URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12126
[ Назад ]

Исходное сообщение
"Терминирование PPPoE"

Отправлено Василий , 01-Дек-06 02:21 
Добрый день.

Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
2- как защищаться от доса, или флуда, к примеру 1 клиент послыет 1000 запросов


Содержание

Сообщения в этом обсуждении
"Терминирование PPPoE"
Отправлено ilinav , 02-Дек-06 09:26 
>Добрый день.
>
>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>1000 запросов


Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан. Или по влану на коммутатор с запрещением трафика между клиентскими портами (sw protected).


"Терминирование PPPoE"
Отправлено Lacunacoil , 02-Дек-06 22:08 
>>Добрый день.
>>
>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>1000 запросов
>
>
>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>(sw protected).


и от доса тоже можно шторм контроль выставить на коммутаторах...


"Терминирование PPPoE"
Отправлено Василий , 03-Дек-06 02:26 
>>>Добрый день.
>>>
>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>1000 запросов
>>
>>
>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>(sw protected).
>
>
>и от доса тоже можно шторм контроль выставить на коммутаторах...

а как быть если в одном сегменте поднято несколько ложных пппое-сервер, да разумеется найти по МАС_адресу можно, но не совсем компактно, если сеть не маленькая, т.е. вопрос переиначу: можно ли как-т пользователя привезать к конкретному НАСу, чтоб если в данном сегменте есть еще НАСы он по-преженму устанавливал соединения с оригинальным НАСом, благо клиенты пппое разные бывает.


"Терминирование PPPoE"
Отправлено Lacunacoil , 03-Дек-06 22:51 
>>>>Добрый день.
>>>>
>>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>>1000 запросов
>>>
>>>
>>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>>(sw protected).
>>
>>
>>и от доса тоже можно шторм контроль выставить на коммутаторах...
>
>а как быть если в одном сегменте поднято несколько ложных пппое-сервер, да
>разумеется найти по МАС_адресу можно, но не совсем компактно, если сеть
>не маленькая, т.е. вопрос переиначу: можно ли как-т пользователя привезать к
>конкретному НАСу, чтоб если в данном сегменте есть еще НАСы он
>по-преженму устанавливал соединения с оригинальным НАСом, благо клиенты пппое разные бывает.
>
тут вопрос сводится к второму уровню лучше их отделить как было сказанно выше. Иначе в бродкастовом домене... контролировать это все очень тяжело.


"Терминирование PPPoE"
Отправлено vgray , 04-Дек-06 06:57 
>>>>Добрый день.
>>>>
>>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>>1000 запросов
>>>
>>>
>>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>>(sw protected).
>>
>>
>>и от доса тоже можно шторм контроль выставить на коммутаторах...
>
>а как быть если в одном сегменте поднято несколько ложных пппое-сервер, да
>разумеется найти по МАС_адресу можно, но не совсем компактно, если сеть
>не маленькая, т.е. вопрос переиначу: можно ли как-т пользователя привезать к
>конкретному НАСу, чтоб если в данном сегменте есть еще НАСы он
>по-преженму устанавливал соединения с оригинальным НАСом, благо клиенты пппое разные бывает.
>


может port based ACL помогут?


"Терминирование PPPoE"
Отправлено Milon , 04-Дек-06 13:31 
>>>>Добрый день.
>>>>
>>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>>1000 запросов
>>>
>>>
>>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>>(sw protected).
>>
>>
>>и от доса тоже можно шторм контроль выставить на коммутаторах...
>
>а как быть если в одном сегменте поднято несколько ложных пппое-сервер, да
>разумеется найти по МАС_адресу можно, но не совсем компактно, если сеть
>не маленькая, т.е. вопрос переиначу: можно ли как-т пользователя привезать к
>конкретному НАСу, чтоб если в данном сегменте есть еще НАСы он
>по-преженму устанавливал соединения с оригинальным НАСом, благо клиенты пппое разные бывает.
>

к определенному насу привязать легко - ставьте raspppoe на все машины клиентов. там есть такая фича - выбор сервера из списка доступных. при первоначальной установке надо просто указать ваш. и все. см www.raspppoe.org


"Терминирование PPPoE"
Отправлено airo , 04-Дек-06 11:34 
>>>Добрый день.
>>>
>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>1000 запросов
>>
>>
>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>(sw protected).
>
>
>и от доса тоже можно шторм контроль выставить на коммутаторах...
как показала практика броадкаст шторм контроль вреден при использовании pppoe если выставить низкие значения, а если высокие то он не эффективен.
При низкиз значения возникает ситуация что если идет поток броадкастов а вместе с ними еще и запросы на соеденение то запросы на соеденение могут дропаться и пользователь не может соедениться


"Терминирование PPPoE"
Отправлено Василий , 05-Дек-06 02:00 
>>>>Добрый день.
>>>>
>>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>>1000 запросов
>>>
>>>
>>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>>(sw protected).
>>
>>
>>и от доса тоже можно шторм контроль выставить на коммутаторах...
>как показала практика броадкаст шторм контроль вреден при использовании pppoe если выставить
>низкие значения, а если высокие то он не эффективен.
>При низкиз значения возникает ситуация что если идет поток броадкастов а вместе
>с ними еще и запросы на соеденение то запросы на соеденение
>могут дропаться и пользователь не может соедениться


может имеет смысл терминировать пппое на PC-роутере на linux ?


"Терминирование PPPoE"
Отправлено ilinav , 05-Дек-06 08:55 
>
>может имеет смысл терминировать пппое на PC-роутере на linux ?

Было у нас такое. Поплевались и бросили, переползя на циски. Самый главный фактор - человеческий. Цискари есть, а линуксоидов нет. Вернее де юре есть, де факто нет.))) Да и не тянула наша версия линукса много рррое сессий.


"Терминирование PPPoE"
Отправлено Василий , 05-Дек-06 11:13 
>>
>>может имеет смысл терминировать пппое на PC-роутере на linux ?
>
>Было у нас такое. Поплевались и бросили, переползя на циски. Самый главный
>фактор - человеческий. Цискари есть, а линуксоидов нет. Вернее де юре
>есть, де факто нет.))) Да и не тянула наша версия линукса
>много рррое сессий.

сколько по вашему многу?


"Терминирование PPPoE"
Отправлено airo , 29-Янв-07 11:00 

>Было у нас такое. Поплевались и бросили, переползя на циски. Самый главный
>фактор - человеческий. Цискари есть, а линуксоидов нет. Вернее де юре
>есть, де факто нет.))) Да и не тянула наша версия линукса
>много рррое сессий.


а почему только линукс :) ведь есть FreeBSD c mpd4,
на 3 штуках сидело по 400 пользователей. больше загнать не пробовал в силу того что нехотелось эксперементировать на юзерах.


"Терминирование PPPoE"
Отправлено tashiki , 05-Дек-06 03:20 
>Добрый день.
>
>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?

Быть может я не правильно понял, но ИМХО это лучше сделать аутентификацией. Не рассматривая конкретную топологию и ее особенности это пожалуй самый рациональный способ. Просто "бороться" с "ложными" pppoe-серверами дословно можно только на физическом уровне (с чем-нибудь увесистым, колящим и режущим)


> 2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
> 1000 запросов

Пример:
vpdn-group CUSTOMERS
accept-dialin
  protocol pppoe
  virtual-template 1
pppoe limit per-mac 1
pppoe limit max-sessions 1000

(PPPoE Session Limit ->  http://www.cisco.com/en/US/products/sw/iosswrel/ps5012/produ...)
Если клиент терминируется на pppoe концентраторе, то по опыту могу сказать, что на 28-ых, 26-ых и 36-ых (последнее смешно но таки правда) минимальный флуд на IP (20-22k pps) валит кошку насмерть (от таких вещей спасает только грамотно настроенная IDS).

Насчет аутентификации пример:

interface Virtual-Template1
ip unnumbered FastEthernet<N>
no ip route-cache
no peer default ip address
ppp authentication chap pap ms-chap
ppp direction callin
hold-queue 4096 in
hold-queue 4096 out

... pap не рекомендую использовать; chap и ms-chap для подобного рода сети самое ОНО :)