====== IP source guard ====== {{indexmenu_n>1}} ===== Назначение ===== FastDPI BRAS контролирует соответствие VLAN-тегов и IP-адреса абонента. При выдаче IP-адреса через DHCP FastDPI BRAS запоминает VLAN/QinQ-теги абонента во встроенной БД [[dpi:dpi_components:platform:dpi_admin:admin_db#активация_встроенной_udr|UDR]]. В дальнейшем эти данные используются для проверки соответствия source IP пакета и его VLAN-тегов. IP source guard применяется только для исходящего трафика (LAN → WAN). ===== Включение режима ===== Для активации необходимо задать параметр ''bras_ip_source_guard'' в файле fastdpi.conf: * 0 — режим отключен (по умолчанию) * 1 — режим включен и применяется только для активных сессий Если после перезапуска fastDPI состояние сессии неизвестно, IP source guard не применяется и пакет пропускается. ===== Логика обработки пакетов ===== При ''bras_ip_source_guard=1'' пакет пропускается, если: * сессия активна и VLAN-теги пакета совпадают с тегами, зарегистрированными при DHCP * статус сессии неизвестен Во всех остальных случаях пакет дропается. ===== Режим терминации по AS ===== Доступен режим [[dpi:bras_bng:bras_l2_vlan_term:bras_l2_vlan_term_as|терминации по AS]]. В этом режиме IP source guard применяется только к source IP, у которых AS помечена флагом ''term''. ===== Фильтрация по флагам source AS ===== Поддерживается дополнительная фильтрация subs-трафика по флагам AS на направлении subs → inet до этапа обработки пакета. Механизм предназначен для блокирования исходящего от оператора DDoS-трафика с подменой IP-адреса. В fastdpi.conf используется параметр ''ip_filter_source_as_flags'' (hot). В обработку допускаются только пакеты, у которых AS source IP содержит хотя бы один из указанных флагов. В противном случае пакет дропается. Значения флагов (битовая маска): * ''0'' — фильтрация отключена (по умолчанию), ''ip_filter_source_as_flags=0x0'' * ''0x0100'' — pass * ''0x0200'' — local * ''0x0400'' — peer * ''0x0800'' — term * ''0x1000'' — mark1 * ''0x2000'' — mark2 * ''0x4000'' — mark3