The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Терминирование PPPoE"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Терминирование PPPoE"  
Сообщение от Василий (??) on 01-Дек-06, 02:21 
Добрый день.

Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
2- как защищаться от доса, или флуда, к примеру 1 клиент послыет 1000 запросов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Терминирование PPPoE"  
Сообщение от ilinav (??) on 02-Дек-06, 09:26 
>Добрый день.
>
>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>1000 запросов


Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан. Или по влану на коммутатор с запрещением трафика между клиентскими портами (sw protected).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Терминирование PPPoE"  
Сообщение от Lacunacoil email(ok) on 02-Дек-06, 22:08 
>>Добрый день.
>>
>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>1000 запросов
>
>
>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>(sw protected).


и от доса тоже можно шторм контроль выставить на коммутаторах...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Терминирование PPPoE"  
Сообщение от Василий (??) on 03-Дек-06, 02:26 
>>>Добрый день.
>>>
>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>1000 запросов
>>
>>
>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>(sw protected).
>
>
>и от доса тоже можно шторм контроль выставить на коммутаторах...

а как быть если в одном сегменте поднято несколько ложных пппое-сервер, да разумеется найти по МАС_адресу можно, но не совсем компактно, если сеть не маленькая, т.е. вопрос переиначу: можно ли как-т пользователя привезать к конкретному НАСу, чтоб если в данном сегменте есть еще НАСы он по-преженму устанавливал соединения с оригинальным НАСом, благо клиенты пппое разные бывает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Терминирование PPPoE"  
Сообщение от Lacunacoil email(ok) on 03-Дек-06, 22:51 
>>>>Добрый день.
>>>>
>>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>>1000 запросов
>>>
>>>
>>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>>(sw protected).
>>
>>
>>и от доса тоже можно шторм контроль выставить на коммутаторах...
>
>а как быть если в одном сегменте поднято несколько ложных пппое-сервер, да
>разумеется найти по МАС_адресу можно, но не совсем компактно, если сеть
>не маленькая, т.е. вопрос переиначу: можно ли как-т пользователя привезать к
>конкретному НАСу, чтоб если в данном сегменте есть еще НАСы он
>по-преженму устанавливал соединения с оригинальным НАСом, благо клиенты пппое разные бывает.
>
тут вопрос сводится к второму уровню лучше их отделить как было сказанно выше. Иначе в бродкастовом домене... контролировать это все очень тяжело.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Терминирование PPPoE"  
Сообщение от vgray email(??) on 04-Дек-06, 06:57 
>>>>Добрый день.
>>>>
>>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>>1000 запросов
>>>
>>>
>>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>>(sw protected).
>>
>>
>>и от доса тоже можно шторм контроль выставить на коммутаторах...
>
>а как быть если в одном сегменте поднято несколько ложных пппое-сервер, да
>разумеется найти по МАС_адресу можно, но не совсем компактно, если сеть
>не маленькая, т.е. вопрос переиначу: можно ли как-т пользователя привезать к
>конкретному НАСу, чтоб если в данном сегменте есть еще НАСы он
>по-преженму устанавливал соединения с оригинальным НАСом, благо клиенты пппое разные бывает.
>


может port based ACL помогут?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Терминирование PPPoE"  
Сообщение от Milon (ok) on 04-Дек-06, 13:31 
>>>>Добрый день.
>>>>
>>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>>1000 запросов
>>>
>>>
>>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>>(sw protected).
>>
>>
>>и от доса тоже можно шторм контроль выставить на коммутаторах...
>
>а как быть если в одном сегменте поднято несколько ложных пппое-сервер, да
>разумеется найти по МАС_адресу можно, но не совсем компактно, если сеть
>не маленькая, т.е. вопрос переиначу: можно ли как-т пользователя привезать к
>конкретному НАСу, чтоб если в данном сегменте есть еще НАСы он
>по-преженму устанавливал соединения с оригинальным НАСом, благо клиенты пппое разные бывает.
>

к определенному насу привязать легко - ставьте raspppoe на все машины клиентов. там есть такая фича - выбор сервера из списка доступных. при первоначальной установке надо просто указать ваш. и все. см www.raspppoe.org

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Терминирование PPPoE"  
Сообщение от airo email(ok) on 04-Дек-06, 11:34 
>>>Добрый день.
>>>
>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>1000 запросов
>>
>>
>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>(sw protected).
>
>
>и от доса тоже можно шторм контроль выставить на коммутаторах...
как показала практика броадкаст шторм контроль вреден при использовании pppoe если выставить низкие значения, а если высокие то он не эффективен.
При низкиз значения возникает ситуация что если идет поток броадкастов а вместе с ними еще и запросы на соеденение то запросы на соеденение могут дропаться и пользователь не может соедениться

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Терминирование PPPoE"  
Сообщение от Василий (??) on 05-Дек-06, 02:00 
>>>>Добрый день.
>>>>
>>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>>1000 запросов
>>>
>>>
>>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>>(sw protected).
>>
>>
>>и от доса тоже можно шторм контроль выставить на коммутаторах...
>как показала практика броадкаст шторм контроль вреден при использовании pppoe если выставить
>низкие значения, а если высокие то он не эффективен.
>При низкиз значения возникает ситуация что если идет поток броадкастов а вместе
>с ними еще и запросы на соеденение то запросы на соеденение
>могут дропаться и пользователь не может соедениться


может имеет смысл терминировать пппое на PC-роутере на linux ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Терминирование PPPoE"  
Сообщение от ilinav (??) on 05-Дек-06, 08:55 
>
>может имеет смысл терминировать пппое на PC-роутере на linux ?

Было у нас такое. Поплевались и бросили, переползя на циски. Самый главный фактор - человеческий. Цискари есть, а линуксоидов нет. Вернее де юре есть, де факто нет.))) Да и не тянула наша версия линукса много рррое сессий.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Терминирование PPPoE"  
Сообщение от Василий (??) on 05-Дек-06, 11:13 
>>
>>может имеет смысл терминировать пппое на PC-роутере на linux ?
>
>Было у нас такое. Поплевались и бросили, переползя на циски. Самый главный
>фактор - человеческий. Цискари есть, а линуксоидов нет. Вернее де юре
>есть, де факто нет.))) Да и не тянула наша версия линукса
>много рррое сессий.

сколько по вашему многу?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Терминирование PPPoE"  
Сообщение от airo (ok) on 29-Янв-07, 11:00 

>Было у нас такое. Поплевались и бросили, переползя на циски. Самый главный
>фактор - человеческий. Цискари есть, а линуксоидов нет. Вернее де юре
>есть, де факто нет.))) Да и не тянула наша версия линукса
>много рррое сессий.


а почему только линукс :) ведь есть FreeBSD c mpd4,
на 3 штуках сидело по 400 пользователей. больше загнать не пробовал в силу того что нехотелось эксперементировать на юзерах.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Терминирование PPPoE"  
Сообщение от tashiki (??) on 05-Дек-06, 03:20 
>Добрый день.
>
>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?

Быть может я не правильно понял, но ИМХО это лучше сделать аутентификацией. Не рассматривая конкретную топологию и ее особенности это пожалуй самый рациональный способ. Просто "бороться" с "ложными" pppoe-серверами дословно можно только на физическом уровне (с чем-нибудь увесистым, колящим и режущим)


> 2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
> 1000 запросов

Пример:
vpdn-group CUSTOMERS
accept-dialin
  protocol pppoe
  virtual-template 1
pppoe limit per-mac 1
pppoe limit max-sessions 1000

(PPPoE Session Limit ->  http://www.cisco.com/en/US/products/sw/iosswrel/ps5012/products_feature_guide09186a0080087a0b.html)
Если клиент терминируется на pppoe концентраторе, то по опыту могу сказать, что на 28-ых, 26-ых и 36-ых (последнее смешно но таки правда) минимальный флуд на IP (20-22k pps) валит кошку насмерть (от таких вещей спасает только грамотно настроенная IDS).

Насчет аутентификации пример:

interface Virtual-Template1
ip unnumbered FastEthernet<N>
no ip route-cache
no peer default ip address
ppp authentication chap pap ms-chap
ppp direction callin
hold-queue 4096 in
hold-queue 4096 out

... pap не рекомендую использовать; chap и ms-chap для подобного рода сети самое ОНО :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру