-
Зараз на сторінці 0 користувачів
Немає користувачів, що переглядають цю сторінку.
-
Схожий контент
-
Від valexa
Вітаю, шановне панство!
Стикнувся з проблемою блокування наших зовнішніх IP-адрес популярними сервісами (зокрема OLX, який працює через CloudFront). Отримую помилку «403 Forbidden: Request blocked». Причина очевидна — хтось із локальної мережі флудить, через що системи захисту сайтів бачать аномальну активність і «банять» всю вихідну адресу.
Вхідні дані:
Мережа з декількома зовнішніми IP.
Вихід в інет розподіляється динамічно (P2C / Load Balancing).
Велика кількість внутрішніх («сірих») користувачів.
Що вже пробували:
Створення правил обмеження кількості одночасних з'єднань (conn-limit) з однієї внутрішньої IP-адреси. Результат незадовільний: при жорстких лімітах починаються проблеми з роботою IP-телефонії, онлайн-ігор та інших стійких до розривів сервісів, а при м'яких — блокування зовнішніх IP продовжується.
Питання до спільноти:
Як ефективно вирахувати «шкідника» в реальному часі, якщо стандартні ліміти не допомагають?
Чи існують методи динамічного обмеження саме за частотою запитів (PPS/Rate-limit), які не «дропають» легітимні з'єднання телефонії?
Можливо, є сенс дивитися в бік NetFlow/SNMP для аналізу трафіку, і чим це краще збирати на практиці?
Буду вдячний за будь-які поради щодо налаштування та виявлення джерела флуду. Дякую!
-
Від Emanon
Приветствую форумчан. Есть проблема и суть ее такова:
В топологии одной провайдерской сети сделали определенные изменения. Некоторые access-коммутаторы (edge core ec3528M) в домах, решили подключить по gpon-у. Тоесть, если ранее все это дело шло ветками от одного свича к другому, то теперь ответственность, за их агрегацию , частично лягла на olt bdcom gp3600.
Если схематически : свич -> onu -> olt -> свич агрегации -> bras (accel ipoe) ну и далее уже в ядро. Onu кстати - bdcom gp1701. Вопросы о том, зачем все это и насколько целесообразно - можно оставить для другого разговора.
А пока что хотелось бы в кое чем разобраться. Недавно, начали идти заявки от НЕКОТОРЫХ абонентов одного и того же дома с одного и того же узла с жалобой на нестабильный интернет. Это через неделю-две после изменения топологии и соответственно, переключения их коммутатора к pon-сети.
Техник, осмотрев происходящее, заявлял что рандомно, раз в минуту-две, начинаются потери пакетов. Проверял целостность линий, подключался напрямую ноутом. Результат один и тот же. Линк между свичом и роутером не падает. Не падает линк и между onu и свичом. Проблем с режимами (half duplex, full duplex) портов тоже не было. Если уже далеко зайти, сам домовой свич, olt, коммутатор агрегации, без проблем пингуются (правда находятся в отдельном управляющем vlan). Очевидные проблемы, вроде роста cpu и утечек памяти, в их работе не наблюдались. В логах все чисто. В мониторинге видно, что канал не нагружен (download и upload не превышают 250 Мбит как по pon так и выше, нет аномальных значений pps как для broadcast, так для unicast и multicast). Да и для остальных пользователей, кроме проблемных, не было вопросов. У всех вроде работает, кроме некоторых ребят с конкретного узла. Трасса упорно показывает, что проблемный участок как раз между роутером и bras. Логи на роутерах тоже ничего вразумительного не пишут. При этом, стоило подключить вместо абонентского tp link archer ax12, c64 или keenetic titan, какой то древний роутер, вроде dlink dir300 или tp link tl-wr841n, как все работало стабильно, без потерь.
Со стороны bras сессии не рвутся, но через tcpdump действительно обнаруживается, что при пинге ( как 32 байта, так и побольше) часть icmp пакетов от проблемных абонентов не доходит.
Менялись mac абонентских устройств, пытались найти mac flapping, менялся mac aging, менялся абонентский ip. Без результатов. Mac таблица за onu не забивается кстати, там не более 8 устройств. Проверялись оптические уровни. Конечно, onu rx -24 и olt rx -26 - это уже почти на грани.
И наверное это отчасти играет роль. Но нюанс с тем, что происходит при замене роутеров, заставляет задуматься. Возможно то, что такое вылезло именно после перехода на gpon - это совпадение. Но есть подозрения, что связь все таки есть. И проблема довольно странная, ранее не встречал.
Ещё стоит сказать, что это далеко уже не первый домовой свич, подключенный по такой схеме. Но проблема пока вылезла именно тут. В общем, хотелось бы услышать мнения опытных ребят, с чем конкретно связаны проблемы.
Прошу не судить сильно по части некоторых решений и высказываний. Я пока не имею солидного опыта и большого багажа знаний. Но буду благодарен за помощь
-
-
Від ubiquiti2024
Продам Точку доступа MikroTik RB912R-2nD-LTm&R11e-LTE
Купив не підійшла.
Стан новий.
ціна 4100 грн
-
Від x-net
Продам вживаний світч Mikrotik CSS326-24G-2S+: 24 мідних гігових та 2 SFP+ порти, вуха, коробка, БЖ. 4 тис. грн.
-
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас