Исходное сообщение
"Терминирование PPPoE" Отправлено tashiki, 05-Дек-06 03:20
>Добрый день. > >Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы: >1- как бороться если в сегментах сети появлются ложные pppoe-серверы? Быть может я не правильно понял, но ИМХО это лучше сделать аутентификацией. Не рассматривая конкретную топологию и ее особенности это пожалуй самый рациональный способ. Просто "бороться" с "ложными" pppoe-серверами дословно можно только на физическом уровне (с чем-нибудь увесистым, колящим и режущим) > 2- как защищаться от доса, или флуда, к примеру 1 клиент послыет > 1000 запросов Пример: vpdn-group CUSTOMERS accept-dialin   protocol pppoe   virtual-template 1 pppoe limit per-mac 1 pppoe limit max-sessions 1000 (PPPoE Session Limit ->  http://www.cisco.com/en/US/products/sw/iosswrel/ps5012/produ...) Если клиент терминируется на pppoe концентраторе, то по опыту могу сказать, что на 28-ых, 26-ых и 36-ых (последнее смешно но таки правда) минимальный флуд на IP (20-22k pps) валит кошку насмерть (от таких вещей спасает только грамотно настроенная IDS). Насчет аутентификации пример: interface Virtual-Template1 ip unnumbered FastEthernet<N> no ip route-cache no peer default ip address ppp authentication chap pap ms-chap ppp direction callin hold-queue 4096 in hold-queue 4096 out ... pap не рекомендую использовать; chap и ms-chap для подобного рода сети самое ОНО :)