Столкнулись с проблемой. Периодически наблюдаем непонятный шторм в сети от клиентов с роутерами. Это порядка 10Мб трафика и 10000 пакетов на исход и прийом. При этом все соседние роутери которые находятся в этом же влане захлебываясь начинают тупить и бросать на порт адрес своего шлюза 192.168.1.1 как факс связка биндов их блочит, а кого не блочит то у того не работает инет. Подскажите кто сталкивался с такой проблемой, как ее решали? На сегодняшний день единственным методом является просмотр графиков. Ах да еще забыл указать в основном такая работа от китайской Tenda. Свитчи 3028 и 3526.

Читайте про traffic control и loopdetect

На нашем горьком опыте с Тенда могу сказать что решили пока так
Tenda W311R+ если рутер с прошивкой v5.07.15 - делаем апдейт на версию прошивки v5.07.25
Tenda W268R если рутер с прошивкой v5.07.15 можно залить v5.07.25
Tenda W309R помогает вот эта прошивка US_W309Rv2BR_V5.07.26_EN.bin
если на тенде прошивка v5.19.08 пока нет решения но замечено что глючат чаше и стабильно рутера с прошивкой v5.07.15
Заливать прошивку через браузер интернетэксплорер

насчет traffic control
устанавливал на свитчах 3526 Broadcast/ Multicast/Unicast/ по 64 не блокировало
возможно что использую прошивку 5.01.B65 и она некоректно отрабатывает traffic control( пока не пробовал на новых прошивках )
Может ктото тестировал

Спасибо, так и боремся. Отключаем клиента, просим перешится или сами шьем. Вот только как бороться с эти мстандартными средствами д-линка. Ведь наш народ в основном утром-обедом сбегал, купил диво-китай, вечером пришел домой, поужинал и давай подключать. И тут в сети счастье....

Мы дополнительно трафик посылаем на левый ип на маршрутизаторе. А по traffic control по сколько пакетов ставите на блокировку?

traffic control ставил 64 не помогает

- что вы имеете ввиду? Это как

С роутеров через UPnP на серваки летел левый трафик из 192.168.0.~ и прочих домашний сетей. Так на подобный трафик тупо отправили маршрутом на левый ип в сети.
ip route 0.0.0.0/0 192.168.192.5
ip route 192.168.0.0/16 192.168.253.7
Тип о так. Серверам значительно легче стало но и выше на всякий случай acl рубим их на доступе к серверам. Может это и грабли но они работают.

просмотрев через снифер дамп этого трафика исходящего от рутеров тенда в момент атаки заметил что source ip изменен и разный - Происходит подмена адреса


так что на свитче 3526 сделал такое правило


profile_id 10 Разрешает получение ip адреса от DHCP устройствам с адресом 0.0.0.0



profile_id 11 разрешающее правило для IP-адреса 172.16.0.14



profile_id 12 запрещающее правило для всех остальных IP-адресов

тоесть я разрешаю один IP-адрес и запретить все остальные

Думаю это заблокирует атаку с подменой source ip - осталось уже засечь если будет происходить атака от рутера от своего адреса.

Пробовали IMPB настраивать?

привязка ip mac нашим требованиям не подходит
Думаю что dhcp snooping поможет лучше