https://www.opennet.me/openforum/vsluhforumID6/15281.html Имеется 7206 NPE G2 с прошивкой C7200P-ADVIPSERVICESK9-M.<br><br>Терминирует PPPoE, пользовательские сети приходят вланами через транковый порт:<br>====<br>interface GigabitEthernet0/3<br> no ip address<br> duplex auto<br> speed auto<br> media-type sfp<br> negotiation auto<br> vlan-range dot1q 1 1024<br> pppoe enable group global<br> exit-vlan-config<br>====<br><br>Заметил тут неприятный момент: если с пользовательского влана устроить страшный флуд ARP-запросами (я запустил из-под линукса arping -w 0), загрузка процессора на циске прыгнула до 90%!<br>show processes cpu:<br>====<br>[cut]<br> 18 0 1 0 0.00% 0.00% 0.00% 0 Crash writer <br> 19 966200 53587340 18 85.25% 58.51% 4.11% 0 ARP Input <br> 20 0 2 0 0.00% 0.00% 0.00% 0 ATM Idle Timer <br>[cut]<br>====<br><br>Понятное дело, что это, мягко говоря, грустно... :( <br><br>Для PPPoE ARP-протокол не нужен, так что с налету в голову приходит полное отключение ARP-а на GigabitEthernet0/3, но как это сделать, я не знаю. https://www.opennet.me/openforum/vsluhforumID6/15281.html#18 Mon, 28 Jan 2008 11:26:18 GMT &gt;&gt;&gt;у меня на 3560G, рабочая конфигурация -&gt;<br>&gt;&gt;Гранд мерси!! <br><br>Поторопился я немного - оказывается, правила можно ставить только на input с интерфейса, а ограничивать весь входящий транк на центральном свитче только одними PPPoE-фреймами - не комильфо.. Ну да ладно, поставим отдельную буферную 3560 между центральным свитчем и точками доступа, только для PPPoE-транков.<br><br>&gt;А Вы мне расскажите, что у Вас там за фаервол на linux <br>&gt;и на сколько он эффективен?<br><br>Да обычный iptables с ipset.. :) Мы на нем отрезаем локальный трафик для пользователей, у которых денег нету на счету. Эффективность высокая, но, правда, заслуга линуха тут невелика - роутер очень мощный.<br><br>Собственно, как решить задачу с вырезанием данных внутри транка средствами линухового netfilter, я не знаю, и, от безысходности, собрался уж загнать транк в бридж и писать свой match-модуль для ebtables. :) Выделенная циска получится дешевле :)<br> https://www.opennet.me/openforum/vsluhforumID6/15281.html#17 Fri, 18 Jan 2008 15:04:59 GMT &gt;&gt;у меня на 3560G, рабочая конфигурация -&gt;<br>&gt;<br>&gt;Гранд мерси!! <br>&gt;Поменяю 2960 на 3560 - проверю. <br><br>А Вы мне расскажите, что у Вас там за фаервол на linux и на сколько он эффективен ?<br> https://www.opennet.me/openforum/vsluhforumID6/15281.html#16 Fri, 18 Jan 2008 14:19:34 GMT &gt;у меня на 3560G, рабочая конфигурация -&gt;<br><br>Гранд мерси!!<br>Поменяю 2960 на 3560 - проверю.<br> https://www.opennet.me/openforum/vsluhforumID6/15281.html#15 Fri, 18 Jan 2008 13:47:42 GMT &gt;[оверквотинг удален]<br>&gt;&gt;можно на коммутаторе просто разрешить только фреймы с PPPoE <br>&gt;<br>&gt;На 2960, как я понял, нельзя создавать правила внутри trunc-ов, у нас <br>&gt;еще есть 3560, на нем можно, но тогда эти правила применяются <br>&gt;на вланы со всех портов сразу, что совершенно не есть решение.. <br>&gt;<br>&gt;<br>&gt;Эээх, эта мелкая проблема у нас тут всю контору раком поставила - <br>&gt;пока единственное решение, что мы нашли, это гнать транковый на C7206 <br>&gt;через линуксовый файрволл.... :-/ <br><br>у меня на 3560G, рабочая конфигурация -&gt;<br><br>mac access-list extended PPPoE<br> permit any any 0x8863 0x0<br> permit any any 0x8864 0x0<br>...<br>interface GigabitEthernet0/21<br> description VLAN-collector<br> switchport trunk encapsulation dot1q<br> switchport trunk allowed vlan 100-199<br> switchport mode trunk<br> switchport block multicast<br> mac access-group PPPoE in<br> no cdp enable<br> https://www.opennet.me/openforum/vsluhforumID6/15281.html#14 Fri, 18 Jan 2008 12:58:14 GMT &gt;ДА в ней есть - IDS. <br><br>Покопался я в инете, но ничего похожего на мой случай не нашел, как либо разрешить для trunc-ового порта только фреймы PPPoE, либо запретить ARP-ы.. Искал, видимо, плохо - тыкните, плиз, в доку.<br><br>&gt;можно на коммутаторе просто разрешить только фреймы с PPPoE <br><br>На 2960, как я понял, нельзя создавать правила внутри trunc-ов, у нас еще есть 3560, на нем можно, но тогда эти правила применяются на вланы со всех портов сразу, что совершенно не есть решение..<br><br>Эээх, эта мелкая проблема у нас тут всю контору раком поставила - пока единственное решение, что мы нашли, это гнать транковый на C7206 через линуксовый файрволл.... :-/<br> https://www.opennet.me/openforum/vsluhforumID6/15281.html#13 Thu, 17 Jan 2008 20:11:25 GMT &gt;&gt;&gt;Dynamic ARP Inspection? <br>&gt;&gt;<br>&gt;&gt;это решение оправданно - до маршрутизатора. <br>&gt;&gt;и лишь как ограничитель общего кол-во ARP-пакетов для интерфейса. <br>&gt;<br>&gt;Тогда IDS + кадры PPPoE. <br><br>я об этом уже говорил.<br> https://www.opennet.me/openforum/vsluhforumID6/15281.html#12 Thu, 17 Jan 2008 20:01:16 GMT &gt;&gt;Dynamic ARP Inspection? <br>&gt;<br>&gt;это решение оправданно - до маршрутизатора. <br>&gt;и лишь как ограничитель общего кол-во ARP-пакетов для интерфейса. <br><br>Тогда IDS + кадры PPPoE.<br> https://www.opennet.me/openforum/vsluhforumID6/15281.html#11 Thu, 17 Jan 2008 19:59:54 GMT &gt;Dynamic ARP Inspection? <br><br>это решение оправданно - до маршрутизатора.<br>и лишь как ограничитель общего кол-во ARP-пакетов для интерфейса.<br><br> https://www.opennet.me/openforum/vsluhforumID6/15281.html#10 Thu, 17 Jan 2008 19:38:23 GMT Dynamic ARP Inspection?<br>