>Добрый день.
>
>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>1- как бороться если в сегментах сети появлются ложные pppoe-серверы? Быть может я не правильно понял, но ИМХО это лучше сделать аутентификацией. Не рассматривая конкретную топологию и ее особенности это пожалуй самый рациональный способ. Просто "бороться" с "ложными" pppoe-серверами дословно можно только на физическом уровне (с чем-нибудь увесистым, колящим и режущим)
> 2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
> 1000 запросов
Пример:
vpdn-group CUSTOMERS
accept-dialin
protocol pppoe
virtual-template 1
pppoe limit per-mac 1
pppoe limit max-sessions 1000
(PPPoE Session Limit -> http://www.cisco.com/en/US/products/sw/iosswrel/ps5012/produ...)
Если клиент терминируется на pppoe концентраторе, то по опыту могу сказать, что на 28-ых, 26-ых и 36-ых (последнее смешно но таки правда) минимальный флуд на IP (20-22k pps) валит кошку насмерть (от таких вещей спасает только грамотно настроенная IDS).
Насчет аутентификации пример:
interface Virtual-Template1
ip unnumbered FastEthernet<N>
no ip route-cache
no peer default ip address
ppp authentication chap pap ms-chap
ppp direction callin
hold-queue 4096 in
hold-queue 4096 out
... pap не рекомендую использовать; chap и ms-chap для подобного рода сети самое ОНО :)