gsmail Опубликовано 17 июня, 2014 · Жалоба А что можно поставить на IX 1U в качестве фаервола L4 на 10G для защиты от ДДос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 17 июня, 2014 (изменено) · Жалоба =))) Уже смешно. Рано вам ещё на IX если вы путаете коммутаторы, фаерволы, и уровни модели оси. Изменено 17 июня, 2014 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 17 июня, 2014 (изменено) · Жалоба А что смешно? Расскажите, пожалуйста. Я понимаю, что настоящий фаервол на такую скорость стоит очень дорого, возможно существуют свитчи с возможностью блокировать трафик по портам и ИП. Изменено 17 июня, 2014 пользователем gsmail Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
danilbal Опубликовано 17 июня, 2014 · Жалоба ACL есть на многих коммутаторах, но от этого они не начинают "коммутировать L4", и уж тем более - защищать от ДДОСа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 17 июня, 2014 (изменено) · Жалоба Потому что "свитч" это л2. Фаервол это вообще немного из другой области, а "коммутировать" l4 вообще невозможно. У вас полная каша в голове. Вот по этому смешно. Изменено 17 июня, 2014 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 17 июня, 2014 · Жалоба Существует ли коммутатор с ACL по IP, портам на 10G Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 17 июня, 2014 · Жалоба Существует ли коммутатор с ACL по IP, портам на 10G Существует. Например cisco4948, но справедливости ради это не коммутатор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 17 июня, 2014 · Жалоба Существует. Например cisco4948, но справедливости ради это не коммутатор. Фу, меня поняли, спасибо :) То есть его можно подключить по l2 и иметь возможность на порту блокировать трафи по портам и IP ? А сколько таких правил можно добавить, как это влияет на его производительность? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 17 июня, 2014 · Жалоба Существует. Например cisco4948, но справедливости ради это не коммутатор. Фу, меня поняли, спасибо :) То есть его можно подключить по l2 и иметь возможность на порту блокировать трафи по портам и IP ? А сколько таких правил можно добавить, как это влияет на его производительность? Да можно. Сколько конкретно ацл можно посмотреть в датащите, заодно глянуть в асиках оно реализовано или софтово, и от этого плясать по производительности. Но никакого анти-дидоса ждать от этого недороутера-пересвича не стоит. Не того класса железка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 17 июня, 2014 (изменено) · Жалоба Но никакого анти-дидоса ждать от этого недороутера-пересвича не стоит. Не того класса железка. имеется ввду, возможность заблокировать атакуемый IP, порт на нем, и все должно дальше работать. Вся суть, что в IX до 10G, а дальше к нам идет уже максимум 0.5G. При атаках, 1гбит, все парализуется. Блокируем весь IP через блекхоле, хотя обычно атаки по UDP, что можно срезать без проблем для сервиса. А по личному опыту, никто не знает про производительнось? Изменено 17 июня, 2014 пользователем gsmail Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 17 июня, 2014 · Жалоба Ставьте обычный PC, 1Gb он легко отфильтрует. Другое дело, сейчас ДДoС очень часто забивает полностью линки 1 Gb. Дальше уже идут специализированные железки - Cisco ASA, Cisco GUARD, Arbor. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 17 июня, 2014 · Жалоба имеется ввду, возможность заблокировать атакуемый IP, порт на нем, и все должно дальше работать. Купите вы железяку за XX k$ отразите одну, две атаки. Атакующие сообразят, что не проходит атака, сменят в софте одну, две галки и хана вашей защите. Деньги выброшены на ветер. Лучше сделать как предлагает vlad11. Можно в писюк и 10г карточку сунуть, гораздо гибче будет решение. Только наймите человека, рубящего в ПС подобного класса. Ибо мы периодически развлекаемся реализацией на ПС разной лабуды, иногда попадаются довольно забавные ограничения в самых невероятных местах. За счёт большого числа проектов косяки с железом не сильно накладны... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVSina Опубликовано 17 июня, 2014 · Жалоба ... иногда попадаются довольно забавные ограничения в самых невероятных местах.... А можно пару примеров на вскидку? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 17 июня, 2014 · Жалоба А можно пару примеров на вскидку? Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов. Узнаете много нового о ACPI и о разных производителях материнок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 17 июня, 2014 · Жалоба У нас задачи совсем другие, так что там обычно всё то в винты, то в память упирается. В своё время делали файло-помойку, так выяснилось, что сетевая карточка в недешёвом сервере, мягко говоря, не очень. При трафике в 100-150 мбит сетевая засерает CPU на 100%. Разбираться особо не стали, перекинули задачи на другой сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gsmail Опубликовано 17 июня, 2014 · Жалоба А чем железка с возможностью блокировать порты и IP не мобильное решение? Им будет управлять сервер, которые анализирует трафик и принимает решение. Сервер мы пробовали, к сожалению, надо массу знаний, так как достаточно мощный сервер начинает тормозить. Другой вопрос, сможет ли такое недорогое решение как cisco 4948 прожевать 10G c acl. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 17 июня, 2014 · Жалоба А можно пару примеров на вскидку? Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов. Узнаете много нового о ACPI и о разных производителях материнок. какую маму посоветуете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 17 июня, 2014 · Жалоба Другой вопрос, сможет ли такое недорогое решение как cisco 4948 прожевать 10G c acl. Оно железное, ему пофиг. Главное TCAM не переполнить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 17 июня, 2014 · Жалоба народ, откройте глаза , есть коммутатция на L4 и она идет именно по портам. на прокурвах коммутаторах L3-4 так и описано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 17 июня, 2014 · Жалоба А можно пару примеров на вскидку? Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов. Узнаете много нового о ACPI и о разных производителях материнок. какую маму посоветуете? +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 июня, 2014 · Жалоба Если речь про stateless L4 acl, то такое умеют почти все, даже самые дешёвые l2/l3-свитчи. Поможет оно вам от ддоса это уже другой вопрос Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 17 июня, 2014 · Жалоба Для защиты от DDoS вас спасёт любой коммутатор, который можно выключить из розетки. Атакуют - отключаете из розетки, и на защищаемом сервисе всё становится замечательно. А если серьёзно: попробуйте, например, http://qrator.net Ценник не знаю. К ним отношения не имею. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 18 июня, 2014 (изменено) · Жалоба народ, откройте глаза , есть коммутатция на L4 и она идет именно по портам. на прокурвах коммутаторах L3-4 так и описано. чего??? Яб вас даже на собеседование не пригласил. Изменено 18 июня, 2014 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 18 июня, 2014 · Жалоба Яб вас даже на собеседование не пригласил. Ггг. Ну балансеры например как раз L4 свитчи. Но я не уверен что он их имел ввиду :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 18 июня, 2014 (изменено) · Жалоба myst я бы к вам не пошел, раз в руководстве люди не владеют новым знанием, т.е. по сути отсталые )) http://www.hp.com/rnd/support/faqs/93xx_6308.htm Q: Do the HP ProCurve Routing Switches support Layer 4 switching? Yes. The HP ProCurve Routing Switches execute wire-speed Layer 4 switching decisions based on source and destination IP address in combination with TCP and UDP port numbers. Изменено 18 июня, 2014 пользователем digsi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...