Различия

Показаны различия между двумя версиями страницы.

--- dpi:bras_bng:bras_l2_options:bras_l2_vlan_ipsg [2024/09/26 15:29] – внешнее изменение 127.0.0.1
+++ dpi:bras_bng:bras_l2_options:bras_l2_vlan_ipsg [2026/03/03 14:00] (текущий) – [Назначение] elena.krasnobryzh
@@ Строка 1: / Строка 1: @@
 ====== IP source guard ======
 {{indexmenu_n>1}}
-FastDPI BRAS позволяет контролировать соответствие теги VLAN и IP-адреса для абонентов.
-При выдаче IP-адреса через DHCP fastDPI BRAS запоминает теги VLAN/QinQ абонента в своей БД [[dpi:dpi_components:platform:dpi_admin:admin_db#активация_встроенной_бд|UDR]]
-и в дальнейшем использует эти данные для контроля, соответствует ли IP-адрес источника пакета и VLAN-теги.
-Для включения режима IP source guard следует прописать в fastdpi.conf
+===== Назначение =====
-значение параметра ''bras_ip_source_guard'':
+FastDPI BRAS контролирует соответствие VLAN-тегов и IP-адреса абонента.
-  * 0 – IP source guard не применяется (disabled). Это значение по умолчанию
-  * 1 – IP source guard включен и применяется только для активных сессий. Если сессия находится в неизвестном состоянии (после рестарта fastDPI), то IP source guard не применяется и пакет пропускается.
-Пакет пропускается, если:
+При выдаче IP-адреса через DHCP FastDPI BRAS запоминает VLAN/QinQ-теги абонента во встроенной БД [[dpi:dpi_components:platform:dpi_admin:admin_db#активация_встроенной_udr|UDR]]. В дальнейшем эти данные используются для проверки соответствия source IP пакета и его VLAN-тегов.
-  * ''bras_ip_source_guard=1'': выполняются условия
-    * Сессия активна и VLAN-теги пакета совпадают с зарегистрированными при DHCP-запросе
-    * Статус сессии неизвестен
-Если условия не выполняются, пакет дропается.
+IP source guard применяется только для исходящего трафика (LAN → WAN).
-IP source guard применяется только для исходящего трафика (из LAN в WAN).
+===== Включение режима =====
+Для активации необходимо задать параметр ''bras_ip_source_guard'' в файле fastdpi.conf:
-СКАТ 7.4+: добавлен режим [[dpi:bras_bng:bras_l2_vlan_term:bras_l2_vlan_term_as|терминации по AS]]. В этом режиме IP source guard
+  * 0 — режим отключен (по умолчанию)
-применяется только для source IP, у которых AS помечена как ''term''.
+  * 1 — режим включен и применяется только для активных сессий
+Если после перезапуска fastDPI состояние сессии неизвестно, IP source guard не применяется и пакет пропускается.
+===== Логика обработки пакетов =====
+При ''bras_ip_source_guard=1'' пакет пропускается, если:
+  * сессия активна и VLAN-теги пакета совпадают с тегами, зарегистрированными при DHCP
+  * статус сессии неизвестен
+Во всех остальных случаях пакет дропается.
+===== Режим терминации по AS =====
+Доступен режим [[dpi:bras_bng:bras_l2_vlan_term:bras_l2_vlan_term_as|терминации по AS]].
+В этом режиме IP source guard применяется только к source IP, у которых AS помечена флагом ''term''.
+===== Фильтрация по флагам source AS =====
+Поддерживается дополнительная фильтрация subs-трафика по флагам AS на направлении subs → inet до этапа обработки пакета. Механизм предназначен для блокирования исходящего от оператора DDoS-трафика с подменой IP-адреса.
+В fastdpi.conf используется параметр ''ip_filter_source_as_flags'' (hot).
+В обработку допускаются только пакеты, у которых AS source IP содержит хотя бы один из указанных флагов. В противном случае пакет дропается.
+Значения флагов (битовая маска):
+  * ''0'' — фильтрация отключена (по умолчанию), ''ip_filter_source_as_flags=0x0''
+  * ''0x0100'' — pass
+  * ''0x0200'' — local
+  * ''0x0400'' — peer
+  * ''0x0800'' — term
+  * ''0x1000'' — mark1
+  * ''0x2000'' — mark2
+  * ''0x4000'' — mark3

Аккаунт

Настройки

Различия