Перейти до

Флуд в сети - поиск возможных причин


Рекомендованные сообщения

В 18.08.2023 в 21:13, Dimkers сказал:

Яебу.... Ты сурьезно? А ты хоть раз видел как выглядит вывод "шоу мак адрес тэйбл" на свиче? Там то разные вланы вроде как есть... Ну это если не строить сеть, как любят фанаты Винбокса и разделять вланы управления и абонентов...

И это пишет чел, который собрался разбираться с разделением контрол и дата плейнов через ВРФ....

А ты серьёзно, такой идиотский вопрос задавать? Более идиотский ответ, но как раз по уровню - "в CLI не бывает кириллицы".

Я тут хотел другую тему развить, но посмотрел на твой срач дальше, про облов и прочую фигню в теме про флуд, и решил, что того не стоит. Пока "ослы" вроде тебя топят за понятия "по-старинке" (это я про тазики и прочие решения, за которые ты топишь), игнорируя более выгодные и актуальные решения, другие делают деньги, расширяют опыт.

 

Так вот, о теме топика: как бороться с флудом в сети? QinQ - да, решение, если вся сеть "видна", нет чёрных ящиков и легаси. А если не так, какие методы локализации безобразия?

Если не говорить о технических решениях, а о процессах, к примеру?

З.ы. Видел одно гениальное решение: человек зеркалил трафик с аплинка, далее скриптом на перле (!) парсил и таким образом мониторил мусор и аномалии. Говорил, что это его авторское решение и он будет его продавать. Далекий 2015ый год.

Відредаговано Kiano
Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 82
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

А в случае куинку - вообще пофику. Про дизайн сети поржал. Когда то была такая штука - куча материнок(asrock вроде) с завода имела на сетевухе один МАС на тысячах партий. Ну или всякие там любите

Ненене. Стапэ. Unknown unicast может наливаться в чужие порты того же влана. Если мусорный трафик бегает между вланами - значит корневым маршрутизатором работает или микротик, или фрибсд с бриджа

Если в сети есть старые тенды, с "некрасивым" веб-интерфейсом (не знаю как верно описать), вобщем старье 10-летней давности. Их отличительная черта - если их пинговать то TTL=128. Это говно флудит и л

Posted Images

В 18.08.2023 в 22:10, KaYot сказал:

Да, я тут прикинул в уме. На свиче агрегации все порты имеют разные  svid. Одинаковые маки не влияют вообще ни на что, все так же льется в 1 порт.

Ну вот, у меня была ситуация с 3420 длинком, с qinq. Пока трафик был небольшой, незаметно было вовсе. По идиотскому совпадению, было несколько одинаковых маков. И так и происходило, что трафик лился сразу в несколько портов. Типа как проблема в дешёвых свитчах с коллизией, но иначе.

Однажды канал уперся в полку, и мы несколько дней пытались понять, почему так? Пр чем по графикам было видно, что в одинаковое время. По итогу, из-за лени или чего ещё, поменяли маки. Проблема решилась, но загадка осталась. Лишь спустя несколько месяцев, при похожей проблеме, но на каком-то китайце свитче, увидели похожее и наш бородатый расковырял сие явление. Вроде бы, потом это как-то в прошивке решили, но это не точно.

Кстати, в микроте до сих пор не сделали selective qinq )) решается дикими костылями и без hw offload 

Ссылка на сообщение
Поделиться на других сайтах
9 часов назад, Kiano сказал:

Пока "ослы" вроде тебя топят за понятия "по-старинке" (это я про тазики и прочие решения, за которые ты топишь), игнорируя более выгодные и актуальные решения, другие делают деньги, расширяют опыт.

На чем опыт? На микротике и Винбоксе? А ну расскажи про выгодные и актуальные решения для например 20Гб трафика абонентов, которые сливаются к серверной стойке, я с удовольствием послушаю про стопку микротиков вместо одного 1U сервера за 500у.е. или 2-х по 200у.е.. Заметь, не тазика, а вполне промышленного сервера, с 48DC питанием. Чем покроешь?

Вот ты идешь к шефу и гришь - шеф, все тлен, для такого решения нужно 5 микротиков 1036 по 1К у.е., т.к. для выполнения функций: 1 на 10Г НАТ, 1 на терминацию и шейп 10Г трафика. + 1 в резерв в стойку на случа сраки. Итого 5*1К = 5К.

Идет человек с решением линукса - шеф, нужно 2 сервака по 500у.е. для всего(это уже с горячим резервом). Итого 1К. А на разницу решений мы вооон там и там модернизируем узел и переведем на ПОН. Ну или вы с женой сгоняете в отпуск.

Что выберет шеф?

9 часов назад, Kiano сказал:

если вся сеть "видна", нет чёрных ящиков и легаси. А если не так, какие методы локализации безобразия?

Какое Легаси, какие черные ящики? Тупари? Так не ставь. Про какое легаси разговор? Переделай сеть так, чтобы не было этих черных ящиков.

Так то с черными ящиками и легаси может быть ВСЕ что угодно. И никакая технология там не спасет, хоть ты их все вместе юзай.

Главное правило - разделять и мониторить. Если нельзя мониторить твое легаси/черный ящик и проблема возникает после него, то явно в нем проблема, иди и копай там. Ну просто же.

Другое дело, что не вся оборудка может отдавать те же дропы пакетов... И ты их просто не увидишь... Но это уже опыт...

 

В старые добрые времена тупарей, методом локализации был монтажник на середине проблемной части сети и далее по принципу бинарного дерева, путем отключения кабелей от портов тупарей, искалась проблема. Со временем, мир пришел к управляхам а затем ПОНу и все упростилось в разы. Именно поэтому я и топлю за них, а не за черные ящики из тупарей.

 

Про скрипты на перле.... Тут опять косяк в сторону твоего любимого микротика, т.к. нормально торч не может дампать трафик, так, поверхностно. А тот же Линукс сервер - вполне себе можно стать в любой влан и посмотреть что там. Но опять же- это все время+нужно хотябы понимать куда смотреть. Когда у тебя в одном влане кучка абонов, один может гадить. Да например поднимет тот же ДХЦП сервер у себя и все. Ну или роутер раком воткнет(ЛАН на ружу). И что? Ну поснифал ты, увидел что есть левый сервер с МАСом, которого нет у тя в базе(т.к. бридж имеет совершенно отличный от ВАН МАС). И все. Что дальше? Такую штуку можно снупингом побороть, но тупарь это все равно не умеет)))

Ну или абон создает кучу соединений(скан портов, вирусня) НАТ(тот самый контрак). Как ты их собрался в микротике вычислять и мониторить?

 

Еще про всякие скрипты на переле - давно есть СОВ. Они настраиваются и выявляют аномалии. Но для многих провов это лишнее, разве что свою инфраструктуру защитить, но уж никак не абонов.

 

9 часов назад, Kiano сказал:

Кстати, в микроте до сих пор не сделали selective qinq )) решается дикими костылями и без hw offload 

Да, и решатся будет еще долго. Учитывая их настрой в сторону догнать всех по БГП )) Догнать по БГП - догнали, но вот с остальным стало все очень плоховато....

Відредаговано Dimkers
  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
8 часов назад, Kiano сказал:

Ну вот, у меня была ситуация с 3420 длинком, с qinq. Пока трафик был небольшой, незаметно было вовсе. По идиотскому совпадению, было несколько одинаковых маков. И так и происходило, что трафик лился сразу в несколько портов. Типа как проблема в дешёвых свитчах с коллизией, но иначе.

Однажды канал уперся в полку, и мы несколько дней пытались понять, почему так? Пр чем по графикам было видно, что в одинаковое время. По итогу, из-за лени или чего ещё, поменяли маки. Проблема решилась, но загадка осталась. Лишь спустя несколько месяцев, при похожей проблеме, но на каком-то китайце свитче, увидели похожее и наш бородатый расковырял сие явление. Вроде бы, потом это как-то в прошивке решили, но это не точно.

Ну ОК. 2 МАСа в разных портах. И что? Какой аплинк в полке? Потому как кадр прилетит с аплинка и разлетится в 2 порта. Аплинку пофик, т.к. он принимает все тот же один кадр. А вот если один из даунлинков изза этого в полке - ну так дядя, у тебя должны быть графики с этих портов и ты сразу видишь где полка...

И поять же, это верно, когда у тебя SVID на этих 2-х портах одинаковый, т.к. если разный - то кадр придет с определенного SVID и улетит лишь в один порт. Т.е. можно сделать вывод о бедстайле сетки:rolleyes:

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
8 часов назад, Dimkers сказал:

На чем опыт? На микротике и Винбоксе? А ну расскажи про выгодные и актуальные решения для например 20Гб трафика абонентов, которые сливаются к серверной стойке, я с удовольствием послушаю про стопку микротиков вместо одного 1U сервера за 500у.е. или 2-х по 200у.е.. Заметь, не тазика, а вполне промышленного сервера, с 48DC питанием. Чем покроешь?

Вот ты идешь к шефу и гришь - шеф, все тлен, для такого решения нужно 5 микротиков 1036 по 1К у.е., т.к. для выполнения функций: 1 на 10Г НАТ, 1 на терминацию и шейп 10Г трафика. + 1 в резерв в стойку на случа сраки. Итого 5*1К = 5К.

Идет человек с решением линукса - шеф, нужно 2 сервака по 500у.е. для всего(это уже с горячим резервом). Итого 1К. А на разницу решений мы вооон там и там модернизируем узел и переведем на ПОН. Ну или вы с женой сгоняете в отпуск.

Что выберет шеф?

Какое Легаси, какие черные ящики? Тупари? Так не ставь. Про какое легаси разговор? Переделай сеть так, чтобы не было этих черных ящиков.

Так то с черными ящиками и легаси может быть ВСЕ что угодно. И никакая технология там не спасет, хоть ты их все вместе юзай.

Главное правило - разделять и мониторить. Если нельзя мониторить твое легаси/черный ящик и проблема возникает после него, то явно в нем проблема, иди и копай там. Ну просто же.

Другое дело, что не вся оборудка может отдавать те же дропы пакетов... И ты их просто не увидишь... Но это уже опыт...

 

В старые добрые времена тупарей, методом локализации был монтажник на середине проблемной части сети и далее по принципу бинарного дерева, путем отключения кабелей от портов тупарей, искалась проблема. Со временем, мир пришел к управляхам а затем ПОНу и все упростилось в разы. Именно поэтому я и топлю за них, а не за черные ящики из тупарей.

 

Про скрипты на перле.... Тут опять косяк в сторону твоего любимого микротика, т.к. нормально торч не может дампать трафик, так, поверхностно. А тот же Линукс сервер - вполне себе можно стать в любой влан и посмотреть что там. Но опять же- это все время+нужно хотябы понимать куда смотреть. Когда у тебя в одном влане кучка абонов, один может гадить. Да например поднимет тот же ДХЦП сервер у себя и все. Ну или роутер раком воткнет(ЛАН на ружу). И что? Ну поснифал ты, увидел что есть левый сервер с МАСом, которого нет у тя в базе(т.к. бридж имеет совершенно отличный от ВАН МАС). И все. Что дальше? Такую штуку можно снупингом побороть, но тупарь это все равно не умеет)))

Ну или абон создает кучу соединений(скан портов, вирусня) НАТ(тот самый контрак). Как ты их собрался в микротике вычислять и мониторить?

 

Еще про всякие скрипты на переле - давно есть СОВ. Они настраиваются и выявляют аномалии. Но для многих провов это лишнее, разве что свою инфраструктуру защитить, но уж никак не абонов.

 

Да, и решатся будет еще долго. Учитывая их настрой в сторону догнать всех по БГП )) Догнать по БГП - догнали, но вот с остальным стало все очень плоховато....

Не, ну ты если просто беса прогнать - то я пасс. Я не силён в стендапе.

Микрот 20ж потянет, это не вопрос. Но это фуфловое решение. Рассказывать про надёжность фряхи/линуха - нинада, плавали, знаем. Микрот - ну явно не для 20ж, хотя сам видел в дц свитчи микрота. 

Но я поставлю циску/джун/а10 (нужное подчеркнуть), заложу на это не 500$, а 5000$, получу sla, гарантии от поставщиков, проработаю риск-менеджмент, заложу пространство на рост (масштабирование), разработаю план bcp/drp, максимально формализую процессы, подключу BI, пропишу стратегию развития, стратегию кибербез, функцию внутр аудита, иными словами доведу матюрити до максимально возможного уровня. А если необходимо и это выгоднее по ряду условий, например, то предложу линух на тазике, но это не точно.

 

А вот когда всё остоебёт - продам бизнес большому игроку, а мой коэф. (в том числе) не будет таять на глазах. В 2017 я слушал Шевчука, он мне говорил примерно тоже самое, а я дупля не отбивал о чем он вещает. Лишь спустя годы начало доходить. Я тоже тогда топил за тазики/микротики, тут лучше меньше, а туда больше. По факту, оно так не работает. Кстати, сюда же (пару слов лирики), про то, что "руководство тупорылое", покупает не то что надо, в рекламу херячат много, а я инженер знаю лучше, надо серваки лучшы!!11

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах

У тебя что-то сломалось

1 час назад, Kiano сказал:

Микрот 20ж потянет, это не вопрос. Но это фуфловое решение. Рассказывать про надёжность фряхи/линуха - нинада, плавали, знаем. Микрот - ну явно не для 20ж, хотя сам видел в дц свитчи микрота. 

Свич тут при чем? Мы про роутер как бы. Терминация, НАТ, шейпинг... Какой микрот потянет эту тройку на 20Г? Никакой? ))

 

1 час назад, Kiano сказал:

Но я поставлю циску/джун/а10 (нужное подчеркнуть), заложу на это не 500$, а 5000$, получу sla, гарантии от поставщиков, проработаю риск-менеджмент, заложу пространство на рост (масштабирование), разработаю план bcp/drp, максимально формализую процессы, подключу BI, пропишу стратегию развития, стратегию кибербез, функцию внутр аудита, иными словами доведу матюрити до максимально возможного уровня. А если необходимо и это выгоднее по ряду условий, например, то предложу линух на тазике, но это не точно.

Ты вначале разберись с МАСами и SVIDами без привлечения бородатого.... Ну и заодно с методами как с флудами всякими бороться... а не смотреть на перл скрипты долбаебов, которые не осилили нормальный мониторинг с алярмами настроить... А потом мечтай.

 

1 час назад, Kiano сказал:

По факту, оно так не работает. Кстати, сюда же (пару слов лирики), про то, что "руководство тупорылое", покупает не то что надо, в рекламу херячат много, а я инженер знаю лучше, надо серваки лучшы!!11

Тебе бы разок поработать в нормальной компании.... А не в чердакнетах с ублюдочный руководством... Ну и научиться доносить руководству целесообразность решений, выгоды, плюсы и минусы... Из того что ты пишешь - вывод совершенно иной.

Відредаговано Dimkers
  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, Dimkers сказал:

У тебя что-то сломалось

Свич тут при чем? Мы про роутер как бы. Терминация, НАТ, шейпинг... Какой микрот потянет эту тройку на 20Г? Никакой? ))

 

Ты вначале разберись с МАСами и SVIDами без привлечения бородатого.... Ну и заодно с методами как с флудами всякими бороться... а не смотреть на перл скрипты долбаебов, которые не осилили нормальный мониторинг с алярмами настроить... А потом мечтай.

 

Тебе бы разок поработать в нормальной компании.... А не в чердакнетах с ублюдочный руководством... Ну и научиться доносить руководству целесообразность решений, выгоды, плюсы и минусы... Из того что ты пишешь - вывод совершенно иной.

Да ниче у меня не сломалось. Таки было ради прогнать беса, ага? 

 

5гбит ната тянул старый 1036 на старой конченой рос6. Думаю что сучасний 2116 20ж потянет, на рос7. Но это ж каким жлобом и дураком надо быть, чтобы в такой энвайрмент втулить микрот? Микрот явно не того сегмента железо. Как аналогия из жизни - как-то с корешем на ланосе что-то около 180 ехали (я молился чтобы выйти из машины по своей воле). А чел уверял, что и 200 поедет.

Хотя я все равно не пойму вот этого глупого мастодонтского отношения к микротикам: не знаю, но осуждаю.

 

Еще аналогия: жд терминал, элеватор, между весовой и рельсами у*уйкали кабель, восстановить в разумные сроки - никак. Микротиками и его гениальным eoip решили вопрос за 100$ и несколько часов. После, притащили подрядчика, те посчитали 10$к+ только за работу по прокладке новой линии (там система старье ужасное, но иначе никак).

Директор элеватора готов был в ж#пу целовать за такое дешёвое решение и до конца не верил, что так можно. А можно было кривить еб#$о и орать, что микротик говно и низашто, никагда, нит! И предложить РРЛ, ведь это же правильно, надёжно, чо. Или наоборот, на скрутке между шпалами кабель протянуть, дёшево же, чо, и не нужно ниче покупать. А за остальные деньги купите себе фейерверк и пива, да Гале на весовой новый велик купите.

 

Я вот тебя ниразу не видел, лично не знаю, может ты и неплохой человек, но сцуко, напоминаешь манерой вот того "иммолейт импрувед", Ворон, или как там ))

 

Предлагаю срач окончить и задонатить на ЗСУ.

Відредаговано Kiano
  • Like 2
Ссылка на сообщение
Поделиться на других сайтах
10 часов назад, Kiano сказал:

5гбит ната тянул старый 1036 на старой конченой рос6. Думаю что сучасний 2116 20ж потянет, на рос7

Терминацию+НАТ+шейп? 2116? на АРМе и марвеле? :D Это замена ушедшему в архив 1036, не более...

К слову, знаешь чего железки на Tile канули в лету? Потому как Tilerа выкупил Меланокс, а Меланокс потом купила Нвидия. После этого, лет 5 назад, поддержка тайлов была выпилена из ненавистных тобой линуксов и все, началась эра АРМ, т.к. тайл для микротика стал все.... Оттого и появилось РОС7 и куча девайсов на АРМе с Марвелом...

Но тут снова движ. Нвидия хотит купить АРМ. И угадай каких драйверов(да и скорее всего в принципе чипов) в ядре не будет после покупки? )))

10 часов назад, Kiano сказал:

что микротик говно и низашто, никагда, нит!

Я этого не говорил. Я говорил что в Ынтерпрайзе его нет, ну и в провайдинге это решение узконаправленное, потому как есть решения с бОльшим качеством, лучшим функционалом и с меньшим прайсом для основных задач. А если у прова основная задача - построить ЕоИП тунели - то это не пахнет провайдерством, а пахнет услугой по объединению офисов\филиалов\устройств.... С таким же успехом установку видеонаблюдения можно к провайдингу приравнять ))

 

10 часов назад, Kiano сказал:

жд терминал, элеватор, между весовой и рельсами у*уйкали кабель

Так это все то же СОХО, а не про операторов связи\энтерпрайз...

 

10 часов назад, Kiano сказал:

Хотя я все равно не пойму вот этого глупого мастодонтского отношения к микротикам: не знаю, но осуждаю.

Еще раз, в качестве сервера терминации+НАТ+шейп+динамикроутинг - микротик пасет задних. Оно вполне приемлимо для решения задач на элеваторах, объединений офисов, камер, построения чердакнетов и прочей СОХО лабуды. Это свой рынок, да. Но в телекоме есть куда более стабильные и выгодные в соотношении цена\качество\функционал штуки.

 

Відредаговано Dimkers
  • Like 1
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від prototip
      Куплю сеть.
    • Від YuriyH
      Продам комутатор Edge-core ECS4100-28T (L2, 24x10/100/1000Base-T, 4x1G SFP)  , новий 
      Ціна 8000 грн з ПДВ , безготівка
      Є в наявності 2шт.
    • Від Javamslx
      Київ потрібен інтернет (волокно) під відеонагляд
      Дві точки Голосієво, Святошино 
      https://maps.app.goo.gl/yMETWNBCqxYvNNWo9?g_st=iv
       
      https://maps.google.com/maps?q=loc:50.49005,30.38276
    • Від malenkuy
      Комутатори керовані HUAWEI S2326TP-EI
      В наявності 200шт.
      Ціна 1700грн/шт
      Всі перевірені, без битих портів, в дефолті!
      Кріплення в стійку і кабель живлення в комплекті!

      Відправка по всій Україні! (Нова пошта, Укрпошта, Делівері).

      Спосіб оплати: Перерахунок на ФОП, картка приватбанк або монобанк, оплата при отримані!

       





    • Від Pastor911
      Продам свитчи L2 FiberHome s4800 и s4820 2000 грн.шт
      В комплекте шнуры и уши


×
×
  • Створити нове...