scaran

Возможно так и есть, тут заметил, что момент старта флуда 1в1 совпадает с логами из оптических длинков в которых антиддос врублен. При чем как правило фигурируют 2 гуцульских адреса). 2023-08-13 19:26:30 INFO(6) TCP SYN SrcPort Less 1024 is blocked from (IP: 31.41.91.37 Port: 1:24) 2023-08-13 19:26:30 INFO(6) TCP SYN SrcPort Less 1024 is blocked from (IP: 31.41.91.232 Port: 1:24) Но после попускалова, мусор от этих адресов все равно льется.

Кто силен в готовке экстримов? Нашел еще один параметр который не включал: egress flood control, по умолчанию для бродакста, мультикаста и юникаста оно включено, тоесть разрешен флуд. к примеру из первого disable flooding unicast port 1-48 - запретить флуд юникаст пакетов с неизвестным dst-mac в порт 1-48, вопрос на аплниках тоже запрещать? и стоит ли делать disable flooding broadcast и disable flooding multicast на абонских и аплинк портах, если к примеру адреса и так по статике у всех? Я так пониманию весь этот unknown/bdcast/multicast флуд это для дст мас адресов которые не находятся в fdb свитча и что такая херь разрешается только если такое стоит в корпоративе со всякими шарами и прочей херней. Просто на абонских портах у меня уже настроены рейтлимиты по типу такого: config port 4 rate-limit flood broadcast 100 config port 4 rate-limit flood multicast 500 config port 4 rate-limit flood unknown-destmac 50 что кого будет в итоге игнорить - дисейбл флуд будет игнорить рейтлимиты или наоборот рейтлимиты будут игнорить глобальный дисейбл? Если сделать в итоге disable flooding all-cast на абонских портах это ли не тоже самое что и port isolate on по сути? Ведь что так что так у абонов в рамках свичта не будет видимости между портами. Вопрос второй по приниципу изоляции порта и реализации его на хуавеях и экстримах: Конфиг хуавеев на абонских портах: loopback-detect recovery-time 255 loopback-detect enable loopback-detect action shutdown broadcast-suppression 1 multicast-suppression 2 port-isolate enable group 1 на аплинках: dhcp snooping trusted broadcast-suppression 1 multicast-suppression 1 Когда на хуевеях сделать port-isolate на аплинк порту, то инет у абонов пропадают. У экстрима же делаешь config ports all isolate on то все работает у всех

This. Уверен почти на 99.9999%?

port-isolate тоже включен я тенды все тушил, флуд все равно происходил

Ошибок на портах я по всем агрегациям проходился и не находил вообще. Абоненты в плане маршрутизации конечно же друг друга видят. Сейчас раздроблено отдельный влан на свитч агрегации. С каждого узла агрегации абонов максимум штук 100-120 висит. ( в среднем активных 50-60).

port-isolate тоже включен я тенды все тушил, флуд все равно происходил

Согласен, в 2023 подьездный интерент провайдер на коленке уже не взлетит. Если рили хочет человек упороться наглухо в данную тему, то как уже сказали НКРЗИ, все доки, справки, лицензии разрешения, юрлицо ну и надо предлагать что-то конретно уникальное, которое не дает провайдер крупняк, ну к примеру космические 40гбит линк на дом (благо цена бу свичта такого с 40г дыркой баксов 150) с гарантированными 10г скоростями для абонов, но это уже интересно для корпоративных клиентов в качестве л2 каналов и тд, а это бабло в рекламу кидать надо, а в этом секторе есть уже VOLZ, который любому корпоративщику в любой точке страны канал сделает хоть свой, хоть через партнеров не за все деньги мира. Так что идея провайдинга с нуля обречена на провал, слишком большая конкуренция. Это разве что если заходить уже в разрушенные города (если доживем до периода восстановления) первыми для восстановления, хотя для кого там восстанавливать нужно будет, для оставшихся 10% пенсионеров. Но и там угнаться за тем же Киевстаром будет сложно.

Обращаюсь за помощью к коллективному разуму. Попалась сеть в условное обслуживание. В ней есть проблема в рандомный период времени - не важно хоть в час пик, хоть ночью, хоть раз неделю, но может и пару раз за день происходит следюущие: перестают быть доступны все шлюзы абонентов с реальными IP (соответсвтенно и все абоненты по всех 9 сетках /24). Пинги проскакивают один из 20. Тоесть недоступость почти 100%. Прекращается все если не трогать максимум за 15 минут, но бывает и за минут 5 попустит. Ну или лечится ребутом одного агрегационного узла на 48 даунлинков (extreme x450a-24x, soft 15.3.5.2 patch1-12 + dgs-3120-24sc прошивка последняя). Все менеджмент сетки при этом живут (шлюзы менеджмента на другом сервере висят и естественно в каждая в разных вланах). Бывает помогает потушить один из домов оптического свитча и шлюзы отпускает, но иногда тушение одного порта помогает, иногда другой, конкретно грешить на какой-то дом не могу. С этого агрегационного узла все даунлинки только на управляемые домовые свитчи, тупых линков нет, медных колбас тоже. Всего в сети 9 агрегационных узлов с 20-30 даунлинками в сторону домов. Все агрегационные узлы стекаются в ящик extreme bd 8810, с него линк на фрибсд сервак где и висят все шлюзы для абонентов. Схема чистая звезда, петли на аплинках исключены. Суммарно по сети примерно 150 управляемых коммутаторов, тупых линков в виде медик+тупарь штук 30-40 (в основном где по 1-2 абонента, в дальнейшем и эти точки заменятся на управляемые). На каждом агрегационном узле своя менеджмент сеть /24 и свой абонская сеть тоже /24 с реальниками. Адреса все статикой. Тоесть суммарно 9 менеджмент подсетей и 9 подсетей абонских (конечно же разбито все на 9 вланов все и в менеджменте и отдельными 9 вланов в абонских сетках) Схема набросками следующая: Оптические коммутаторы на агрегациях следующие: Extreme x450a-24x, Dlink DGS-3120-24sc, Edge-Core ES4612, Dlink DGS-3612G, TP-Link TL-SG5412F Коммутаторы на домах таких моделей: Extreme summit x150, x250, x350, x450, 200-24, 200-48 Dlink DES-3200-10/28 Cisco WS-C2960-24TC-L, 8TC-L, WS-C2950, WS-C2940, WS-C3560/3750 Huawei S2326TP-EI/S2309 TP-Link TL-SL2210WEB В % соотношениях: экстримов 75%, хуавеев 10%, длинки 10%, циски 5% На всех экстримах и длинках включен dos-protect. На всех свитчах включены шторм контроли, бродкаст/мультикаст контроли с огричением в 5% от пропускной спосбности порта, джамбофреймы везде отключены. dhcp snooping включены везде. loopdetect на всех абонских поратх включены. IGMP snooping тоже везде включен, но по нему я заметил, что когда на аксес свитчах чекаю igmp snooping querier , то querier-ом как правило выступают абоны, а это я так понимаю не есть хорошо и квериером должен быть онли шлюз. но вряд ли это ложит шлюзы. В логах свичтей и на графиках я не вижу ни всирания цпу ничего. Но заметил странную тенденцию - на аксес свитчах в момент начала вот такого флуда даунятся как правило линки на конце которых висят, опростят меня боги - наши "любимые" тенды. Проблема не в них - я ради инетереса тушил вообще все порты с тендами (их суммарно по сети не более полутора десятка, флуд все равно происходил). Единственное что на свитчах не настроено это защита arp spoofing. Похоже ли это на бомбежку арпами от которых шлюзы с ума сходят? Понятно что правильнее будет зеркалить трафик на ящике BD 8810 c порта уходящего на сервак freebsd с шлюзами абонентов (я так и планирую делать), но пока едет сборка на х99 китайце под тазик, то приходится только догадки догадывать. Ах да, доступа на сервак с фрибсд у меня отсутствует, потому зайти на него и глянуть что у него в логах я не могу. Куда еще можно покопать?, у кого может мысля проявится, может что на аксесах подонастраивать, но я уже не представляю что.

Це і є остання їх прошивка. на фтп ромсата саме ця остання висить

UP Juniper SRX220H, в комплекте файрвол, уши, внешний блок питания - 4500грн Juniper SRX240H2POE (2 гига памяти) - 16 РоЕ портов, в комплекте файрвол, уши -10000грн Состояние всех идеальное. тел 063-396-50-97 телеграмм @scaran

UP Зараз в наявності: 1шт Cisco WS-C3750-48TS-S б/в - 2000грн 5шт TP-LINK TL-SL2210WEB б/в- 500грн/шт Неробочі: 1шт Cisco WS-C2960-24TC-L (немає індикації, хоча всі контрольні напруги в нормі, на кнопку мод не реагує, скоріш за все дохла одна із двух банок памяті) - 400грн

В наличии 1шт шасси медиаконверторное б/у Foxgate под 14 медиков с двумя бп. Все работает, кроме вентиляторов (возможно просто нужно прочистить). Цена 2000грн

это dell force10 s4810p? помню юзал похожий dell s4048-ON - там еще вроде какая-то странная тема была с выбором скоростей интерфейсов с разными вариацаиями аплинков и обычных портов. У форс10 4810 такой же подход? Левые ж сфп делл вроде варит?, на крайняк там же вроде allowed unsupported-transceiver должен быть, если на паверконнектах и ЕМС она была.

Интересует какие существуют свитчи 1U формата с 48sfp и аплинками по 10G Единственное пока нашел у экстрима summit x460-48x с модулем XGM3-2sf. Если edge лицензия на нем, там же все должно работь и 10г дырки и обычные? Есть ли такое у хуавея или дела?

UP Зараз в наявності: 1шт Cisco WS-C3750-48TS-S - 2000грн 5шт TP-LINK TL-SL2210WEB - 700грн/шт Неробочі: 1шт Cisco WS-C2960-24TC-L (немає індикації, хоча всі контрольні напруги в нормі, на кнопку мод не реагує, скоріш за все дохла одна із двух банок памяті) - 400грн тел. 063-396-50-97 telegram: @scaran

UP Juniper SRX220H, в комплекте файрвол, уши, блок питания - 5000грн Juniper SRX240H2POE (2 гига памяти) - 16 РоЕ портов, в комплекте файрвол, уши -11000грн Состояние всех идеальное. тел 063-396-50-97 телеграмм @scaran

Прослезитесь. До сих пор робе) Но cli у них тот еще кринж)

UP Juniper SRX220H, в комплекте файрвол, уши, блок питания - 5000грн Juniper SRX240H2POE (2 гига памяти) - 16 РоЕ портов, в комплекте файрвол, уши -11000грн Состояние всех идеальное. тел 063-396-50-97 телеграмм @scaran

UP Зараз в наявності: 1шт Cisco WS-C3750-48TS-S - 2000грн 1шт HP V1910-48G (JE009A) - 2200грн 1шт HP 1910-8G (JG348A) - 1500грн 5шт TP-LINK TL-SL2210WEB - 700грн/шт Неробочі: 1шт Cisco WS-C2960-24TC-L (немає індикації, хоча всі контрольні напруги в нормі, на кнопку мод не реагує, скоріш за все дохла одна із двух банок памяті) - 400грн 1шт huawei s2309tp-si - циклічний ребут, не може стартонути на прошивці своїй. Перезаливав з нуля, все одно ніяк (можливо можна тіки через дамп з робочого свіча через програматор) - 400грн тел. 063-396-50-97 telegram: @scaran

Були памятаю в період 2008-2013 ці чудо девайси. Ті моделі шо з сфп портами наче більш живучі булт. На моїй памяті здохла парочка лише. А от sw1600, sw0800 ті що одразу під sc конектор ті від гроз мерли як мухи, мабуть штук 60 мертвих валялось). добре шо тоді все на екстріми поміняли і убрали головняк)

Вживані Juniper EX3300. Можна і ЕХ4200, якшо є куди його пхнуть. У 3300 у ранніх ревізіях флешки шляпні, в мене парочка херилась при ребуті. От просто в гавніну флешка, приходилось nand_format робить, і то з 5 разу)

Викинути цей підвальний архаізм і купити хуавей2326/ циску за 1000грн

Juniper SRX240H2POE (є моделі і без рое) Juniper SRX550 Тобі файрвол, роутер, іпсек молотилка (срх240 пережує десь 250мбіт іпсека на sha-384+dh group20, срх550 десь під 1гбіт) і рое коммутатор в одному девайсі. Або більш кучеряву модель SRX550. На ебеях коштує копійки (навіть дешевше нового мікрота), а по функціоналу дрючить всіх і вся.

Всем доброго времени суток. Случайно кна хуавее s2309tp-si ерейзнул флешку, залил новый имейдж последний через ethernet submenu, выбрал её в стартап, но в итоге циклический ребут (причем пробовал еще подсовывать конфиг файл, но не влияет, поведение такое же). Press Ctrl+B to enter BOOTROM menu ... 0 Auto-booting... Auto-booting with last time startup file... Can not open Flash file: flash:/S2300-V100R005C01SPC100.cc Seeking a VRP software in flash file-system... Now, Current startup file is flash:/S2300EI-V100R006C05.cc Decompressing Image file ... done BIOS LOADING ... Copyright (c) 2008-2010 HUAWEI TECH CO., LTD. (Ver128, Aug 24 2010, 21:58:24) Press Ctrl+B to enter BOOTROM menu ... 0 Auto-booting... Decompressing Image file ... done BIOS LOADING ... Copyright (c) 2008-2010 HUAWEI TECH CO., LTD. (Ver128, Aug 24 2010, 21:58:24) Press Ctrl+B to enter BOOTROM menu ... 0 Auto-booting... Auto-booting with last time startup file... Can not open Flash file: flash:/S2300-V100R005C01SPC100.cc Seeking a VRP software in flash file-system... Now, Current startup file is flash:/S2300EI-V100R006C05.cc Decompressing Image file ... done

UP Juniper SRX220H, в комплекте файрвол, уши, блок питания - 5000грн Juniper SRX240H2POE (2 гига памяти) - 16 РоЕ портов, в комплекте файрволл, уши -11000грн Состояние всех идеальное. тел 063-396-50-97 телеграмм @scaran