IP source guard [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Свернуть / развернуть всё
  • ODT преобразование
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Свернуть / развернуть всё
  • ODT преобразование
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    Следующая версия    		Предыдущая версия
    dpi:bras_bng:bras_l2_options:bras_l2_vlan_ipsg [2023/10/13 12:30] – удалено - внешнее изменение (Дата неизвестна) 127.0.0.1dpi:bras_bng:bras_l2_options:bras_l2_vlan_ipsg [2026/03/03 14:00] (текущий) – [Назначение] elena.krasnobryzh
    Строка 1: Строка 1:
     +====== IP source guard ======
     +{{indexmenu_n>1}}
      
     +===== Назначение =====
     +FastDPI BRAS контролирует соответствие VLAN-тегов и IP-адреса абонента.
     +
     +При выдаче IP-адреса через DHCP FastDPI BRAS запоминает VLAN/QinQ-теги абонента во встроенной БД [[dpi:dpi_components:platform:dpi_admin:admin_db#активация_встроенной_udr|UDR]]. В дальнейшем эти данные используются для проверки соответствия source IP пакета и его VLAN-тегов.
     +
     +IP source guard применяется только для исходящего трафика (LAN → WAN).
     +
     +===== Включение режима =====
     +Для активации необходимо задать параметр ''bras_ip_source_guard'' в файле fastdpi.conf:
     +
     +  * 0 — режим отключен (по умолчанию)
     +  * 1 — режим включен и применяется только для активных сессий  
     +
     +Если после перезапуска fastDPI состояние сессии неизвестно, IP source guard не применяется и пакет пропускается.
     +
     +===== Логика обработки пакетов =====
     +При ''bras_ip_source_guard=1'' пакет пропускается, если:
     +
     +  * сессия активна и VLAN-теги пакета совпадают с тегами, зарегистрированными при DHCP
     +  * статус сессии неизвестен
     +
     +Во всех остальных случаях пакет дропается.
     +
     +===== Режим терминации по AS =====
     +Доступен режим [[dpi:bras_bng:bras_l2_vlan_term:bras_l2_vlan_term_as|терминации по AS]].  
     +
     +В этом режиме IP source guard применяется только к source IP, у которых AS помечена флагом ''term''.
     +
     +===== Фильтрация по флагам source AS =====
     +Поддерживается дополнительная фильтрация subs-трафика по флагам AS на направлении subs → inet до этапа обработки пакета. Механизм предназначен для блокирования исходящего от оператора DDoS-трафика с подменой IP-адреса.
     +
     +В fastdpi.conf используется параметр ''ip_filter_source_as_flags'' (hot).
     +
     +В обработку допускаются только пакеты, у которых AS source IP содержит хотя бы один из указанных флагов. В противном случае пакет дропается.
     +
     +Значения флагов (битовая маска):
     +
     +  * ''0'' — фильтрация отключена (по умолчанию), ''ip_filter_source_as_flags=0x0''
     +  * ''0x0100'' — pass
     +  * ''0x0200'' — local
     +  * ''0x0400'' — peer
     +  * ''0x0800'' — term
     +  * ''0x1000'' — mark1
     +  * ''0x2000'' — mark2
     +  * ''0x4000'' — mark3