gsmail Posted June 17, 2014 · Report post А что можно поставить на IX 1U в качестве фаервола L4 на 10G для защиты от ДДос. Share this post Link to post Share on other sites
myst Posted June 17, 2014 (edited) · Report post =))) Уже смешно. Рано вам ещё на IX если вы путаете коммутаторы, фаерволы, и уровни модели оси. Edited June 17, 2014 by myst Share this post Link to post Share on other sites
gsmail Posted June 17, 2014 (edited) · Report post А что смешно? Расскажите, пожалуйста. Я понимаю, что настоящий фаервол на такую скорость стоит очень дорого, возможно существуют свитчи с возможностью блокировать трафик по портам и ИП. Edited June 17, 2014 by gsmail Share this post Link to post Share on other sites
danilbal Posted June 17, 2014 · Report post ACL есть на многих коммутаторах, но от этого они не начинают "коммутировать L4", и уж тем более - защищать от ДДОСа. Share this post Link to post Share on other sites
myst Posted June 17, 2014 (edited) · Report post Потому что "свитч" это л2. Фаервол это вообще немного из другой области, а "коммутировать" l4 вообще невозможно. У вас полная каша в голове. Вот по этому смешно. Edited June 17, 2014 by myst Share this post Link to post Share on other sites
gsmail Posted June 17, 2014 · Report post Существует ли коммутатор с ACL по IP, портам на 10G Share this post Link to post Share on other sites
myst Posted June 17, 2014 · Report post Существует ли коммутатор с ACL по IP, портам на 10G Существует. Например cisco4948, но справедливости ради это не коммутатор. Share this post Link to post Share on other sites
gsmail Posted June 17, 2014 · Report post Существует. Например cisco4948, но справедливости ради это не коммутатор. Фу, меня поняли, спасибо :) То есть его можно подключить по l2 и иметь возможность на порту блокировать трафи по портам и IP ? А сколько таких правил можно добавить, как это влияет на его производительность? Share this post Link to post Share on other sites
myst Posted June 17, 2014 · Report post Существует. Например cisco4948, но справедливости ради это не коммутатор. Фу, меня поняли, спасибо :) То есть его можно подключить по l2 и иметь возможность на порту блокировать трафи по портам и IP ? А сколько таких правил можно добавить, как это влияет на его производительность? Да можно. Сколько конкретно ацл можно посмотреть в датащите, заодно глянуть в асиках оно реализовано или софтово, и от этого плясать по производительности. Но никакого анти-дидоса ждать от этого недороутера-пересвича не стоит. Не того класса железка. Share this post Link to post Share on other sites
gsmail Posted June 17, 2014 (edited) · Report post Но никакого анти-дидоса ждать от этого недороутера-пересвича не стоит. Не того класса железка. имеется ввду, возможность заблокировать атакуемый IP, порт на нем, и все должно дальше работать. Вся суть, что в IX до 10G, а дальше к нам идет уже максимум 0.5G. При атаках, 1гбит, все парализуется. Блокируем весь IP через блекхоле, хотя обычно атаки по UDP, что можно срезать без проблем для сервиса. А по личному опыту, никто не знает про производительнось? Edited June 17, 2014 by gsmail Share this post Link to post Share on other sites
vlad11 Posted June 17, 2014 · Report post Ставьте обычный PC, 1Gb он легко отфильтрует. Другое дело, сейчас ДДoС очень часто забивает полностью линки 1 Gb. Дальше уже идут специализированные железки - Cisco ASA, Cisco GUARD, Arbor. Share this post Link to post Share on other sites
secandr Posted June 17, 2014 · Report post имеется ввду, возможность заблокировать атакуемый IP, порт на нем, и все должно дальше работать. Купите вы железяку за XX k$ отразите одну, две атаки. Атакующие сообразят, что не проходит атака, сменят в софте одну, две галки и хана вашей защите. Деньги выброшены на ветер. Лучше сделать как предлагает vlad11. Можно в писюк и 10г карточку сунуть, гораздо гибче будет решение. Только наймите человека, рубящего в ПС подобного класса. Ибо мы периодически развлекаемся реализацией на ПС разной лабуды, иногда попадаются довольно забавные ограничения в самых невероятных местах. За счёт большого числа проектов косяки с железом не сильно накладны... Share this post Link to post Share on other sites
VVSina Posted June 17, 2014 · Report post ... иногда попадаются довольно забавные ограничения в самых невероятных местах.... А можно пару примеров на вскидку? Share this post Link to post Share on other sites
vlad11 Posted June 17, 2014 · Report post А можно пару примеров на вскидку? Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов. Узнаете много нового о ACPI и о разных производителях материнок. Share this post Link to post Share on other sites
secandr Posted June 17, 2014 · Report post У нас задачи совсем другие, так что там обычно всё то в винты, то в память упирается. В своё время делали файло-помойку, так выяснилось, что сетевая карточка в недешёвом сервере, мягко говоря, не очень. При трафике в 100-150 мбит сетевая засерает CPU на 100%. Разбираться особо не стали, перекинули задачи на другой сервер. Share this post Link to post Share on other sites
gsmail Posted June 17, 2014 · Report post А чем железка с возможностью блокировать порты и IP не мобильное решение? Им будет управлять сервер, которые анализирует трафик и принимает решение. Сервер мы пробовали, к сожалению, надо массу знаний, так как достаточно мощный сервер начинает тормозить. Другой вопрос, сможет ли такое недорогое решение как cisco 4948 прожевать 10G c acl. Share this post Link to post Share on other sites
Butch3r Posted June 17, 2014 · Report post А можно пару примеров на вскидку? Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов. Узнаете много нового о ACPI и о разных производителях материнок. какую маму посоветуете? Share this post Link to post Share on other sites
DVM-Avgoor Posted June 17, 2014 · Report post Другой вопрос, сможет ли такое недорогое решение как cisco 4948 прожевать 10G c acl. Оно железное, ему пофиг. Главное TCAM не переполнить. Share this post Link to post Share on other sites
digsi Posted June 17, 2014 · Report post народ, откройте глаза , есть коммутатция на L4 и она идет именно по портам. на прокурвах коммутаторах L3-4 так и описано. Share this post Link to post Share on other sites
Antares Posted June 17, 2014 · Report post А можно пару примеров на вскидку? Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов. Узнаете много нового о ACPI и о разных производителях материнок. какую маму посоветуете? +1 Share this post Link to post Share on other sites
s.lobanov Posted June 17, 2014 · Report post Если речь про stateless L4 acl, то такое умеют почти все, даже самые дешёвые l2/l3-свитчи. Поможет оно вам от ддоса это уже другой вопрос Share this post Link to post Share on other sites
g3fox Posted June 17, 2014 · Report post Для защиты от DDoS вас спасёт любой коммутатор, который можно выключить из розетки. Атакуют - отключаете из розетки, и на защищаемом сервисе всё становится замечательно. А если серьёзно: попробуйте, например, http://qrator.net Ценник не знаю. К ним отношения не имею. Share this post Link to post Share on other sites
myst Posted June 18, 2014 (edited) · Report post народ, откройте глаза , есть коммутатция на L4 и она идет именно по портам. на прокурвах коммутаторах L3-4 так и описано. чего??? Яб вас даже на собеседование не пригласил. Edited June 18, 2014 by myst Share this post Link to post Share on other sites
DVM-Avgoor Posted June 18, 2014 · Report post Яб вас даже на собеседование не пригласил. Ггг. Ну балансеры например как раз L4 свитчи. Но я не уверен что он их имел ввиду :) Share this post Link to post Share on other sites
digsi Posted June 18, 2014 (edited) · Report post myst я бы к вам не пошел, раз в руководстве люди не владеют новым знанием, т.е. по сути отсталые )) http://www.hp.com/rnd/support/faqs/93xx_6308.htm Q: Do the HP ProCurve Routing Switches support Layer 4 switching? Yes. The HP ProCurve Routing Switches execute wire-speed Layer 4 switching decisions based on source and destination IP address in combination with TCP and UDP port numbers. Edited June 18, 2014 by digsi Share this post Link to post Share on other sites
