так выяснилось, что сетевая карточка в недешёвом сервере, мягко говоря, не очень. При трафике в 100-150 мбит сетевая засерает CPU на 100%. Разбираться особо не стали, перекинули задачи на другой сервер.

Share this post


Link to post
Share on other sites

А чем железка с возможностью блокировать порты и IP не мобильное решение? Им будет управлять сервер, которые анализирует трафик и принимает решение.

Сервер мы пробовали, к сожалению, надо массу знаний, так как достаточно мощный сервер начинает тормозить.

Другой вопрос, сможет ли такое недорогое решение как cisco 4948 прожевать 10G c acl.

Share this post


Link to post
Share on other sites

А можно пару примеров на вскидку?

 

Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов.

Узнаете много нового о ACPI и о разных производителях материнок.

какую маму посоветуете?

Share this post


Link to post
Share on other sites

Другой вопрос, сможет ли такое недорогое решение как cisco 4948 прожевать 10G c acl.

 

 

Оно железное, ему пофиг. Главное TCAM не переполнить.

Share this post


Link to post
Share on other sites

народ, откройте глаза , есть коммутатция на L4 и она идет именно по портам. на прокурвах коммутаторах L3-4 так и описано.

Share this post


Link to post
Share on other sites

А можно пару примеров на вскидку?

 

Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов.

Узнаете много нового о ACPI и о разных производителях материнок.

какую маму посоветуете?

+1

Share this post


Link to post
Share on other sites

Если речь про stateless L4 acl, то такое умеют почти все, даже самые дешёвые l2/l3-свитчи. Поможет оно вам от ддоса это уже другой вопрос

Share this post


Link to post
Share on other sites

Для защиты от DDoS вас спасёт любой коммутатор, который можно выключить из розетки.

Атакуют - отключаете из розетки, и на защищаемом сервисе всё становится замечательно.

 

А если серьёзно: попробуйте, например, http://qrator.net

Ценник не знаю. К ним отношения не имею.

Share this post


Link to post
Share on other sites

народ, откройте глаза , есть коммутатция на L4 и она идет именно по портам. на прокурвах коммутаторах L3-4 так и описано.

чего???

 

Яб вас даже на собеседование не пригласил.

Edited by myst

Share this post


Link to post
Share on other sites

Яб вас даже на собеседование не пригласил.

 

Ггг. Ну балансеры например как раз L4 свитчи. Но я не уверен что он их имел ввиду :)

Share this post


Link to post
Share on other sites

myst я бы к вам не пошел, раз в руководстве люди не владеют новым знанием, т.е. по сути отсталые )) http://www.hp.com/rnd/support/faqs/93xx_6308.htm Q:

Do the HP ProCurve Routing Switches support Layer 4 switching?

Yes. The HP ProCurve Routing Switches execute wire-speed Layer 4 switching decisions based on source and destination IP address in combination with TCP and UDP port numbers.

Edited by digsi

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this