hillers

эта точка давно включена

067-3002200

LanBilling.ru на FreeBSD

Знаю, что некоторые провайдеры отправляют свои абонентам сообщения в браузере. Как это реализовать?

легко - шлет пакеты на мак-адрес которого нет в FDB, и свич пакет ессно рассылает по всем портам. смотрите фильтры unknown unicast. Спасибо, очень похоже на это - UNKNOWN DESTINATION UNICAST Пока что нашел команду на свитче, которая ограничивает полосу: 3.1.12 rate-suppression Command: rate-suppression {dlf | broadcast | multicast} <Kbits> no rate-suppression {dlf | broadcast | multicast} Function: Sets the traffic limit for broadcasts, multicasts and unknown destination unicasts on all ports in the switch; the no command disables this traffic suppression function on all ports in the switch, i.e., enables broadcasts, multicasts and unknown destination unicasts to pass through the switch at line speed. Еще бы отрубать порт абоненту, у которого идет паразитный трафик

Очень на это похоже. Но как бороться - пока не определились. Пока что вычисляем флудящий роутер, отключаем абонента, потом разбираемся. Т.е действуем по факту выявления гадящего абонента.

Можно, делаете vlan на юзера и забываете вообще о понятии шторм. Пока нет такой возможности - слишком много надо менять. Может есть другой способ. Не совсем понятно как ТЕНДА может гадить юникастом на все порты во ВЛАНе. Это же свитчи, не хабы - не должны принимать пакеты адресованные не на тот порт. Есть такой тип атаки - сбросить АРП -таблицу и потом свитч не знает на какой порт слать пакеты. Может это оно? Как Тенда может сбросить АРП таблицу на нескольких свитчах?

Можно, делаете vlan на юзера и забываете вообще о понятии шторм. Пока нет такой возможности - слишком много надо менять. Может есть другой способ. Не совсем понятно как ТЕНДА может гадить юникастом на все порты во ВЛАНе. Это же свитчи, не хабы - не должны принимать пакеты адресованные не на тот порт. Есть такой тип атаки - сбросить АРП -таблицу и потом свитч не знает на какой порт слать пакеты. Может это оно? Как Тенда может сбросить АРП таблицу на нескольких свитчах?

обычно помогает перепрошивка роутера на самую свежую прошивку и установка пароля на веб-морду. Однако, проблема в том, что Тенд много - абоненты напокупали, т.к. роутер один из самых дешевых. Работает, вроде бы, нормально, потом начинает колбасить сеть. Может можно на свичах как-то гасить этот шторм юникастовый?

У нас в сети около 150 Тенд у абонентов - смотрели по МАКам, реально, наверное - больше, часть абонентов сменили МАКи у Тенд. Можно как-то бороться другими методами? З якими моделями Тенди проблеми ? w316r и F3

У нас в сети около 150 Тенд у абонентов - смотрели по МАКам, реально, наверное - больше, часть абонентов сменили МАКи у Тенд. Можно как-то бороться другими методами?

Периодически появляется проблема - начинается в сети жуткий флуд, штормит юникастом до 100Мбит/с. Начинаем разбираться - определяем что с одного или нескольких роутеров одновременно начинает идти передача паразитного трафика Вот пример одного абонента - трафик на порту у абонента вот как это отображается на других домах, которые находятся в этом же ВЛАНе. В правом верхнем углу картинка с домом абонента Спицкий. Идет передача и прием юникаст трафика. В остальных домах по всем портам идет паразитный юникаст трафик Начинаем разбираться, обычно у такого абонента роутер TENDA. Обычно со старой прошивкой 2011г (но были случаи и с новой прошивкой). Часто бывает не установлен пароль на веб морду роутера или установлен стандартный пароль ADMIN ADMIN. Как можно с этим бороться? Почему Юникаст валит по всем портам во ВЛАНе? Почему именно Тенда?

root@MX80> show route instance Instance Type Primary RIB Active/holddown/hidden master forwarding inet.0 604080/0/1718 inet.1 2/0/0 inet6.0 1/0/0 inet6.1 2/0/0 NAT-RI virtual-router NAT-RI.inet.0 17/0/0 juniper_private1 forwarding __juniper_private1__.inet.0 5/0/0 __juniper_private1__.inet6.0 3/0/0 juniper_private2 forwarding __juniper_private2__.inet.0 2/0/1 juniper_private4 forwarding master.anon forwarding http-redirect forwarding root@MX80>

set routing-instances http-redirect routing-options static route 0.0.0.0/0 next-hop xxx.xxx.xxx.xxx на IP "ххх.ххх.ххх.ххх" находится веб сервер

Juniper MX80 не получатся реализовать схему Http-redirect для пользователей заблокированных по балансу. Для подключения пользователей с положительным балансом используем фильтры: set firewall family inet filter fltr-100Mb-NAT interface-specific set firewall family inet filter fltr-100Mb-NAT term 1 from source-prefix-list NAT-PREFIX-LIST set firewall family inet filter fltr-100Mb-NAT term 1 then service-accounting set firewall family inet filter fltr-100Mb-NAT term 1 then routing-instance NAT-RI set firewall family inet filter fltr-100Mb-NAT term 2 then service-accounting set firewall family inet filter fltr-50Mb-NAT interface-specific set firewall family inet filter fltr-50Mb-NAT term 1 from source-prefix-list NAT-PREFIX-LIST set firewall family inet filter fltr-50Mb-NAT term 1 then policer plcr-100Mb set firewall family inet filter fltr-50Mb-NAT term 1 then service-accounting set firewall family inet filter fltr-50Mb-NAT term 2 then policer plcr-100Mb set firewall family inet filter fltr-50Mb-NAT term 2 then service-accounting set firewall policer plcr-100Mb logical-interface-policer set firewall policer plcr-100Mb if-exceeding bandwidth-limit 1g set firewall policer plcr-100Mb if-exceeding burst-size-limit 38400000 set firewall policer plcr-100Mb then discard Для заблокированных по балансу пытались сделать через фильтр такого плана: set firewall family inet filter fltr-http-redirect term 1 from source-prefix-list NAT-PREFIX-LIST set firewall family inet filter fltr-http-redirect term 1 from protocol icmp set firewall family inet filter fltr-http-redirect term 1 from port bootpc set firewall family inet filter fltr-http-redirect term 1 from port dhcp set firewall family inet filter fltr-http-redirect term 1 from port domain set firewall family inet filter fltr-http-redirect term 1 from port netbios-ns set firewall family inet filter fltr-http-redirect term 1 then policer plcr-8Mb set firewall family inet filter fltr-http-redirect term 1 then count service_accept set firewall family inet filter fltr-http-redirect term 1 then accept set firewall family inet filter fltr-http-redirect term 2 from port http set firewall family inet filter fltr-http-redirect term 2 then policer plcr-8Mb set firewall family inet filter fltr-http-redirect term 2 then count redirected set firewall family inet filter fltr-http-redirect term 2 then routing-instance http-redirect set firewall family inet filter fltr-http-redirect term 3 then count else_discard set firewall policer plcr-8Mb logical-interface-policer set firewall policer plcr-8Mb if-exceeding bandwidth-limit 8m set firewall policer plcr-8Mb if-exceeding burst-size-limit 1920000 set firewall policer plcr-8Mb then discard set routing-instances http-redirect instance-type forwarding set routing-instances http-redirect routing-options static route 0.0.0.0/0 next-hop xxx.xxx.xxx.xxx Но данная схема не заработала.