Добрый день.Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
2- как защищаться от доса, или флуда, к примеру 1 клиент послыет 1000 запросов
>Добрый день.
>
>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>1000 запросов
Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан. Или по влану на коммутатор с запрещением трафика между клиентскими портами (sw protected).
>>Добрый день.
>>
>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>1000 запросов
>
>
>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>(sw protected).
и от доса тоже можно шторм контроль выставить на коммутаторах...
>>>Добрый день.
>>>
>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>1000 запросов
>>
>>
>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>(sw protected).
>
>
>и от доса тоже можно шторм контроль выставить на коммутаторах...а как быть если в одном сегменте поднято несколько ложных пппое-сервер, да разумеется найти по МАС_адресу можно, но не совсем компактно, если сеть не маленькая, т.е. вопрос переиначу: можно ли как-т пользователя привезать к конкретному НАСу, чтоб если в данном сегменте есть еще НАСы он по-преженму устанавливал соединения с оригинальным НАСом, благо клиенты пппое разные бывает.
>>>>Добрый день.
>>>>
>>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>>1000 запросов
>>>
>>>
>>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>>(sw protected).
>>
>>
>>и от доса тоже можно шторм контроль выставить на коммутаторах...
>
>а как быть если в одном сегменте поднято несколько ложных пппое-сервер, да
>разумеется найти по МАС_адресу можно, но не совсем компактно, если сеть
>не маленькая, т.е. вопрос переиначу: можно ли как-т пользователя привезать к
>конкретному НАСу, чтоб если в данном сегменте есть еще НАСы он
>по-преженму устанавливал соединения с оригинальным НАСом, благо клиенты пппое разные бывает.
>
тут вопрос сводится к второму уровню лучше их отделить как было сказанно выше. Иначе в бродкастовом домене... контролировать это все очень тяжело.
>>>>Добрый день.
>>>>
>>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>>1000 запросов
>>>
>>>
>>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>>(sw protected).
>>
>>
>>и от доса тоже можно шторм контроль выставить на коммутаторах...
>
>а как быть если в одном сегменте поднято несколько ложных пппое-сервер, да
>разумеется найти по МАС_адресу можно, но не совсем компактно, если сеть
>не маленькая, т.е. вопрос переиначу: можно ли как-т пользователя привезать к
>конкретному НАСу, чтоб если в данном сегменте есть еще НАСы он
>по-преженму устанавливал соединения с оригинальным НАСом, благо клиенты пппое разные бывает.
>
может port based ACL помогут?
>>>>Добрый день.
>>>>
>>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>>1000 запросов
>>>
>>>
>>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>>(sw protected).
>>
>>
>>и от доса тоже можно шторм контроль выставить на коммутаторах...
>
>а как быть если в одном сегменте поднято несколько ложных пппое-сервер, да
>разумеется найти по МАС_адресу можно, но не совсем компактно, если сеть
>не маленькая, т.е. вопрос переиначу: можно ли как-т пользователя привезать к
>конкретному НАСу, чтоб если в данном сегменте есть еще НАСы он
>по-преженму устанавливал соединения с оригинальным НАСом, благо клиенты пппое разные бывает.
>к определенному насу привязать легко - ставьте raspppoe на все машины клиентов. там есть такая фича - выбор сервера из списка доступных. при первоначальной установке надо просто указать ваш. и все. см www.raspppoe.org
>>>Добрый день.
>>>
>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>1000 запросов
>>
>>
>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>(sw protected).
>
>
>и от доса тоже можно шторм контроль выставить на коммутаторах...
как показала практика броадкаст шторм контроль вреден при использовании pppoe если выставить низкие значения, а если высокие то он не эффективен.
При низкиз значения возникает ситуация что если идет поток броадкастов а вместе с ними еще и запросы на соеденение то запросы на соеденение могут дропаться и пользователь не может соедениться
>>>>Добрый день.
>>>>
>>>>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>>>>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?
>>>>2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
>>>>1000 запросов
>>>
>>>
>>>Отделять клиентов друг от друга на втором уровне. Например юзать технологию порт-влан.
>>>Или по влану на коммутатор с запрещением трафика между клиентскими портами
>>>(sw protected).
>>
>>
>>и от доса тоже можно шторм контроль выставить на коммутаторах...
>как показала практика броадкаст шторм контроль вреден при использовании pppoe если выставить
>низкие значения, а если высокие то он не эффективен.
>При низкиз значения возникает ситуация что если идет поток броадкастов а вместе
>с ними еще и запросы на соеденение то запросы на соеденение
>могут дропаться и пользователь не может соедениться
может имеет смысл терминировать пппое на PC-роутере на linux ?
>
>может имеет смысл терминировать пппое на PC-роутере на linux ?Было у нас такое. Поплевались и бросили, переползя на циски. Самый главный фактор - человеческий. Цискари есть, а линуксоидов нет. Вернее де юре есть, де факто нет.))) Да и не тянула наша версия линукса много рррое сессий.
>>
>>может имеет смысл терминировать пппое на PC-роутере на linux ?
>
>Было у нас такое. Поплевались и бросили, переползя на циски. Самый главный
>фактор - человеческий. Цискари есть, а линуксоидов нет. Вернее де юре
>есть, де факто нет.))) Да и не тянула наша версия линукса
>много рррое сессий.сколько по вашему многу?
>Было у нас такое. Поплевались и бросили, переползя на циски. Самый главный
>фактор - человеческий. Цискари есть, а линуксоидов нет. Вернее де юре
>есть, де факто нет.))) Да и не тянула наша версия линукса
>много рррое сессий.
а почему только линукс :) ведь есть FreeBSD c mpd4,
на 3 штуках сидело по 400 пользователей. больше загнать не пробовал в силу того что нехотелось эксперементировать на юзерах.
>Добрый день.
>
>Собираюсь запускать pppoe-сервер, но пока продумываю, есть некоторые вопросы:
>1- как бороться если в сегментах сети появлются ложные pppoe-серверы?Быть может я не правильно понял, но ИМХО это лучше сделать аутентификацией. Не рассматривая конкретную топологию и ее особенности это пожалуй самый рациональный способ. Просто "бороться" с "ложными" pppoe-серверами дословно можно только на физическом уровне (с чем-нибудь увесистым, колящим и режущим)
> 2- как защищаться от доса, или флуда, к примеру 1 клиент послыет
> 1000 запросовПример:
vpdn-group CUSTOMERS
accept-dialin
protocol pppoe
virtual-template 1
pppoe limit per-mac 1
pppoe limit max-sessions 1000(PPPoE Session Limit -> http://www.cisco.com/en/US/products/sw/iosswrel/ps5012/produ...)
Если клиент терминируется на pppoe концентраторе, то по опыту могу сказать, что на 28-ых, 26-ых и 36-ых (последнее смешно но таки правда) минимальный флуд на IP (20-22k pps) валит кошку насмерть (от таких вещей спасает только грамотно настроенная IDS).Насчет аутентификации пример:
interface Virtual-Template1
ip unnumbered FastEthernet<N>
no ip route-cache
no peer default ip address
ppp authentication chap pap ms-chap
ppp direction callin
hold-queue 4096 in
hold-queue 4096 out... pap не рекомендую использовать; chap и ms-chap для подобного рода сети самое ОНО :)