From juliao at braga.eti.br Fri Aug 1 10:26:56 2008 From: juliao at braga.eti.br (=?iso-8859-1?Q?Juli=E3o_Braga?=) Date: Fri, 1 Aug 2008 10:26:56 -0300 Subject: [GTER] =?iso-8859-1?q?D=FAvida_sobre_verifica=E7=E3o_de_status_de?= =?iso-8859-1?q?_DNS?= References: <8212cbca0807310408g1e5bf1fcoeb00c7da9c59a14e@mail.gmail.com> <20080731182725.GD84823@registro.br> Message-ID: <512B02716E7B449BA070354ECC3A706F@pegasus.com.br> Uma d?vida, Fred: Se eu fa?o apenas altera??es internas na zona, n?o ? necess?rio esperar publica??o do Registro.br, desde que meus servidores de DNS estejam respondendo por tais altera??es. Procede? Obrigado, Juli?o --- Pegasus Telecom > hoje por > exemplo irei mudar no DNS da empresa1 os ips publicos do > meu servidor de e-mail, essa altera??o estar? disponivel em 30 > minutos ? isso ?? Sim. > Obrigado pela ajuda. > > Thiago Gomes Fred From henrique.holschuh at ima.sp.gov.br Fri Aug 1 11:04:36 2008 From: henrique.holschuh at ima.sp.gov.br (Henrique de Moraes Holschuh) Date: Fri, 01 Aug 2008 11:04:36 -0300 Subject: [GTER] Conversores DC/DC (-48 p/ 5v e 12v) In-Reply-To: <9c0c824e0807241215k5c6ab3c3o4704e1d7799a250c@mail.gmail.com> References: <4a2b01ca0807240727y4fa0cef0o3b672bfd6b9b1b1f@mail.gmail.com> <4888A3DE.3090802@plotrf.com.br> <4888BB6D.3000404@plotrf.com.br> <9c0c824e0807241215k5c6ab3c3o4704e1d7799a250c@mail.gmail.com> Message-ID: <489317F4.7070007@ima.sp.gov.br> Emiliano Martins wrote: > Nenhum engenheiro em s? consci?ncia faria uma coisa dessas, mas existem > muitos "t?nicos" por a? que fazem... Muito pelo contr?rio. Se a situa??o pedisse isso (o que, admito, n?o ? comum), um engenheiro bom faria esse tipo de coisa sim, mas ?nica e exclusivamente em situa??o segura, marcaria as entradas todas com referencial de terra (ou seja, -12V, -5V, -48V), e documentaria apropriadamente. N?o tem nada de gambiarra nisso. O que nenhum engenheiro ?tico faria ? recomendar um neg?cio destes para um cliente "atrapalhado", por motivos ?bvios: o cliente vai mexer sem saber o que est? fazendo e sem olhar a documenta??o, e causar algum incidente. Nota: voc? utiliza o equipamento (isolado, etc) de "+12V" ligado "invertido" no barramento de "-12V". Mas voc? definitivamente N?O MENTE na marca??o do barramento (escrevendo que ? +12V) nem inverte a polaridade do barramento. Nem mente nas sa?das e entradas do equipamento (v?o ser negativas), etc. Embora se o equipamento possuir entradas e sa?das, seja quase sempre melhor id?ia colocar um conversor DC-DC de -48V para +12V e +5V mesmo. -- Henrique de Moraes Holschuh IM@ - Inform?tica de Munic?pios Associados Projetos Especiais TEL +55-19-3739-6055/CEL +55-19-9293-9464 From itamar at ispbrasil.com.br Fri Aug 1 11:00:39 2008 From: itamar at ispbrasil.com.br (Itamar - IspBrasil) Date: Fri, 01 Aug 2008 11:00:39 -0300 Subject: [GTER] =?iso-8859-1?q?D=FAvida_sobre_verifica=E7=E3o_de_status_de?= =?iso-8859-1?q?_DNS?= In-Reply-To: <512B02716E7B449BA070354ECC3A706F@pegasus.com.br> References: <8212cbca0807310408g1e5bf1fcoeb00c7da9c59a14e@mail.gmail.com> <20080731182725.GD84823@registro.br> <512B02716E7B449BA070354ECC3A706F@pegasus.com.br> Message-ID: <48931707.2040304@ispbrasil.com.br> sim procede, se o registro.br ja aponta para a sua maquina entao nao precisa mexer mais no registro.br a suas alteracoes poderao demorar algum tempo para se propagar dependendo da TTL que vc utilizar no seu servidor de DNS Juli?o Braga wrote: > Uma d?vida, Fred: > > Se eu fa?o apenas altera??es internas na zona, n?o ? necess?rio > esperar publica??o do Registro.br, desde que meus servidores de DNS > estejam respondendo por tais altera??es. Procede? > > Obrigado, > > Juli?o > --- > Pegasus Telecom From fabiosk at gmail.com Fri Aug 1 14:24:36 2008 From: fabiosk at gmail.com (=?WINDOWS-1252?Q?=DF10f@_=86=86K?=) Date: Fri, 1 Aug 2008 14:24:36 -0300 Subject: [GTER] redundancia ADSL In-Reply-To: <1324e07e0807311721t7e191727jfd9f4dc38c299524@mail.gmail.com> References: <4886478C.1050101@ispbrasil.com.br> <4887C807.1060800@gmail.com> <200807241000.20108.andre.ramoni@gmail.com> <1324e07e0807251204r358d00ffqda51e65a06b1cffd@mail.gmail.com> <7a5465360807310529r3703c61bw19787b6d17694a13@mail.gmail.com> <1324e07e0807311721t7e191727jfd9f4dc38c299524@mail.gmail.com> Message-ID: <7a5465360808011024x66ab1c8agfc88fa693348ed26@mail.gmail.com> Felipe obrigado pela documenta??o vai ser de grande utilidade. E boa sorte na implementa??o. Att. Fabio Luiz Analista de Suporte Linux Nova Prestech.net(www.prestech.net) 2008/7/31 Felipe Munhoz > Ol? agrade?o a todos pelas contribui??es enviadas, infelizmente tive um > contratempo em um dos links da empresa e n?o estou podendo realizar os > testes. > > Assim que possivel vou testar as sugest?es dadas. > > > 2008/7/31 ?10f@ ??K > > > Boa Tarde a Todos, > > > > Venho j? a um tempo lendo est? discuss?o e feito muito interessado nesse > > comentario que foi feito por voc? Felipe e estou com uma demanda de fazer > > um > > script para excerce exatamente essa fun??o de redundancia e vi que o seu > > script pode ser bastante util. Estou ate criando um similar e desculpa > at? > > a > > minha ignorancia eu gostaria de saber qual ? exatamente o significado das > > vareaveis abaixo > > > > 2008/7/25 Felipe Munhoz > > > > > # ip route replace default scope global via $GW2 dev $EXTIF2 > > > > > > ou > > > > > > # ip route replace default scope global via $GW1 dev $EXTIF1 > > > > > > > > > > > > > > > > onde voc? coloco $GW? ? o ip do Gateway pois reparei que voc? designa a > > interface qual ?, e normalmente voc? designa ou a interface ou o ip do > > Gateway Gostaria muito de tirar essa duvida sera de grande utilidade. > > > > > coloquei em um script bash mais ou menos assim: > > > #!/bin/bash > > . /etc/net-confs > > ip route replace default scope global via $GW2 dev $EXTIF2 > > ... > ... > > e nesse arquivo /etc/net-confs > > #!/bin/bash > > GW2=192.168.1.1 # gateway > EXTIF2=eth1 > > > > d? uma olhada nessa pagina de documenta??o: > > > http://www.linux.org/docs/ldp/howto/Adv-Routing-HOWTO/lartc.rpdb.multiple-links.html > > foi dela que tirei! > > > > > > > > E outra seria perguntar se no seu script na hora q vc mando o comando: > > # ip route add default scope global nexthop via $GW1 dev $EXTIF1 weight > $W1 > > nexthop via $GW2 dev $EXTIF2 weight $W2 > > > > o peso para cada rota foi o mesmo? ou n?o > > > > sim foi sempre o mesmo, j? que n?o mudou a capacidade dos links > > assim que conseguir implementar (se conseguir!) eu explico melhor. > > > > > > > Obrigado > > > > Att. > > > > Fabio Luiz > > Analista de Suporte Linux > > Nova Prestech.net(www.prestech.net) > > -- > > gter list https://eng.registro.br/mailman/listinfo/gter > > > > > > -- > Felipe Natale Munhoz > Ci?ncia da Computa??o > N?cleo de Apoio a Projetos de Inform?tica > Centro Polit?cnico > Universidade Cat?lica de Pelotas > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From Rochele at unisinos.br Fri Aug 1 19:10:27 2008 From: Rochele at unisinos.br (Rochele Moreira) Date: Fri, 01 Aug 2008 22:10:27 +0000 Subject: [GTER] Roteamento pelo origem no JUNOS Message-ID: Ol? pessoal, preciso de ajuda para configurar roteamento pela origem no JUNOS. Algu?m, por favor, teria uma receita de bolo gen?rica para mim? Grata, Rochele Rochele A. S. Moreira UNISINOS - GSI/Infra-estrutura www.unisinos.br - 51 3590-8386 inoc 19611*100 - ramal int. 1886 Antes de imprimir, pense em sua responsabilidade com o MEIO AMBIENTE. -- Esta mensagem foi verificada pelo sistema de antiv?rus e acredita-se estar livre de perigo. From leandro at limaesilva.com.br Fri Aug 1 10:34:01 2008 From: leandro at limaesilva.com.br (Leandro Pereira de Lima e Silva) Date: Fri, 1 Aug 2008 10:34:01 -0300 Subject: [GTER] =?iso-8859-1?q?D=FAvida_sobre_verifica=E7=E3o_de_status_de?= =?iso-8859-1?q?_DNS?= In-Reply-To: <512B02716E7B449BA070354ECC3A706F@pegasus.com.br> References: <8212cbca0807310408g1e5bf1fcoeb00c7da9c59a14e@mail.gmail.com> <20080731182725.GD84823@registro.br> <512B02716E7B449BA070354ECC3A706F@pegasus.com.br> Message-ID: <761ea0990808010634l73e5fbfev166019195702162d@mail.gmail.com> Voc? precisa tomar cuidado com o TTL quando voc? vai mudar um endere?o importante (o do site da sua empresa, o do seu servidor de e-mail) que pode estar no cache de algu?m. []s Leandro 2008/8/1 Juli?o Braga > Uma d?vida, Fred: > > Se eu fa?o apenas altera??es internas na zona, n?o ? necess?rio esperar > publica??o do Registro.br, desde que meus servidores de DNS estejam > respondendo por tais altera??es. Procede? > > Obrigado, > > Juli?o > --- > Pegasus Telecom > > hoje por >> exemplo irei mudar no DNS da empresa1 os ips publicos do >> meu servidor de e-mail, essa altera??o estar? disponivel em 30 >> minutos ? isso ?? >> > > Sim. > > Obrigado pela ajuda. >> >> Thiago Gomes >> > > Fred > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- Leandro Pereira de Lima e Silva From juliano at cyberweb.com.br Fri Aug 1 20:18:52 2008 From: juliano at cyberweb.com.br (Juliano Primavesi - Cyberweb Networks) Date: Fri, 01 Aug 2008 20:18:52 -0300 Subject: [GTER] Switch-Router X Router Message-ID: <489399DC.3070603@cyberweb.com.br> Boa Noite, Alguem conhece algum comparativo entre switch-router e router disponivel na Internet, ou possui experiencia para comentar o fato de optar por utilizar por exemplo um switch Black Diamond da Extreme Networks, ou ainda um X450 (com bgp, mas sem full routing) X Juniper J6350 ou M10? No caso em quest?o, todas as interfaces necess?rias s?o fibra ou ethernet. Pontos que j? foram levantados: - Juniper possui firewall, switches da Extreme nao - Switches comutam uma quantidade MUITO maior de pacotes - Ambos rodam vrrp, bgp e outros protocolos necessarios para o projeto Juliano From rubensk at gmail.com Sat Aug 2 01:11:37 2008 From: rubensk at gmail.com (Rubens Kuhl Jr.) Date: Sat, 2 Aug 2008 01:11:37 -0300 Subject: [GTER] Switch-Router X Router In-Reply-To: <489399DC.3070603@cyberweb.com.br> References: <489399DC.3070603@cyberweb.com.br> Message-ID: <6bb5f5b10808012111g356a656yb0dbb2d9e4b0b3e@mail.gmail.com> > Alguem conhece algum comparativo entre switch-router e router disponivel na > Internet, ou possui experiencia para comentar o fato de optar por utilizar > por exemplo um switch Black Diamond da Extreme Networks, ou ainda um X450 > (com bgp, mas sem full routing) X Juniper J6350 ou M10? > > No caso em quest?o, todas as interfaces necess?rias s?o fibra ou ethernet. > > Pontos que j? foram levantados: > > - Juniper possui firewall, switches da Extreme nao > - Switches comutam uma quantidade MUITO maior de pacotes > - Ambos rodam vrrp, bgp e outros protocolos necessarios para o projeto A quest?o n?o ? gen?rica de switch-router x router, mas desses em particular... genericamente, a diferen?a ? apenas da capacidade de convers?o entre encapsulamentos diferentes. Em fibra voc? n?o especificou se as interfaces s?o FE, STM-1, STM-4, GigE, STM-16 etc.; dos modelos que voc? citou, apenas o Juniper s?rie M suporta STM-x. Os switch-routers da Extreme tem como caracter?stica mandar sempre o primeiro pacote de um fluxo ou para um certo IP destino para a CPU, o que os tornam switch-routers bem menos interessantes do que modelos como Cisco 4500, Cisco 6500 ou Juniper EX 3200, pois eles podem capotar junto com o resto da sua estrutura num caso de DoS. Quanto a firewall, Extreme tamb?m tem ACLs, assim como o M10 padr?o. O M10 com m?dulo ASM tem stateful-firewall, "but that costs extra". Rubens From Bruno at openline.com.br Sat Aug 2 07:30:51 2008 From: Bruno at openline.com.br (Bruno at openline.com.br) Date: Sat, 02 Aug 2008 07:30:51 -0300 Subject: [GTER] Dúvida sobre verificação de status de DNS Message-ID: <1217673051427.Bruno@openline.com.br> Ola N?o esquecer de incrementar o serial number da zona! !3runo --- Itamar - IspBrasil escreveu: > a suas alteracoes poderao demorar algum tempo para se propagar > dependendo da TTL que vc utilizar no seu servidor de DNS > > Juli?o Braga wrote: > > Se eu fa?o apenas altera??es internas na zona, n?o ? necess?rio > > esperar publica??o do Registro.br, desde que meus servidores de DNS > > estejam respondendo por tais altera??es. Procede? From juliao at braga.eti.br Sat Aug 2 07:53:12 2008 From: juliao at braga.eti.br (=?iso-8859-1?Q?Juli=E3o_Braga?=) Date: Sat, 2 Aug 2008 07:53:12 -0300 Subject: [GTER] =?iso-8859-1?q?D=FAvida_sobre_verifica=E7=E3o_de_status_de?= =?iso-8859-1?q?_DNS?= References: <8212cbca0807310408g1e5bf1fcoeb00c7da9c59a14e@mail.gmail.com> <20080731182725.GD84823@registro.br><512B02716E7B449BA070354ECC3A706F@pegasus.com.br> <48931707.2040304@ispbrasil.com.br> Message-ID: <004E41C54D574FB297FE3A16A84D2E4C@pegasus.com.br> Ok Itamar, Mas, pelo que entendo, a publica??o (a cada 30 minutos), do Registro.br, resolveria esse problema do TTL, certo? ----- Original Message ----- From: "Itamar - IspBrasil" To: "Grupo de Trabalho de Engenharia e Operacao de Redes" Sent: Friday, August 01, 2008 11:00 AM Subject: Re: [GTER] D?vida sobre verifica??o de status de DNS sim procede, se o registro.br ja aponta para a sua maquina entao nao precisa mexer mais no registro.br a suas alteracoes poderao demorar algum tempo para se propagar dependendo da TTL que vc utilizar no seu servidor de DNS Juli?o Braga wrote: > Uma d?vida, Fred: > > Se eu fa?o apenas altera??es internas na zona, n?o ? necess?rio esperar > publica??o do Registro.br, desde que meus servidores de DNS estejam > respondendo por tais altera??es. Procede? > > Obrigado, > > Juli?o > --- > Pegasus Telecom From juliao at braga.eti.br Sat Aug 2 08:14:05 2008 From: juliao at braga.eti.br (=?iso-8859-1?Q?Juli=E3o_Braga?=) Date: Sat, 2 Aug 2008 08:14:05 -0300 Subject: [GTER] =?iso-8859-1?q?D=FAvida_sobre_verifica=E7=E3o_de_status_de?= =?iso-8859-1?q?_DNS?= References: <8212cbca0807310408g1e5bf1fcoeb00c7da9c59a14e@mail.gmail.com> <20080731182725.GD84823@registro.br><512B02716E7B449BA070354ECC3A706F@pegasus.com.br><48931707.2040304@ispbrasil.com.br> <004E41C54D574FB297FE3A16A84D2E4C@pegasus.com.br> Message-ID: <92069A594BB248888BDA2D0FCEEE3FDA@pegasus.com.br> Desculpe-me, faltou o "nem" na mensagem anterior: Ok Itamar, Mas, pelo que entendo, NEM a publica??o (a cada 30 minutos), do Registro.br, resolveria esse problema do TTL, certo? ----- Original Message ----- From: "Itamar - IspBrasil" To: "Grupo de Trabalho de Engenharia e Operacao de Redes" Sent: Friday, August 01, 2008 11:00 AM Subject: Re: [GTER] D?vida sobre verifica??o de status de DNS sim procede, se o registro.br ja aponta para a sua maquina entao nao precisa mexer mais no registro.br a suas alteracoes poderao demorar algum tempo para se propagar dependendo da TTL que vc utilizar no seu servidor de DNS Juli?o Braga wrote: > Uma d?vida, Fred: > > Se eu fa?o apenas altera??es internas na zona, n?o ? necess?rio esperar > publica??o do Registro.br, desde que meus servidores de DNS estejam > respondendo por tais altera??es. Procede? > > Obrigado, > > Juli?o > --- > Pegasus Telecom -- gter list https://eng.registro.br/mailman/listinfo/gter From giulianocm at uol.com.br Sat Aug 2 08:16:26 2008 From: giulianocm at uol.com.br (GIULIANO (UOL)) Date: Sat, 02 Aug 2008 08:16:26 -0300 Subject: [GTER] Roteamento pelo origem no JUNOS In-Reply-To: References: Message-ID: <4894420A.30801@uol.com.br> Rochele, Bom dia, Voce podera utilizar "Filter-based Forwarding" pra fazer roteamento pela origem. Saiu um artigo sobre isso na lista J-NSP esta semana. Veja se o documento abaixo referenciado te ajuda: http://www.juniper.net/solutions/literature/white_papers/552003.pdf Att, Giuliano > Ol? pessoal, > > preciso de ajuda para configurar roteamento pela origem no JUNOS. > > Algu?m, por favor, teria uma receita de bolo gen?rica para mim? > > Grata, Rochele > > Rochele A. S. Moreira > UNISINOS - GSI/Infra-estrutura > www.unisinos.br - 51 3590-8386 > inoc 19611*100 - ramal int. 1886 > > Antes de imprimir, pense em sua responsabilidade com o MEIO AMBIENTE. > > > From egypcio at secrel.com.br Sat Aug 2 04:02:18 2008 From: egypcio at secrel.com.br (Zavam, =?iso-8859-1?b?Vmlu7WNpdXM=?=) Date: Sat, 02 Aug 2008 04:02:18 -0300 Subject: [GTER] Roteamento pelo origem no JUNOS In-Reply-To: References: Message-ID: <20080802040218.xbwzt68e0wkoss48@sec50.secrel.com.br> Citando Rochele Moreira: > > Ol? pessoal, > > preciso de ajuda para configurar roteamento pela origem no JUNOS. > > Algu?m, por favor, teria uma receita de bolo gen?rica para mim? > > Grata, Rochele * source based routing / filter based forwarding? http://www.juniper.net/techpubs/software/junos/junos91/swconfig-routing/configuring-filter-based-forwarding.html * swconfig-routing; http://cygnus.cc.ncu.edu.tw/netflow/juniper []'s --------------------- Webmail SecrelNet From luiz at visualconnect.com.br Sat Aug 2 08:32:14 2008 From: luiz at visualconnect.com.br (Luiz Otavio O Souza) Date: Sat, 2 Aug 2008 08:32:14 -0300 Subject: [GTER] =?iso-8859-1?q?D=FAvida_sobre_verifica=E7=E3o_de_status_de?= =?iso-8859-1?q?_DNS?= References: <8212cbca0807310408g1e5bf1fcoeb00c7da9c59a14e@mail.gmail.com> <20080731182725.GD84823@registro.br><512B02716E7B449BA070354ECC3A706F@pegasus.com.br><48931707.2040304@ispbrasil.com.br> <004E41C54D574FB297FE3A16A84D2E4C@pegasus.com.br> Message-ID: <007701c8f493$6a4955e0$5e00a8c0@note4c47> ----- Original Message ----- Ok Itamar, Mas, pelo que entendo, a publica??o (a cada 30 minutos), do Registro.br, resolveria esse problema do TTL, certo? ----- Original Message ----- sim procede, se o registro.br ja aponta para a sua maquina entao nao precisa mexer mais no registro.br a suas alteracoes poderao demorar algum tempo para se propagar dependendo da TTL que vc utilizar no seu servidor de DNS -------------------- Juliao, Na verdade n?o. Esse tempo de publica??o do registro.br vale apenas para novos dom?nios, ou seja, esse ? o tempo m?ximo que um novo dom?nio leva para ser referenciado para o seu servidor (autoritativo para o dom?nio). O TTL que ? o tempo que cada entrada de dns deve ser utilizada (mantida no cache de quem consultou seu dns) e pode ser configurada para cada entrada do seu dom?nio (o www pode ter um TTL diferente do seu MX). Por isso o controle do TTL esta no seu servidor e sob o seu controle, n?o dependendo em nada dos servidores do registro.br (que apenas referenciam os seus servidores como autoritativos para o dom?nio). Se voc? precisa fazer alguma altera??o r?pida, primeiro altere seu TTL para algo baixo mas n?o exagerado (aproximadamente 1~2 horas). Isso precisa ser feito de acordo com o seu TTL atual, se voc? tem um TTL de 2 dias, fa?a a altera??o 3 dias antes para garantir que na data da mudan?a apenas os registros com baixo TTL estejam valendo. No dia altere o registro e volte o TTL ao seu valor original. Em at? 2 horas (valor do TTL que voc? utilizou) todos estar?o recebendo os novos registros. Ok ? Att., -luiz From juliao at braga.eti.br Sat Aug 2 09:46:00 2008 From: juliao at braga.eti.br (=?iso-8859-1?Q?Juli=E3o_Braga?=) Date: Sat, 2 Aug 2008 09:46:00 -0300 Subject: [GTER] =?iso-8859-1?q?D=FAvida_sobre_verifica=E7=E3o_de_status_de?= =?iso-8859-1?q?_DNS?= References: <8212cbca0807310408g1e5bf1fcoeb00c7da9c59a14e@mail.gmail.com> <20080731182725.GD84823@registro.br><512B02716E7B449BA070354ECC3A706F@pegasus.com.br><48931707.2040304@ispbrasil.com.br><004E41C54D574FB297FE3A16A84D2E4C@pegasus.com.br> <007701c8f493$6a4955e0$5e00a8c0@note4c47> Message-ID: <7C29C62FCB9B4C0C9A6D55C6B0FB35C4@pegasus.com.br> Ok Luiz Otavio, Tinha-me esquecido de uma palavrinha na minha ?ltima pergunta, corrigida em seguida. Acho que o seu esclarecimento responde muito bem ? pergunta original do Thiago. E esclarecer d?vidas sobre DNS ? muito importante, pois estamos sempre tendo problemas por ai, de toda a natureza. A descoberta do Kaminsky veio em um bom momento e parece que todos est?o orientados a garantir que seus servidores de DNS estejam bem configurados. Por outro lado, muita gente que n?o dava import?ncia passou a se interessar mais pela quest?o. Acho que o pr?ximo passo ? o DNSSEC, ainda n?o palat?vel, pela imensa maioria dos respons?veis por administra??o de redes. Obrigado e abra?os, Juli?o --- Pegasus Telecom ----- Original Message ----- From: "Luiz Otavio O Souza" ----- Original Message ----- Ok Itamar, Mas, pelo que entendo, a publica??o (a cada 30 minutos), do Registro.br, resolveria esse problema do TTL, certo? ----- Original Message ----- sim procede, se o registro.br ja aponta para a sua maquina entao nao precisa mexer mais no registro.br a suas alteracoes poderao demorar algum tempo para se propagar dependendo da TTL que vc utilizar no seu servidor de DNS -------------------- Juliao, Na verdade n?o. Esse tempo de publica??o do registro.br vale apenas para novos dom?nios, ou seja, esse ? o tempo m?ximo que um novo dom?nio leva para ser referenciado para o seu servidor (autoritativo para o dom?nio). O TTL que ? o tempo que cada entrada de dns deve ser utilizada (mantida no cache de quem consultou seu dns) e pode ser configurada para cada entrada do seu dom?nio (o www pode ter um TTL diferente do seu MX). Por isso o controle do TTL esta no seu servidor e sob o seu controle, n?o dependendo em nada dos servidores do registro.br (que apenas referenciam os seus servidores como autoritativos para o dom?nio). Se voc? precisa fazer alguma altera??o r?pida, primeiro altere seu TTL para algo baixo mas n?o exagerado (aproximadamente 1~2 horas). Isso precisa ser feito de acordo com o seu TTL atual, se voc? tem um TTL de 2 dias, fa?a a altera??o 3 dias antes para garantir que na data da mudan?a apenas os registros com baixo TTL estejam valendo. No dia altere o registro e volte o TTL ao seu valor original. Em at? 2 horas (valor do TTL que voc? utilizou) todos estar?o recebendo os novos registros. Ok ? Att., -luiz -- gter list https://eng.registro.br/mailman/listinfo/gter From fneves at registro.br Sat Aug 2 10:10:39 2008 From: fneves at registro.br (Frederico A C Neves) Date: Sat, 2 Aug 2008 10:10:39 -0300 Subject: [GTER] BIND 9.5.0-P2 - Resolve Problemas de Performance Message-ID: <20080802131039.GA75524@registro.br> Senhores, O ISC j? disponibilizou o segundo patch para o BIND 9.5.0. Ele resolve al?m de outros, os problemas de performance do patch anterior que dificultava a sua utiliza??o em servidores com alto n?mero de requisi??es. O upgrade ? altamente recomend?vel. ftp://ftp.registro.br/pub/bind/9.5.0-P2/ Fred From curupas at gmail.com Sat Aug 2 09:50:29 2008 From: curupas at gmail.com (Ricardo Tavares) Date: Sat, 2 Aug 2008 09:50:29 -0300 Subject: [GTER] Roteamento pelo origem no JUNOS In-Reply-To: References: Message-ID: <670333fe0808020550g27078ea7vad05b8532d63fa57@mail.gmail.com> /* COPIE E COLE ESSE EMAIL EM UM NOTEPAD PARA VISUALIZAR MELHOR /* Ol? Rochele, Segue uma receita de bolo. Coloquei dois CPEs no filtro para que voc? possa usar o modelo como solu??o gen?rica em casos de rede metro (a interface dos CPEs chegando via LAN, um switch por exemplo), mas a solu??o tamb?m ? v?lida para somente um CPE chegando via ATM, por exemplo). Filter-Based-Routing ? um mecanismo bastante poderoso e por isso para quem est? acostumado com o Policy Based Routing nos Ciscos pode estranhar um pouco. ? apenas uma quest?o de paradigma e conseq??ncia tamb?m da arquitetura da caixa. a) Primeiro voce deve classificar o trafego que voce deseja manipular, para isso voce utilizar um firewall filter: filter rochele-cpe-input { term cpe1 { from { source-address {; 172.27.1.0/24; 172.27.2.0/24; } } then { routing-instance cpe1-table; /* Manda consultar a tabela de rotas cpe1-table.inet.0 e nao inet.0 */ } } term cpe2 { from { source-address {; 172.25.1.0/24; 172.25.2.0/24; } } then { routing-instance cpe2-table; /* Manda consultar a tabela de rotas cpe2-table.inet.0 e nao inet.0 */ } } term default { then { accept; /* Manda para tabela de rotas default = inet.0 */ } } } b) Agora voce? precisa criar uma tabela de rotas, grosso modo, para armazenar o encaminhamento que voc? deseja, isso ? feito atrav?s da criacao de "routing-instances" do tipo FORWARDING. Nesse momento j? podemos fazer realizar muitas coisas interessantes: routing-instance { cpe1-table { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 172.21.10.1; /* default route */ } } } cpe2-table { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 172.22.10.1; /* default route */ } } } c) Esse passo ? importante: diz que as rotas diretamente conectadas estar?o associadas a um grupo chamado "fbf". Esse grupo ? composto pelas tabelas inet.0, cpe1-table.inet.0 e cpe2-table.inet.0. Precisamos fazer isso para compartilhar as rotas diretamente conectadas entre as diversas tabelas. Se n?o fizermos assim, a tabela cpe1-table.inet.0 n?o saber? da rota diretamente conectada ao next-hop e nao instalar? a rota default, idem para inet.0 e cpe2-table.inet.0. A? ? bem prov?vel que coisas parem de funcionar. MUITO. MUITO. MUITO cuidado ao configurar rib-groups: n?o esque?a um console :), uma janela de manuten??o :) :) e um Santo Expedito. O "commit confirmed" ? um MUST!! routing-options { interface-routes { rib-group inet fbf; /* cria um grupo do tipo IPv4 para receber as rotas diretamente conectadas */ } /* esse grupo ? composto pelos 3 tabelas de roteamento conhecidas: inet.0 (a default) e as outras duas criadas */ /* na hierarquia routing-instance */ rib-groups { fbf { import-rib [inet.0 cpe1-table.inet.0 cpe2-table.inet.0]; /* a tabela default ? ser? inet.0, onde o "accept" no filtro l? no come?o "cai" na falta de informa??o adicional */ } } } } d) Finalmente, voc? aplica o seu filtro a interface de entrada do seu CPE, em nosso exemplo, supostamente uma interface giga ou fast. interfaces aa-x/y/z { unit 0 { family inet { filter { input rochele-cpe-input; /* aplica o filtro na interface onde o(s) cpe(s) esta(o) chegando */ } } } } Voc? pode colocar nesse filtro contadores e outras coisinhas simp?ticas. Depois conta pra gente se deu tudo certinho ;o) Abra?os, Ricardo Tavares On Fri, Aug 1, 2008 at 7:10 PM, Rochele Moreira wrote: > > Ol? pessoal, > > preciso de ajuda para configurar roteamento pela origem no JUNOS. > > Algu?m, por favor, teria uma receita de bolo gen?rica para mim? > > Grata, Rochele > > Rochele A. S. Moreira > UNISINOS - GSI/Infra-estrutura > www.unisinos.br - 51 3590-8386 > inoc 19611*100 - ramal int. 1886 > > Antes de imprimir, pense em sua responsabilidade com o MEIO AMBIENTE. > > > > -- > Esta mensagem foi verificada pelo sistema de antiv?rus e > acredita-se estar livre de perigo. > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- __________________________________________ Vai Encarar? http://www.vaiencarar.com.br From herlon at lcimt.com.br Sat Aug 2 10:46:35 2008 From: herlon at lcimt.com.br (Herlon Alcantara Matos) Date: Sat, 2 Aug 2008 09:46:35 -0400 Subject: [GTER] Switch-Router X Router References: Message-ID: <9D55AA80F7ED476990D9E905C63168DD@SUporteHerlon> Dos equipamentos Extreme, n?o conhe?o. Entre a utiliza??o de um M10 ou Cisco 4500, optamos pelo Cisco, pela facilidade de modulos. Facilmente encontrado no Brasil. O M10, pela analise que fiz ? um excelente equipamento e atualmente tem um custo bastante competitivo. Outro fator importante a considerar, ? a opera??o destes equipamentos, os operadores, tem habilidade em Juniper ou Extreme, este ? um fator importante na aquisi??o. Outro fator, que me levou a optar pelo Cisco na epoca, foi devido a encontrar facilmente material nos datashet do fabricante para eventuais problemas, quanto ao Juniper acredito que tambem ira encontrar bastante material t?cnico atualmente. A unica dificuldade que encontro em diferencia??o da switch router para meus roteadores, ? a facilidade em implementar um WCCP e shaper no roteador x a switch router, mas n?o que isto n?o possa ser implementado, tendo-se o IOS correto. Herlon Alcantara Matos LCI ----- Original Message ----- From: To: Sent: Saturday, August 02, 2008 7:16 AM Subject: gter Digest, Vol 65, Issue 2 Send gter mailing list submissions to gter at eng.registro.br To subscribe or unsubscribe via the World Wide Web, visit https://eng.registro.br/mailman/listinfo/gter or, via email, send a message with subject or body 'help' to gter-request at eng.registro.br You can reach the person managing the list at gter-owner at eng.registro.br When replying, please edit your Subject line so it is more specific than "Re: Contents of gter digest..." Today's Topics: 1. Re: D?vida sobre verifica??o de status de DNS (Itamar - IspBrasil) 2. Re: redundancia ADSL ( ?10f@ ??K ) 3. Roteamento pelo origem no JUNOS (Rochele Moreira) 4. Re: D?vida sobre verifica??o de status de DNS (Leandro Pereira de Lima e Silva) 5. Switch-Router X Router (Juliano Primavesi - Cyberweb Networks) 6. Re: Switch-Router X Router (Rubens Kuhl Jr.) 7. Re: D?vida sobre verifica??o de status de DNS (Bruno at openline.com.br) 8. Re: D?vida sobre verifica??o de status de DNS (Juli?o Braga) 9. Re: D?vida sobre verifica??o de status de DNS (Juli?o Braga) 10. Re: Roteamento pelo origem no JUNOS (GIULIANO (UOL)) ---------------------------------------------------------------------- Message: 1 Date: Fri, 01 Aug 2008 11:00:39 -0300 From: Itamar - IspBrasil Subject: Re: [GTER] D?vida sobre verifica??o de status de DNS To: Grupo de Trabalho de Engenharia e Operacao de Redes Message-ID: <48931707.2040304 at ispbrasil.com.br> Content-Type: text/plain; charset=ISO-8859-1; format=flowed sim procede, se o registro.br ja aponta para a sua maquina entao nao precisa mexer mais no registro.br a suas alteracoes poderao demorar algum tempo para se propagar dependendo da TTL que vc utilizar no seu servidor de DNS Juli?o Braga wrote: > Uma d?vida, Fred: > > Se eu fa?o apenas altera??es internas na zona, n?o ? necess?rio > esperar publica??o do Registro.br, desde que meus servidores de DNS > estejam respondendo por tais altera??es. Procede? > > Obrigado, > > Juli?o > --- > Pegasus Telecom ------------------------------ Message: 2 Date: Fri, 1 Aug 2008 14:24:36 -0300 From: " ?10f@ ??K " Subject: Re: [GTER] redundancia ADSL To: "Grupo de Trabalho de Engenharia e Operacao de Redes" Message-ID: <7a5465360808011024x66ab1c8agfc88fa693348ed26 at mail.gmail.com> Content-Type: text/plain; charset=WINDOWS-1252 Felipe obrigado pela documenta??o vai ser de grande utilidade. E boa sorte na implementa??o. Att. Fabio Luiz Analista de Suporte Linux Nova Prestech.net(www.prestech.net) 2008/7/31 Felipe Munhoz > Ol? agrade?o a todos pelas contribui??es enviadas, infelizmente tive um > contratempo em um dos links da empresa e n?o estou podendo realizar os > testes. > > Assim que possivel vou testar as sugest?es dadas. > > > 2008/7/31 ?10f@ ??K > > > Boa Tarde a Todos, > > > > Venho j? a um tempo lendo est? discuss?o e feito muito interessado nesse > > comentario que foi feito por voc? Felipe e estou com uma demanda de > > fazer > > um > > script para excerce exatamente essa fun??o de redundancia e vi que o seu > > script pode ser bastante util. Estou ate criando um similar e desculpa > at? > > a > > minha ignorancia eu gostaria de saber qual ? exatamente o significado > > das > > vareaveis abaixo > > > > 2008/7/25 Felipe Munhoz > > > > > # ip route replace default scope global via $GW2 dev $EXTIF2 > > > > > > ou > > > > > > # ip route replace default scope global via $GW1 dev $EXTIF1 > > > > > > > > > > > > > > > > onde voc? coloco $GW? ? o ip do Gateway pois reparei que voc? designa a > > interface qual ?, e normalmente voc? designa ou a interface ou o ip do > > Gateway Gostaria muito de tirar essa duvida sera de grande utilidade. > > > > > coloquei em um script bash mais ou menos assim: > > > #!/bin/bash > > . /etc/net-confs > > ip route replace default scope global via $GW2 dev $EXTIF2 > > ... > ... > > e nesse arquivo /etc/net-confs > > #!/bin/bash > > GW2=192.168.1.1 # gateway > EXTIF2=eth1 > > > > d? uma olhada nessa pagina de documenta??o: > > > http://www.linux.org/docs/ldp/howto/Adv-Routing-HOWTO/lartc.rpdb.multiple-links.html > > foi dela que tirei! > > > > > > > > E outra seria perguntar se no seu script na hora q vc mando o comando: > > # ip route add default scope global nexthop via $GW1 dev $EXTIF1 weight > $W1 > > nexthop via $GW2 dev $EXTIF2 weight $W2 > > > > o peso para cada rota foi o mesmo? ou n?o > > > > sim foi sempre o mesmo, j? que n?o mudou a capacidade dos links > > assim que conseguir implementar (se conseguir!) eu explico melhor. > > > > > > > Obrigado > > > > Att. > > > > Fabio Luiz > > Analista de Suporte Linux > > Nova Prestech.net(www.prestech.net) > > -- > > gter list https://eng.registro.br/mailman/listinfo/gter > > > > > > -- > Felipe Natale Munhoz > Ci?ncia da Computa??o > N?cleo de Apoio a Projetos de Inform?tica > Centro Polit?cnico > Universidade Cat?lica de Pelotas > -- > gter list https://eng.registro.br/mailman/listinfo/gter > ------------------------------ Message: 3 Date: Fri, 01 Aug 2008 22:10:27 +0000 From: "Rochele Moreira" Subject: [GTER] Roteamento pelo origem no JUNOS To: "Grupo de Trabalho de Engenharia e Operacao de Redes" Message-ID: Content-Type: text/plain; charset=ISO-8859-1 Ol? pessoal, preciso de ajuda para configurar roteamento pela origem no JUNOS. Algu?m, por favor, teria uma receita de bolo gen?rica para mim? Grata, Rochele Rochele A. S. Moreira UNISINOS - GSI/Infra-estrutura www.unisinos.br - 51 3590-8386 inoc 19611*100 - ramal int. 1886 Antes de imprimir, pense em sua responsabilidade com o MEIO AMBIENTE. -- Esta mensagem foi verificada pelo sistema de antiv?rus e acredita-se estar livre de perigo. ------------------------------ Message: 4 Date: Fri, 1 Aug 2008 10:34:01 -0300 From: "Leandro Pereira de Lima e Silva" Subject: Re: [GTER] D?vida sobre verifica??o de status de DNS To: "Grupo de Trabalho de Engenharia e Operacao de Redes" Message-ID: <761ea0990808010634l73e5fbfev166019195702162d at mail.gmail.com> Content-Type: text/plain; charset=ISO-8859-1 Voc? precisa tomar cuidado com o TTL quando voc? vai mudar um endere?o importante (o do site da sua empresa, o do seu servidor de e-mail) que pode estar no cache de algu?m. []s Leandro 2008/8/1 Juli?o Braga > Uma d?vida, Fred: > > Se eu fa?o apenas altera??es internas na zona, n?o ? necess?rio esperar > publica??o do Registro.br, desde que meus servidores de DNS estejam > respondendo por tais altera??es. Procede? > > Obrigado, > > Juli?o > --- > Pegasus Telecom > > hoje por >> exemplo irei mudar no DNS da empresa1 os ips publicos do >> meu servidor de e-mail, essa altera??o estar? disponivel em 30 >> minutos ? isso ?? >> > > Sim. > > Obrigado pela ajuda. >> >> Thiago Gomes >> > > Fred > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- Leandro Pereira de Lima e Silva ------------------------------ Message: 5 Date: Fri, 01 Aug 2008 20:18:52 -0300 From: Juliano Primavesi - Cyberweb Networks Subject: [GTER] Switch-Router X Router To: Grupo de Trabalho de Engenharia e Operacao de Redes Message-ID: <489399DC.3070603 at cyberweb.com.br> Content-Type: text/plain; charset=ISO-8859-1; format=flowed Boa Noite, Alguem conhece algum comparativo entre switch-router e router disponivel na Internet, ou possui experiencia para comentar o fato de optar por utilizar por exemplo um switch Black Diamond da Extreme Networks, ou ainda um X450 (com bgp, mas sem full routing) X Juniper J6350 ou M10? No caso em quest?o, todas as interfaces necess?rias s?o fibra ou ethernet. Pontos que j? foram levantados: - Juniper possui firewall, switches da Extreme nao - Switches comutam uma quantidade MUITO maior de pacotes - Ambos rodam vrrp, bgp e outros protocolos necessarios para o projeto Juliano ------------------------------ Message: 6 Date: Sat, 2 Aug 2008 01:11:37 -0300 From: "Rubens Kuhl Jr." Subject: Re: [GTER] Switch-Router X Router To: juliano at cyberweb.com.br, "Grupo de Trabalho de Engenharia e Operacao de Redes" Message-ID: <6bb5f5b10808012111g356a656yb0dbb2d9e4b0b3e at mail.gmail.com> Content-Type: text/plain; charset=ISO-8859-1 > Alguem conhece algum comparativo entre switch-router e router disponivel > na > Internet, ou possui experiencia para comentar o fato de optar por utilizar > por exemplo um switch Black Diamond da Extreme Networks, ou ainda um X450 > (com bgp, mas sem full routing) X Juniper J6350 ou M10? > > No caso em quest?o, todas as interfaces necess?rias s?o fibra ou ethernet. > > Pontos que j? foram levantados: > > - Juniper possui firewall, switches da Extreme nao > - Switches comutam uma quantidade MUITO maior de pacotes > - Ambos rodam vrrp, bgp e outros protocolos necessarios para o projeto A quest?o n?o ? gen?rica de switch-router x router, mas desses em particular... genericamente, a diferen?a ? apenas da capacidade de convers?o entre encapsulamentos diferentes. Em fibra voc? n?o especificou se as interfaces s?o FE, STM-1, STM-4, GigE, STM-16 etc.; dos modelos que voc? citou, apenas o Juniper s?rie M suporta STM-x. Os switch-routers da Extreme tem como caracter?stica mandar sempre o primeiro pacote de um fluxo ou para um certo IP destino para a CPU, o que os tornam switch-routers bem menos interessantes do que modelos como Cisco 4500, Cisco 6500 ou Juniper EX 3200, pois eles podem capotar junto com o resto da sua estrutura num caso de DoS. Quanto a firewall, Extreme tamb?m tem ACLs, assim como o M10 padr?o. O M10 com m?dulo ASM tem stateful-firewall, "but that costs extra". Rubens ------------------------------ Message: 7 Date: Sat, 02 Aug 2008 07:30:51 -0300 From: "Bruno at openline.com.br" Subject: Re: [GTER] D?vida sobre verifica??o de status de DNS To: gter at eng.registro.br Message-ID: <1217673051427.Bruno at openline.com.br> Content-Type: text/plain; charset=iso-8859-1 Ola N?o esquecer de incrementar o serial number da zona! !3runo --- Itamar - IspBrasil escreveu: > a suas alteracoes poderao demorar algum tempo para se propagar > dependendo da TTL que vc utilizar no seu servidor de DNS > > Juli?o Braga wrote: > > Se eu fa?o apenas altera??es internas na zona, n?o ? necess?rio > > esperar publica??o do Registro.br, desde que meus servidores de DNS > > estejam respondendo por tais altera??es. Procede? ------------------------------ Message: 8 Date: Sat, 2 Aug 2008 07:53:12 -0300 From: Juli?o Braga Subject: Re: [GTER] D?vida sobre verifica??o de status de DNS To: "Grupo de Trabalho de Engenharia e Operacao de Redes" Message-ID: <004E41C54D574FB297FE3A16A84D2E4C at pegasus.com.br> Content-Type: text/plain; format=flowed; charset="iso-8859-1"; reply-type=response Ok Itamar, Mas, pelo que entendo, a publica??o (a cada 30 minutos), do Registro.br, resolveria esse problema do TTL, certo? ----- Original Message ----- From: "Itamar - IspBrasil" To: "Grupo de Trabalho de Engenharia e Operacao de Redes" Sent: Friday, August 01, 2008 11:00 AM Subject: Re: [GTER] D?vida sobre verifica??o de status de DNS sim procede, se o registro.br ja aponta para a sua maquina entao nao precisa mexer mais no registro.br a suas alteracoes poderao demorar algum tempo para se propagar dependendo da TTL que vc utilizar no seu servidor de DNS Juli?o Braga wrote: > Uma d?vida, Fred: > > Se eu fa?o apenas altera??es internas na zona, n?o ? necess?rio esperar > publica??o do Registro.br, desde que meus servidores de DNS estejam > respondendo por tais altera??es. Procede? > > Obrigado, > > Juli?o > --- > Pegasus Telecom ------------------------------ Message: 9 Date: Sat, 2 Aug 2008 08:14:05 -0300 From: Juli?o Braga Subject: Re: [GTER] D?vida sobre verifica??o de status de DNS To: "Grupo de Trabalho de Engenharia e Operacao de Redes" Message-ID: <92069A594BB248888BDA2D0FCEEE3FDA at pegasus.com.br> Content-Type: text/plain; format=flowed; charset="iso-8859-1"; reply-type=response Desculpe-me, faltou o "nem" na mensagem anterior: Ok Itamar, Mas, pelo que entendo, NEM a publica??o (a cada 30 minutos), do Registro.br, resolveria esse problema do TTL, certo? ----- Original Message ----- From: "Itamar - IspBrasil" To: "Grupo de Trabalho de Engenharia e Operacao de Redes" Sent: Friday, August 01, 2008 11:00 AM Subject: Re: [GTER] D?vida sobre verifica??o de status de DNS sim procede, se o registro.br ja aponta para a sua maquina entao nao precisa mexer mais no registro.br a suas alteracoes poderao demorar algum tempo para se propagar dependendo da TTL que vc utilizar no seu servidor de DNS Juli?o Braga wrote: > Uma d?vida, Fred: > > Se eu fa?o apenas altera??es internas na zona, n?o ? necess?rio esperar > publica??o do Registro.br, desde que meus servidores de DNS estejam > respondendo por tais altera??es. Procede? > > Obrigado, > > Juli?o > --- > Pegasus Telecom -- gter list https://eng.registro.br/mailman/listinfo/gter ------------------------------ Message: 10 Date: Sat, 02 Aug 2008 08:16:26 -0300 From: "GIULIANO (UOL)" Subject: Re: [GTER] Roteamento pelo origem no JUNOS To: Grupo de Trabalho de Engenharia e Operacao de Redes Message-ID: <4894420A.30801 at uol.com.br> Content-Type: text/plain; charset=ISO-8859-1; format=flowed Rochele, Bom dia, Voce podera utilizar "Filter-based Forwarding" pra fazer roteamento pela origem. Saiu um artigo sobre isso na lista J-NSP esta semana. Veja se o documento abaixo referenciado te ajuda: http://www.juniper.net/solutions/literature/white_papers/552003.pdf Att, Giuliano > Ol? pessoal, > > preciso de ajuda para configurar roteamento pela origem no JUNOS. > > Algu?m, por favor, teria uma receita de bolo gen?rica para mim? > > Grata, Rochele > > Rochele A. S. Moreira > UNISINOS - GSI/Infra-estrutura > www.unisinos.br - 51 3590-8386 > inoc 19611*100 - ramal int. 1886 > > Antes de imprimir, pense em sua responsabilidade com o MEIO AMBIENTE. > > > ------------------------------ -- gter digest list https://eng.registro.br/mailman/listinfo/gter End of gter Digest, Vol 65, Issue 2 *********************************** From paulojbe at gmail.com Sun Aug 3 10:50:50 2008 From: paulojbe at gmail.com (Paulo Estrela) Date: Sun, 3 Aug 2008 10:50:50 -0300 Subject: [GTER] redundancia ADSL In-Reply-To: <7a5465360808011024x66ab1c8agfc88fa693348ed26@mail.gmail.com> References: <4886478C.1050101@ispbrasil.com.br> <4887C807.1060800@gmail.com> <200807241000.20108.andre.ramoni@gmail.com> <1324e07e0807251204r358d00ffqda51e65a06b1cffd@mail.gmail.com> <7a5465360807310529r3703c61bw19787b6d17694a13@mail.gmail.com> <1324e07e0807311721t7e191727jfd9f4dc38c299524@mail.gmail.com> <7a5465360808011024x66ab1c8agfc88fa693348ed26@mail.gmail.com> Message-ID: A um tempo atr?s fiz um script para automatizar isso. Segue em anexo. Mas tudo que o Andre Ramoni falou vale. O que pode ser feito no script pra resolver problemas de protocolos que n?o funcionam direito com essa solu??o ? eleger um link pra tratar esse protocolos. Quando este link cair, muda pro outro. Esse script n?o faz isso, ele faz o failover belezinha e loga no syslog. para usar, edita o ilb para suas necessidades (? bem f?cil de entender) e coloca ele em /usr/sbin/. Depois bota o loadbalancing em /etc/init.d/ e cria o links pros rc.d para iniciar junto com a m?quina. Esse loadbalancing foi feito pra ubuntu server/debian, mas ? mole de adaptar pra outras distros. At? mais, Paulo Estrela 2008/8/1 ?10f@ ??K : > Felipe obrigado pela documenta??o vai ser de grande utilidade. > > E boa sorte na implementa??o. > > Att. > > Fabio Luiz > Analista de Suporte Linux > Nova Prestech.net(www.prestech.net) > > 2008/7/31 Felipe Munhoz > >> Ol? agrade?o a todos pelas contribui??es enviadas, infelizmente tive um >> contratempo em um dos links da empresa e n?o estou podendo realizar os >> testes. >> >> Assim que possivel vou testar as sugest?es dadas. >> >> >> 2008/7/31 ?10f@ ??K >> >> > Boa Tarde a Todos, >> > >> > Venho j? a um tempo lendo est? discuss?o e feito muito interessado nesse >> > comentario que foi feito por voc? Felipe e estou com uma demanda de fazer >> > um >> > script para excerce exatamente essa fun??o de redundancia e vi que o seu >> > script pode ser bastante util. Estou ate criando um similar e desculpa >> at? >> > a >> > minha ignorancia eu gostaria de saber qual ? exatamente o significado das >> > vareaveis abaixo >> > >> > 2008/7/25 Felipe Munhoz >> > >> > > # ip route replace default scope global via $GW2 dev $EXTIF2 >> > > >> > > ou >> > > >> > > # ip route replace default scope global via $GW1 dev $EXTIF1 >> > > >> > >> > >> > >> > >> > >> >> > onde voc? coloco $GW? ? o ip do Gateway pois reparei que voc? designa a >> > interface qual ?, e normalmente voc? designa ou a interface ou o ip do >> > Gateway Gostaria muito de tirar essa duvida sera de grande utilidade. >> > >> >> >> coloquei em um script bash mais ou menos assim: >> >> >> #!/bin/bash >> >> . /etc/net-confs >> >> ip route replace default scope global via $GW2 dev $EXTIF2 >> >> ... >> ... >> >> e nesse arquivo /etc/net-confs >> >> #!/bin/bash >> >> GW2=192.168.1.1 # gateway >> EXTIF2=eth1 >> >> >> >> d? uma olhada nessa pagina de documenta??o: >> >> >> http://www.linux.org/docs/ldp/howto/Adv-Routing-HOWTO/lartc.rpdb.multiple-links.html >> >> foi dela que tirei! >> >> >> >> >> > >> > E outra seria perguntar se no seu script na hora q vc mando o comando: >> > # ip route add default scope global nexthop via $GW1 dev $EXTIF1 weight >> $W1 >> > nexthop via $GW2 dev $EXTIF2 weight $W2 >> > >> > o peso para cada rota foi o mesmo? ou n?o >> > >> >> sim foi sempre o mesmo, j? que n?o mudou a capacidade dos links >> >> assim que conseguir implementar (se conseguir!) eu explico melhor. >> >> >> >> > >> > Obrigado >> >> >> > Att. >> > >> > Fabio Luiz >> > Analista de Suporte Linux >> > Nova Prestech.net(www.prestech.net) >> > -- >> > gter list https://eng.registro.br/mailman/listinfo/gter >> > >> >> >> >> -- >> Felipe Natale Munhoz >> Ci?ncia da Computa??o >> N?cleo de Apoio a Projetos de Inform?tica >> Centro Polit?cnico >> Universidade Cat?lica de Pelotas >> -- >> gter list https://eng.registro.br/mailman/listinfo/gter >> > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- At? mais, Paulo Estrela From hasbrsp at gmail.com Sun Aug 3 16:34:21 2008 From: hasbrsp at gmail.com (Humberto Armando Sobrinho) Date: Sun, 3 Aug 2008 16:34:21 -0300 Subject: [GTER] Resposta do Senador Azeredo In-Reply-To: References: <1215903187390.Bruno@openline.com.br> <200807140513.54719.miguel_penteado@ig.com.br> <487B7068.7000104@tpn.com.br> <87fd8b250807140915u7c9ffb5dl99db5b29141f697c@mail.gmail.com> <487B8B9F.5090300@tpn.com.br> <87fd8b250807141041i4d7386ectfbf38f3e91528c83@mail.gmail.com> <87fd8b250807141138s4e942a2frc821e9b0de1ce50@mail.gmail.com>

Message-ID: <9a2a3d780808031234t47329dfbn1f3560512cacb4b8@mail.gmail.com> sds a todos; Pergunta de leigo: Pelo que pude entender da mensagem abaixo, n?s provedores teremos t?o somente a obriga??o e o dever de fornecer ao org?o solicitante os dados do usu?rio que utilizou um determinado IP na data e hora solicitadas. A Pergunta: N?o estou t?o certo quanto a veracidade das informa??es que chegaram at? mim, pois sempre escutei que ? possivel ao usu?rio mais experiente navegar pela internet se logando em alguns sites que mascaram o IP ou at? mesmo escondem o ip de origem. Ser? possivel ao usu?rio com conhecimento avan?ado em arquitetura de redes mascarar um determinado IP mesmo n?o estando na rede de origem desse IP e conseguir invadir ou burlar sistemas pela internet deixando como rastro o IP que serviu de mascara ? Se isso ? possivel h? formas de se detectar se esse recurso foi utilizado para invas?o ? Grato Humberto Armando Sobrinho HL Internet 2008/7/15 Marconi Pereira > > Segue a resposta da assessoria de gabinete do Senador Azeredo ao email que > eu postei h? uns dias nesse grupo. > Abra?os, > Marconi > > ===================== > > > Para esclarecimento, > > A VERDADEIRA PROPOSTA DE COMBATE AOS CRIMES CIBERN?TICOS > - A proposta do Senador Eduardo Azeredo (PSDB-MG) para tipificar e punir os > crimes cometidos com o uso das tecnologias da informa??o ? um texto > substitutivo a tr?s projetos de lei que tramitam no Congresso Nacional ? PLC > 89/2003 (da C?mara); PLS 76/2000 e PLS 137/2000 (do Senado). > > - O Senador Eduardo Azeredo ?, portanto, relator de da proposta, com > parecer aprovado pelas comiss?es de Educa??o (CE), Ci?ncia e Tecnologia > (CCT), Constitui??o e Justi?a (CCJ), al?m da Comiss?o de Assuntos Econ?micos > (CAE), onde a proposta tamb?m recebeu emendas e parecer favor?vel do Senador > Alo?zio Mercadante (PT-SP). > > - O texto espelha o que ? necess?rio para coibir e punir os delitos de > inform?tica, modificando e ampliando cinco leis brasileiras: C?digo Penal, > C?digo Penal Militar, Lei de Repress?o Uniforme, Lei Afonso Arinos e > Estatuto da Crian?a e do Adolescente. > > - Essas leis s?o antigas e n?o contemplam, em seus textos, os novos crimes, > surgidos com o avan?o das tecnologias da informa??o. Da?, a necessidade de > moderniz?-las. > > - S?o 13 os novos crimes tipificados pela proposta: 1) acesso n?o > autorizado a dispositivo de informa??o ou sistema informatizado; 2) > obten??o, transfer?ncia ou fornecimento n?o-autorizado de dado ou > informa??o; 3) divulga??o ou utiliza??o indevida de informa??es e dados > pessoais; 4) destruir, inutilizar ou deteriorar coisa alheia ou dado > eletr?nico alheiro; 5) inser??o ou difus?o de v?rus; 6) agravamento de pena > para inser??o ou difus?o de v?rus seguido de dano; 7) estelionato eletr?nico > (fishing); 8) atentado contra seguran?a de servi?o ou utilidade p?blica; 9) > interrup??o ou perturba??o de servi?o telegr?fico, telef?nico, inform?tico, > telem?tico, dispositivo de comunica??o, rede de computadores ou sistema > informatizado; 10) falsifica??o de dados eletr?nicos p?blicos e 11) > falsifica??o de dados eletr?nicos particulares (clonagem de cart?es e > celulares, por exemplo); 12) discrimina??o de ra?a ou de cor disseminada por > meio de rede de computadores (altera??o na Lei Afonso Arinos); 13) receptar > ou armazenar imagens com conte?do ped?filo (altera??o no Estatuto da Crian?a > e do Adolescente). > > - N?O. O usu?rio n?o ser? permanentemente vigiado pelos provedores ou por > quem quer que seja. A proposta determina apenas que os provedores guardem > dados de CONEX?O ? hora de on e off e n?mero de IP ? e que os repassem, > mediante solicita??o, ? autoridade investigat?ria. Os provedores tamb?m > dever?o repassar den?ncia DE QUE TENHAM SIDO INFORMADOS (por usu?rios que se > sintam lesados), para a autoridade competente. O PROVEDOR N?O ? UM DEDO > DURO, MAS UM COLABORADOR DAS INVESTIGA??ES. TUDO O QUE ELE FIZER SER? > MEDIANTE AUTORIZA??O DA JUSTI?A! > > - A lei vai punir apenas os maus usu?rios, aqueles que, a cada dia mais, > usam as tecnologias da informa??o para cometer delitos como clonagens, > difus?o de v?rus, pedofilia. > > - A lei n?o se aplica a quem, por lazer ou trabalho, usa corretamente o > computador, seja desenhando, seja baixando m?sicas, seja batendo-papo, seja > dando opini?es em blogs, fazendo pesquisas ou quaisquer atividades > semelhantes. O BOM USU?RIO DEVE FICAR TRANQUILO, POIS NADA ACONTECER? A ELE, > A N?O SER O AUMENTO DE SUA SEGURAN?A, PELA LEI, NO USO DAS TECNOLOGIAS. > > - N?O! N?o h? qualquer cerceamento de opini?o, atentado ? liberdade de > express?o ou censura. Vale lembrar que APENAS OS DADOS DE CONEX?O SER?O > GUARDADOS. A NAVEGA??O ? LIVRE E S? SER? INVESTIGADA MEDIDANTE SOLICITA??O > JUDICIAL, O QUE, ? CLARO, S? OCORRER? EM CASO DE DEN?NCIA DE CRIME. ? como > se fosse uma liga??o telef?nica qualquer: se houver pedido judicial para > quebra de sigilo, as informa??es dir?o respeito apenas ? hora em que > determinado n?mero ligou para outro. Portanto, mais uma vez, O BOM USU?RIO > EST? PRESERVADO EM TODOS OS SEUS DIREITOS. > > - A proposta foi elaborada de acordo com a Conven??o Internacional contra o > Cibercrime ? Conven??o de Budapeste ? assinada pelas na??es mais modernas do > mundo, entre elas, os pa?ses da Comunidade Europ?ia, os Estados Unidos, a > Cor?ia do Sul e o Canad?. > > - A conformidade da lei brasileira com a Conven??o permitir? ao Brasil ser > signat?rio deste tratado internacional ? a??o de suma import?ncia para as > investiga??es transfronteiras. > > - O Brasil, por meio de seu Parlamento eleito legitimamente, est? lutando > contra os cibercrimes. Seu apoio ? importante! > > Muito obrigado. > > Assessoria do Gabinete do Senador Eduardo Azeredo. > _________________________________________________________________ > Making the world a better place one message at a time. > http://www.imtalkathon.com/?source=EML_WLH_Talkathon_BetterPlace > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From frederick at dahype.org Sun Aug 3 17:31:45 2008 From: frederick at dahype.org (Renato Frederick) Date: Sun, 3 Aug 2008 17:31:45 -0300 Subject: [GTER] RES: Resposta do Senador Azeredo In-Reply-To: <9a2a3d780808031234t47329dfbn1f3560512cacb4b8@mail.gmail.com> References: <1215903187390.Bruno@openline.com.br> <200807140513.54719.miguel_penteado@ig.com.br> <487B7068.7000104@tpn.com.br> <87fd8b250807140915u7c9ffb5dl99db5b29141f697c@mail.gmail.com> <487B8B9F.5090300@tpn.com.br> <87fd8b250807141041i4d7386ectfbf38f3e91528c83@mail.gmail.com> <87fd8b250807141138s4e942a2frc821e9b0de1ce50@mail.gmail.com>

<9a2a3d780808031234t47329dfbn1f3560512cacb4b8@mail.gmail.com> Message-ID: <000001c8f5a7$f46b37b0$dd41a710$@org> > -----Mensagem original----- > De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] > Em nome de Humberto Armando Sobrinho > Enviada em: domingo, 3 de agosto de 2008 16:34 > Para: Grupo de Trabalho de Engenharia e Operacao de Redes > Assunto: Re: [GTER] Resposta do Senador Azeredo > > sds a todos; > > Pergunta de leigo: > > Pelo que pude entender da mensagem abaixo, n?s provedores teremos t?o > somente a obriga??o e o dever de fornecer ao org?o solicitante os dados > do > usu?rio que utilizou um determinado IP na data e hora solicitadas. Sim... e manter em arquivo durante algum tempo > > A Pergunta: > > N?o estou t?o certo quanto a veracidade das informa??es que chegaram > at? > mim, pois sempre escutei que ? possivel ao usu?rio mais experiente > navegar > pela internet se logando em alguns sites que mascaram o IP ou at? mesmo > escondem o ip de origem. Ser? possivel ao usu?rio com conhecimento > avan?ado > em arquitetura de redes mascarar um determinado IP mesmo n?o estando na > rede > de origem desse IP e conseguir invadir ou burlar sistemas pela internet > deixando como rastro o IP que serviu de mascara ? Sim, ele pode usar um openproxy, ou um computador infectado com algum backdoor, fazer um t?nel SSH em algum servidor alugado em qualquer parte do mundo, etc. Parecido com a telefonia, aonde de dentro da cadeia usa-se alguma v?tima com redirecionamento de chamadas ativa. O marginal liga para a v?tima e o redirecionamento incondicional entrega a chamada para o celular do segundo marginal, protegendo o n?mero do primeiro. > > Se isso ? possivel h? formas de se detectar se esse recurso foi > utilizado > para invas?o ? S? por a? j? se v? o problema da lei. No caso que citei eacima, o detetive descobriria que o ataque veio de um PC do pa?s X que possui um backdoor e faria uma per?cia neste PC e descobriria que a conex?o veio de um IP seu na data e hora tal. A? voc? poderia entregar o registro de todas as conex?es desta data para cruzarem o registro. Tecnicamente falando ? assim, mas vejo muito por?m nisto, se o PC que possui o backdoor estiver em outro pa?s ser? necess?rio coopera??o internacional, alguns sistemas operacionais n?o gerar?o log nenhum e por a? vai.. From bruno at openline.com.br Sun Aug 3 17:57:05 2008 From: bruno at openline.com.br (bruno at openline.com.br) Date: Sun, 03 Aug 2008 17:57:05 -0300 Subject: [GTER] Resposta do Senador Azeredo Message-ID: <1217797025243.bruno@openline.com.br> Ol? --- "Humberto Armando Sobrinho" escreveu: > N?o estou t?o certo quanto a veracidade das informa??es que chegaram at? > mim, pois sempre escutei que ? possivel ao usu?rio mais experiente navegar > pela internet se logando em alguns sites que mascaram o IP ou at? mesmo > escondem o ip de origem. Se o IP n?o for seu, n?o ser? voc? quem ter? que identificar o usu?rio. _SE_ rastrearem de volta at? um IP seu, _AI_ voc? tem que identificar. Mas note que nem a China consegue censurar os usu?rios da Internet l?, imagine o Azeredo!? :^) Neste blog tem um post muito interessante sobre o tema Manipulac?o das Massas e por tabela sobre o PL, vale a lida http://www.nardol.org/ []s, !3runo Cabral From omar at kaminski.com Sun Aug 3 18:42:26 2008 From: omar at kaminski.com (Omar Kaminski) Date: Sun, 3 Aug 2008 18:42:26 -0300 Subject: [GTER] RES: Resposta do Senador Azeredo References: <1215903187390.Bruno@openline.com.br> <200807140513.54719.miguel_penteado@ig.com.br> <487B7068.7000104@tpn.com.br> <87fd8b250807140915u7c9ffb5dl99db5b29141f697c@mail.gmail.com> <487B8B9F.5090300@tpn.com.br> <87fd8b250807141041i4d7386ectfbf38f3e91528c83@mail.gmail.com> <87fd8b250807141138s4e942a2frc821e9b0de1ce50@mail.gmail.com>

<9a2a3d780808031234t47329dfbn1f3560512cacb4b8@mail.gmail.com> <000001c8f5a7$f46b37b0$dd41a710$@org> Message-ID: Mas por acaso existe alguma lei perfeita? N?o estou defendendo a lei, pelo contr?rio, mas ao mesmo tempo n?o se pode esperar precis?o milim?trica. Como por exemplo, crime de homic?dio. E se o matador estivesse usando uma m?scara, n?o ter?amos um problema parecido? :) []s ----- Original Message ----- From: "Renato Frederick" To: "'Grupo de Trabalho de Engenharia e Operacao de Redes'" Sent: Sunday, August 03, 2008 5:31 PM Subject: [GTER] RES: Resposta do Senador Azeredo > Se isso ? possivel h? formas de se detectar se esse recurso foi > utilizado > para invas?o ? S? por a? j? se v? o problema da lei. No caso que citei eacima, o detetive descobriria que o ataque veio de um PC do pa?s X que possui um backdoor e faria uma per?cia neste PC e descobriria que a conex?o veio de um IP seu na data e hora tal. A? voc? poderia entregar o registro de todas as conex?es desta data para cruzarem o registro. Tecnicamente falando ? assim, mas vejo muito por?m nisto, se o PC que possui o backdoor estiver em outro pa?s ser? necess?rio coopera??o internacional, alguns sistemas operacionais n?o gerar?o log nenhum e por a? vai.. -- gter list https://eng.registro.br/mailman/listinfo/gter From juliao at braga.eti.br Sun Aug 3 20:19:17 2008 From: juliao at braga.eti.br (=?iso-8859-1?Q?Juli=E3o_Braga?=) Date: Sun, 3 Aug 2008 20:19:17 -0300 Subject: [GTER] RES: Resposta do Senador Azeredo References: <1215903187390.Bruno@openline.com.br> <200807140513.54719.miguel_penteado@ig.com.br> <487B7068.7000104@tpn.com.br> <87fd8b250807140915u7c9ffb5dl99db5b29141f697c@mail.gmail.com> <487B8B9F.5090300@tpn.com.br> <87fd8b250807141041i4d7386ectfbf38f3e91528c83@mail.gmail.com> <87fd8b250807141138s4e942a2frc821e9b0de1ce50@mail.gmail.com>

<9a2a3d780808031234t47329dfbn1f3560512cacb4b8@mail.gmail.com><000001c8f5a7$f46b37b0$dd41a710$@org> Message-ID: <616FD27F2FBA407181518A96B6EB8770@pegasus.com.br> A lei, geralmente, tende a ser perfeita, em contraposi??o ? pergunta. A imperfei??o est? em quem aplica a lei. O ser humano. Talvez para justificar o antigo prov?rbio de que "errar ? humano". No caso do crime de homic?dio, n?o o considero parecido. O cen?rio do crime do mascarado ocorre em uma regi?o geogr?fica excessivamente pequena e talvez mais f?cil para os policiais de plant?o. Nesse caso, os ind?cios podem ajudar. Dificilmente lembrar?amos de algum pais, quando um crime de homic?dio ocorre, digamos, no Rio de Janeiro, por um mascarado. Rio de Janeiro foi usada, no exemplo, porque ela ? a Cidade Maravilhosa. N?o podemos negar a imensid?o da Internet. E ai sim, lembramos do mundo todo. Mas, discutir o imponder?vel do PL do Senador Azeredo ? complicado. Poder?amos lembrar, por exemplo, do t?nel sobre DNS, preparado pelo xar? do Omar, h? alguns anos. E que todo mundo usa, inclusive usu?rios de dentro de nossa pr?pria rede, para o bem ou para o mal. Quase imposs?vel de identificar. E assim, muitas outras t?cnicas dispon?veis por ai. Cada dia mais sofisticadas. O pr?prio pessoal de seguran?a nos indica que s?o t?cnicas dific?limas de, at? mesmo, verificar se est?o sendo usadas em nossa rede em um dado momento. E a mobilidade? Essa ir? mudar a geografia das conex?es. O IPv6 e as novas t?cnicas de roteamento (se existir ...) ir?o transformar a no??o de rede. Rede local? Talvez uma remota lembran?a, hist?rica. Mas, que n?o servir? como exemplo nas salas de aulas. Foi sempre assim na pr?diga Internet. Mudan?as, surpresas, mudan?as, impactos e mudan?as! Muita intelig?ncia e criatividade rondando o ambiente. Para mim, o PL do Senador est? fora do tempo e merece ser discutida porque, presum?veis imbecilidades, que afetam toda uma sociedade, devem ser discutidas. Mas, um pol?tico n?o tem a capacidade de imaginar que seu PL ? uma aberra??o. Pessoalmente, acho que ele ter? de ceder. Assim como, os matem?ticos cederam, mas humildemente, por duas vezes. A primeira pelo exemplo de Frege ao receber uma carta do ent?o estudante Bertrand Russel (http://www.educ.fc.ul.pt/docentes/opombo/seminario/fregerussel/russeltofrege.htm), depois de publicar 2 volumes, no qual formalizava a aritm?tica e que foram praticamente perdidos. Vale a pena ler o ?ltimo par?grafo da carta resposta de Frege a Russel (http://www.educ.fc.ul.pt/docentes/opombo/seminario/fregerussel/fregetorussell.htm). A segunda com a prova de Godel, em 1932 exibindo uma express?o aritm?tica que provou ser verdadeira e falsa, ao mesmo tempo. Impacto absoluto, que fico sonhando existir, tamb?m, como exemplar demonstra??o ao PL do Senador Azeredo. Coisas imposs?veis acontecem ... []s, Juli?o ----- Original Message ----- From: "Omar Kaminski" Mas por acaso existe alguma lei perfeita? N?o estou defendendo a lei, pelo contr?rio, mas ao mesmo tempo n?o se pode esperar precis?o milim?trica. Como por exemplo, crime de homic?dio. E se o matador estivesse usando uma m?scara, n?o ter?amos um problema parecido? :) []s From frederick at dahype.org Sun Aug 3 21:34:53 2008 From: frederick at dahype.org (Renato Frederick) Date: Sun, 3 Aug 2008 21:34:53 -0300 Subject: [GTER] RES: RES: Resposta do Senador Azeredo In-Reply-To: <616FD27F2FBA407181518A96B6EB8770@pegasus.com.br> References: <1215903187390.Bruno@openline.com.br> <200807140513.54719.miguel_penteado@ig.com.br> <487B7068.7000104@tpn.com.br> <87fd8b250807140915u7c9ffb5dl99db5b29141f697c@mail.gmail.com> <487B8B9F.5090300@tpn.com.br> <87fd8b250807141041i4d7386ectfbf38f3e91528c83@mail.gmail.com> <87fd8b250807141138s4e942a2frc821e9b0de1ce50@mail.gmail.com>

<9a2a3d780808031234t47329dfbn1f3560512cacb4b8@mail.gmail.com><000001c8f5a7$f46b37b0$dd41a710$@org> <616FD27F2FBA407181518A96B6EB8770@pegasus.com.br> Message-ID: <000901c8f5c9$eafed520$c0fc7f60$@org> Juli?o e Omar. Gostaria de acrescentar a quest?o de computadores usados por pessoas n?o t?cnicas que podem pegar um v?rus ou ser um "relay" para criminosos. At? separar joio do trigo e mostrar que aquele PC ? t?o somente um zumbi, isto poderia causar danos irrevers?veis para a imagem da fam?lia ou da empresa que passa por isto. Somado aos "shows" televisivos em que se transformaram certas a??es policiais, me preocupa e muito. Vendo o caso do homic?dio, seria o mesmo do matador roubar seu carro de madrugada e quando voc? acordar, ser procurado como suspeito do crime. S? que na vida real ? f?cil provar que seu carro foi levado, a pr?pria pol?cia vai conferir na sua casa. No computador nem sempre voc? sabe que seu PC foi "roubado" por um marginal. Hoje mesmo pela manh? atendi um chamado de 6computadores que estavam enviando SPAM e congestionando a rede, contaminados por um worm, os usu?rios nem sentiram nenhum problema, afinal o execut?vel n?o consumia muito recurso. Temos bons analistas forenses, boas equipes de investiga??o, com pessoal altamente qualificado e espero que eles saibam aplicar a lei de maneira sensata e correta, analisando com cuidado os pontos acima e tantos outros que possam surgir, fazendo valer o que o Senador deseja que ? encontrar o criminoso e resguardar os inocentes. > -----Mensagem original----- > De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] > Em nome de Juli?o Braga > Enviada em: domingo, 3 de agosto de 2008 20:19 > Para: Grupo de Trabalho de Engenharia e Operacao de Redes > Assunto: Re: [GTER] RES: Resposta do Senador Azeredo > > A lei, geralmente, tende a ser perfeita, em contraposi??o ? pergunta. > > A imperfei??o est? em quem aplica a lei. O ser humano. Talvez para > justificar o antigo prov?rbio de que "errar ? humano". > > No caso do crime de homic?dio, n?o o considero parecido. O cen?rio do > crime > do mascarado ocorre em uma regi?o geogr?fica excessivamente pequena e > talvez > mais f?cil para os policiais de plant?o. Nesse caso, os ind?cios podem > ajudar. Dificilmente lembrar?amos de algum pais, quando um crime de > homic?dio ocorre, digamos, no Rio de Janeiro, por um mascarado. Rio de > Janeiro foi usada, no exemplo, porque ela ? a Cidade Maravilhosa. > > N?o podemos negar a imensid?o da Internet. E ai sim, lembramos do mundo > todo. Mas, discutir o imponder?vel do PL do Senador Azeredo ? > complicado. > Poder?amos lembrar, por exemplo, do t?nel sobre DNS, preparado pelo > xar? do > Omar, h? alguns anos. E que todo mundo usa, inclusive usu?rios de > dentro de > nossa pr?pria rede, para o bem ou para o mal. Quase imposs?vel de > identificar. E assim, muitas outras t?cnicas dispon?veis por ai. Cada > dia > mais sofisticadas. O pr?prio pessoal de seguran?a nos indica que s?o > t?cnicas dific?limas de, at? mesmo, verificar se est?o sendo usadas em > nossa > rede em um dado momento. > > E a mobilidade? Essa ir? mudar a geografia das conex?es. O IPv6 e as > novas > t?cnicas de roteamento (se existir ...) ir?o transformar a no??o de > rede. > Rede local? Talvez uma remota lembran?a, hist?rica. Mas, que n?o > servir? > como exemplo nas salas de aulas. Foi sempre assim na pr?diga Internet. > Mudan?as, surpresas, mudan?as, impactos e mudan?as! Muita intelig?ncia > e > criatividade rondando o ambiente. > > Para mim, o PL do Senador est? fora do tempo e merece ser discutida > porque, > presum?veis imbecilidades, que afetam toda uma sociedade, devem ser > discutidas. Mas, um pol?tico n?o tem a capacidade de imaginar que seu > PL ? > uma aberra??o. Pessoalmente, acho que ele ter? de ceder. Assim como, os > matem?ticos cederam, mas humildemente, por duas vezes. A primeira pelo > exemplo de Frege ao receber uma carta do ent?o estudante Bertrand > Russel > (http://www.educ.fc.ul.pt/docentes/opombo/seminario/fregerussel/russelt > ofrege.htm), > depois de publicar 2 volumes, no qual formalizava a aritm?tica e que > foram > praticamente perdidos. Vale a pena ler o ?ltimo par?grafo da carta > resposta > de Frege a Russel > (http://www.educ.fc.ul.pt/docentes/opombo/seminario/fregerussel/fregeto > russell.htm). > A segunda com a prova de Godel, em 1932 exibindo uma express?o > aritm?tica > que provou ser verdadeira e falsa, ao mesmo tempo. Impacto absoluto, > que > fico sonhando existir, tamb?m, como exemplar demonstra??o ao PL do > Senador > Azeredo. Coisas imposs?veis acontecem ... > > []s, Juli?o > > > > > ----- Original Message ----- > From: "Omar Kaminski" > > > > Mas por acaso existe alguma lei perfeita? > > N?o estou defendendo a lei, pelo contr?rio, mas ao mesmo tempo n?o se > pode > esperar precis?o milim?trica. Como por exemplo, crime de homic?dio. E > se o > matador estivesse usando uma m?scara, n?o ter?amos um problema > parecido? :) > > []s > > -- > gter list https://eng.registro.br/mailman/listinfo/gter From omar at kaminski.com Sun Aug 3 22:03:34 2008 From: omar at kaminski.com (Omar Kaminski) Date: Sun, 3 Aug 2008 22:03:34 -0300 Subject: [GTER] RES: Resposta do Senador Azeredo References: <1215903187390.Bruno@openline.com.br> <200807140513.54719.miguel_penteado@ig.com.br> <487B7068.7000104@tpn.com.br> <87fd8b250807140915u7c9ffb5dl99db5b29141f697c@mail.gmail.com> <487B8B9F.5090300@tpn.com.br> <87fd8b250807141041i4d7386ectfbf38f3e91528c83@mail.gmail.com> <87fd8b250807141138s4e942a2frc821e9b0de1ce50@mail.gmail.com>

<9a2a3d780808031234t47329dfbn1f3560512cacb4b8@mail.gmail.com><000001c8f5a7$f46b37b0$dd41a710$@org> <616FD27F2FBA407181518A96B6EB8770@pegasus.com.br> Message-ID: <4D3F3447F0704CB4AE581EA66B2A9B41@home> Lei tende a ser perfeita? Dura lex, sed lex, ok. Acho que o problema est? justamente em algumas analogias que s?o usadas para tentar entender um novo fen?meno. Diante da impossibilidade de entender algo ou seu alcance, busca-se algo parecido. Ou parte-se para o obscurantismo para tentar gerar medo, ou mesmo para o ludismo. O problema do PL n?o ? (s?) jur?dico, mas sim pol?tico, e de certo modo exp?e mais uma vez as entranhas do legislativo, remetendo ? frase das salsichas e leis de Bismark. Aproveitando, ontem a FSP publicou dois pontos de vista diferentes sobre "O projeto sobre crimes na internet coloca em risco a liberdade na rede?". O favor?vel ? do ghost writer do pr?prio Azevedo, porque sendo ele engenheiro n?o teria como explicar tantos conceitos jur?dicos: http://www1.folha.uol.com.br/fsp/opiniao/fz0208200808.htm http://www1.folha.uol.com.br/fsp/opiniao/fz0208200809.htm []s ----- Original Message ----- From: "Juli?o Braga" To: "Grupo de Trabalho de Engenharia e Operacao de Redes" Sent: Sunday, August 03, 2008 8:19 PM Subject: Re: [GTER] RES: Resposta do Senador Azeredo A lei, geralmente, tende a ser perfeita, em contraposi??o ? pergunta. A imperfei??o est? em quem aplica a lei. O ser humano. Talvez para justificar o antigo prov?rbio de que "errar ? humano". No caso do crime de homic?dio, n?o o considero parecido. O cen?rio do crime do mascarado ocorre em uma regi?o geogr?fica excessivamente pequena e talvez mais f?cil para os policiais de plant?o. Nesse caso, os ind?cios podem ajudar. Dificilmente lembrar?amos de algum pais, quando um crime de homic?dio ocorre, digamos, no Rio de Janeiro, por um mascarado. Rio de Janeiro foi usada, no exemplo, porque ela ? a Cidade Maravilhosa. N?o podemos negar a imensid?o da Internet. E ai sim, lembramos do mundo todo. Mas, discutir o imponder?vel do PL do Senador Azeredo ? complicado. Poder?amos lembrar, por exemplo, do t?nel sobre DNS, preparado pelo xar? do Omar, h? alguns anos. E que todo mundo usa, inclusive usu?rios de dentro de nossa pr?pria rede, para o bem ou para o mal. Quase imposs?vel de identificar. E assim, muitas outras t?cnicas dispon?veis por ai. Cada dia mais sofisticadas. O pr?prio pessoal de seguran?a nos indica que s?o t?cnicas dific?limas de, at? mesmo, verificar se est?o sendo usadas em nossa rede em um dado momento. E a mobilidade? Essa ir? mudar a geografia das conex?es. O IPv6 e as novas t?cnicas de roteamento (se existir ...) ir?o transformar a no??o de rede. Rede local? Talvez uma remota lembran?a, hist?rica. Mas, que n?o servir? como exemplo nas salas de aulas. Foi sempre assim na pr?diga Internet. Mudan?as, surpresas, mudan?as, impactos e mudan?as! Muita intelig?ncia e criatividade rondando o ambiente. Para mim, o PL do Senador est? fora do tempo e merece ser discutida porque, presum?veis imbecilidades, que afetam toda uma sociedade, devem ser discutidas. Mas, um pol?tico n?o tem a capacidade de imaginar que seu PL ? uma aberra??o. Pessoalmente, acho que ele ter? de ceder. Assim como, os matem?ticos cederam, mas humildemente, por duas vezes. A primeira pelo exemplo de Frege ao receber uma carta do ent?o estudante Bertrand Russel (http://www.educ.fc.ul.pt/docentes/opombo/seminario/fregerussel/russeltofrege.htm), depois de publicar 2 volumes, no qual formalizava a aritm?tica e que foram praticamente perdidos. Vale a pena ler o ?ltimo par?grafo da carta resposta de Frege a Russel (http://www.educ.fc.ul.pt/docentes/opombo/seminario/fregerussel/fregetorussell.htm). A segunda com a prova de Godel, em 1932 exibindo uma express?o aritm?tica que provou ser verdadeira e falsa, ao mesmo tempo. Impacto absoluto, que fico sonhando existir, tamb?m, como exemplar demonstra??o ao PL do Senador Azeredo. Coisas imposs?veis acontecem ... []s, Juli?o ----- Original Message ----- From: "Omar Kaminski" Mas por acaso existe alguma lei perfeita? N?o estou defendendo a lei, pelo contr?rio, mas ao mesmo tempo n?o se pode esperar precis?o milim?trica. Como por exemplo, crime de homic?dio. E se o matador estivesse usando uma m?scara, n?o ter?amos um problema parecido? :) []s -- gter list https://eng.registro.br/mailman/listinfo/gter From omar at kaminski.com Sun Aug 3 22:09:01 2008 From: omar at kaminski.com (Omar Kaminski) Date: Sun, 3 Aug 2008 22:09:01 -0300 Subject: [GTER] RES: RES: Resposta do Senador Azeredo References: <1215903187390.Bruno@openline.com.br> <200807140513.54719.miguel_penteado@ig.com.br> <487B7068.7000104@tpn.com.br> <87fd8b250807140915u7c9ffb5dl99db5b29141f697c@mail.gmail.com> <487B8B9F.5090300@tpn.com.br> <87fd8b250807141041i4d7386ectfbf38f3e91528c83@mail.gmail.com> <87fd8b250807141138s4e942a2frc821e9b0de1ce50@mail.gmail.com>

<9a2a3d780808031234t47329dfbn1f3560512cacb4b8@mail.gmail.com><000001c8f5a7$f46b37b0$dd41a710$@org> <616FD27F2FBA407181518A96B6EB8770@pegasus.com.br> <000901c8f5c9$eafed520$c0fc7f60$@org> Message-ID: <05B22F52F155438AB5B1D26C13DD127D@home> O mesmo se pode dizer da pedofilia, da criminaliza??o da posse ("manter consigo") de imagens assim consideradas. Vide provas "plantadas". At? provar que focinho de porco n?o ? tomada... Infelizmente esse projeto n?o sofreu o desej?vel "stress-test", algumas coisas funcionariam isoladas mas ele n?o funciona no todo, ? incongruente, incompat?vel. Para ficar na linguagem inform?tica, est? cheio de bugs. []s ----- Original Message ----- From: "Renato Frederick" To: "'Grupo de Trabalho de Engenharia e Operacao de Redes'" Sent: Sunday, August 03, 2008 9:34 PM Subject: [GTER] RES: RES: Resposta do Senador Azeredo Juli?o e Omar. Gostaria de acrescentar a quest?o de computadores usados por pessoas n?o t?cnicas que podem pegar um v?rus ou ser um "relay" para criminosos. At? separar joio do trigo e mostrar que aquele PC ? t?o somente um zumbi, isto poderia causar danos irrevers?veis para a imagem da fam?lia ou da empresa que passa por isto. Somado aos "shows" televisivos em que se transformaram certas a??es policiais, me preocupa e muito. (...) From giulianocm at uol.com.br Sun Aug 3 23:05:19 2008 From: giulianocm at uol.com.br (GIULIANO (UOL)) Date: Sun, 03 Aug 2008 23:05:19 -0300 Subject: [GTER] Aceleracao de Links WAN Message-ID: <489663DF.1060509@uol.com.br> Pessoal, Boa noite, Alguem da lista trabalhou ou trabalha (tem experiencia) com equipamentos de aceleracao WAN (F5, Juniper, Riverbed ou Expand) ? Existe algum relato de melhoria que pudessem me passar ? Os equipamentos realmente funcionam na aceleracao de CIFs, HTTP e SSL ? Quais seriam as limitacoes e as recomendacoes para ser utilizar esse tipo de equipamento ? Obrigado, Giuliano From munhoz at gmail.com Sun Aug 3 18:57:17 2008 From: munhoz at gmail.com (Felipe Munhoz) Date: Sun, 3 Aug 2008 18:57:17 -0300 Subject: [GTER] redundancia ADSL In-Reply-To: References: <4886478C.1050101@ispbrasil.com.br> <200807241000.20108.andre.ramoni@gmail.com> <1324e07e0807251204r358d00ffqda51e65a06b1cffd@mail.gmail.com> <7a5465360807310529r3703c61bw19787b6d17694a13@mail.gmail.com> <1324e07e0807311721t7e191727jfd9f4dc38c299524@mail.gmail.com> <7a5465360808011024x66ab1c8agfc88fa693348ed26@mail.gmail.com> Message-ID: <1324e07e0808031457j23bdd36cj1ed5bd2b86e7c6f4@mail.gmail.com> Ol? Paulo, parece que o anexo n?o veio, se puder reenviar ou disponibilizar por outro meio seria de grande utilidade para o meu entendimento. 2008/8/3 Paulo Estrela > A um tempo atr?s fiz um script para automatizar isso. Segue em anexo. > Mas tudo que o Andre Ramoni falou vale. O que pode ser feito no script > pra resolver problemas de protocolos que n?o funcionam direito com > essa solu??o ? eleger um link pra tratar esse protocolos. Quando este > link cair, muda pro outro. Esse script n?o faz isso, ele faz o > failover belezinha e loga no syslog. > > para usar, edita o ilb para suas necessidades (? bem f?cil de > entender) e coloca ele em /usr/sbin/. Depois bota o loadbalancing em > /etc/init.d/ e cria o links pros rc.d para iniciar junto com a > m?quina. Esse loadbalancing foi feito pra ubuntu server/debian, mas ? > mole de adaptar pra outras distros. > > At? mais, > > Paulo Estrela > > 2008/8/1 ?10f@ ??K : > > Felipe obrigado pela documenta??o vai ser de grande utilidade. > > > > E boa sorte na implementa??o. > > > > Att. > > > > Fabio Luiz > > Analista de Suporte Linux > > Nova Prestech.net(www.prestech.net) > > > > 2008/7/31 Felipe Munhoz > > > >> Ol? agrade?o a todos pelas contribui??es enviadas, infelizmente tive um > >> contratempo em um dos links da empresa e n?o estou podendo realizar os > >> testes. > >> > >> Assim que possivel vou testar as sugest?es dadas. > >> > >> > >> 2008/7/31 ?10f@ ??K > >> > >> > Boa Tarde a Todos, > >> > > >> > Venho j? a um tempo lendo est? discuss?o e feito muito interessado > nesse > >> > comentario que foi feito por voc? Felipe e estou com uma demanda de > fazer > >> > um > >> > script para excerce exatamente essa fun??o de redundancia e vi que o > seu > >> > script pode ser bastante util. Estou ate criando um similar e desculpa > >> at? > >> > a > >> > minha ignorancia eu gostaria de saber qual ? exatamente o significado > das > >> > vareaveis abaixo > >> > > >> > 2008/7/25 Felipe Munhoz > >> > > >> > > # ip route replace default scope global via $GW2 dev $EXTIF2 > >> > > > >> > > ou > >> > > > >> > > # ip route replace default scope global via $GW1 dev $EXTIF1 > >> > > > >> > > >> > > >> > > >> > > >> > > >> > >> > onde voc? coloco $GW? ? o ip do Gateway pois reparei que voc? designa > a > >> > interface qual ?, e normalmente voc? designa ou a interface ou o ip do > >> > Gateway Gostaria muito de tirar essa duvida sera de grande utilidade. > >> > > >> > >> > >> coloquei em um script bash mais ou menos assim: > >> > >> > >> #!/bin/bash > >> > >> . /etc/net-confs > >> > >> ip route replace default scope global via $GW2 dev $EXTIF2 > >> > >> ... > >> ... > >> > >> e nesse arquivo /etc/net-confs > >> > >> #!/bin/bash > >> > >> GW2=192.168.1.1 # gateway > >> EXTIF2=eth1 > >> > >> > >> > >> d? uma olhada nessa pagina de documenta??o: > >> > >> > >> > http://www.linux.org/docs/ldp/howto/Adv-Routing-HOWTO/lartc.rpdb.multiple-links.html > >> > >> foi dela que tirei! > >> > >> > >> > >> > >> > > >> > E outra seria perguntar se no seu script na hora q vc mando o comando: > >> > # ip route add default scope global nexthop via $GW1 dev $EXTIF1 > weight > >> $W1 > >> > nexthop via $GW2 dev $EXTIF2 weight $W2 > >> > > >> > o peso para cada rota foi o mesmo? ou n?o > >> > > >> > >> sim foi sempre o mesmo, j? que n?o mudou a capacidade dos links > >> > >> assim que conseguir implementar (se conseguir!) eu explico melhor. > >> > >> > >> > >> > > >> > Obrigado > >> > >> > >> > Att. > >> > > >> > Fabio Luiz > >> > Analista de Suporte Linux > >> > Nova Prestech.net(www.prestech.net) > >> > -- > >> > gter list https://eng.registro.br/mailman/listinfo/gter > >> > > >> > >> > >> > >> -- > >> Felipe Natale Munhoz > >> Ci?ncia da Computa??o > >> N?cleo de Apoio a Projetos de Inform?tica > >> Centro Polit?cnico > >> Universidade Cat?lica de Pelotas > >> -- > >> gter list https://eng.registro.br/mailman/listinfo/gter > >> > > -- > > gter list https://eng.registro.br/mailman/listinfo/gter > > > > > > -- > At? mais, > > Paulo Estrela > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- Felipe Natale Munhoz Ci?ncia da Computa??o N?cleo de Apoio a Projetos de Inform?tica Centro Polit?cnico Universidade Cat?lica de Pelotas From alexandre.augusto at yamaha-motor.com.br Mon Aug 4 08:30:01 2008 From: alexandre.augusto at yamaha-motor.com.br (Alexandre Augusto) Date: Mon, 4 Aug 2008 08:30:01 -0300 Subject: [GTER] Aceleracao de Links WAN In-Reply-To: <489663DF.1060509@uol.com.br> Message-ID: OI Giuliano, Eu uso Juniper WX 60 para links lentos e que priorizam CIFS e HTTP e outros. Ele prioriza, comprime e balanceia. Gera gr?ficos e ? de f?cil configura??o em casos de necessidade de troca de prioridade e etc. Pra CIFS ele me mostra nos relat?rios algo em torno de 60% de compress?o e HTTP em torno de 42%. Pra mim, as limita??es s?o da caixa WX 60 que suporta apenas 2 links pois a caixa WX100 j? ? diferente... Eu n?o tenho base de compara??o pois nunca usei outro produto, mas este me atende muito bem. Tanto que entrou pra fazermos um teste e nunca mais saiu. Att Alexandre Augusto "GIULIANO (UOL)" Para Enviado por: Grupo de Trabalho de Engenharia e gter-bounces at eng. Operacao de Redes registro.br cc 08/03/2008 11:06 Assunto PM [GTER] Aceleracao de Links WAN Favor responder a giulianocm at uol.co m.br; Favor responder a Grupo de Trabalho de Engenharia e Operacao de Redes Pessoal, Boa noite, Alguem da lista trabalhou ou trabalha (tem experiencia) com equipamentos de aceleracao WAN (F5, Juniper, Riverbed ou Expand) ? Existe algum relato de melhoria que pudessem me passar ? Os equipamentos realmente funcionam na aceleracao de CIFs, HTTP e SSL ? Quais seriam as limitacoes e as recomendacoes para ser utilizar esse tipo de equipamento ? Obrigado, Giuliano -- gter list https://eng.registro.br/mailman/listinfo/gter From Rochele at unisinos.br Mon Aug 4 09:02:10 2008 From: Rochele at unisinos.br (Rochele Moreira) Date: Mon, 04 Aug 2008 12:02:10 +0000 Subject: [GTER] Roteamento pelo origem no JUNOS Message-ID: Pessoa! Obrigada a todos! Funcionou show de bola! J? uso o recurso em IOS, mas nao conseguia traduzir para JUNOS a contento. A descri??o sobre cada parte da solu??o feita pelo Ricardo Tavares tamb?m me permitiu conhecer a l?gica e servir? para outras implementa??es pendentes. Abra?os a todos, On Fri, Aug 1, 2008 at 7:10 PM, Rochele Moreira wrote: > > Ol? pessoal, > > preciso de ajuda para configurar roteamento pela origem no JUNOS. > > Algu?m, por favor, teria uma receita de bolo gen?rica para mim? > > Grata, Rochele > Rochele A. S. Moreira UNISINOS - GSI/Infra-estrutura www.unisinos.br - 51 3590-8386 inoc 19611*100 - ramal int. 1886 Antes de imprimir, pense em sua responsabilidade com o MEIO AMBIENTE. -- Esta mensagem foi verificada pelo sistema de antiv?rus e acredita-se estar livre de perigo. From carlos at nivelweb.com Sun Aug 3 20:28:14 2008 From: carlos at nivelweb.com (Carlos Henrique) Date: Sun, 03 Aug 2008 20:28:14 -0300 Subject: [GTER] Redirecionamento DNS Message-ID: <48963F0E.5070808@nivelweb.com> Ol? Pessoal, Alguem poderia me dar uma dica ou indicar documenta??o. 1? Quero deixar as consulta no meu DNS aberto, porem s? quero que a minha rede e/ou os ip que eu quero fa?am consultas. 2? Os ip n?o autorizados a consultar, ao inves de negar acesso, quero redirecionar para um IP especifico. uso Bind 9 em sua ultima vers?o. Carlos From mdonada at auroraalimentos.com.br Mon Aug 4 09:18:37 2008 From: mdonada at auroraalimentos.com.br (=?ISO-8859-1?Q?M=E1rcio_Luciano_Donada?=) Date: Mon, 04 Aug 2008 09:18:37 -0300 Subject: [GTER] [OFF] Skype Message-ID: <4896F39D.2000703@auroraalimentos.com.br> Senhores, Desculpe retomar esse assunto off na lista, mas gostaria de saber qual ? a solu??o que os senhores est?o utilizando para barrar o skype utilizando sistemas linux / iptables (layer7). Ele chega at? a reconhecer a conex?o mas o skype acha sempre uma maneira de realizar a conex?o, demora mas acha. Nestas alturas todas as dicas s?o bem vindas. Obrigado, -- M?rcio Luciano Donada Aurora Alimentos - Cooperativa Central Oeste Catarinense Departamento de T.I. From carolbozza at gmail.com Mon Aug 4 10:10:52 2008 From: carolbozza at gmail.com (M. Carolina Bozza) Date: Mon, 4 Aug 2008 10:10:52 -0300 Subject: [GTER] Aceleracao de Links WAN In-Reply-To: References: <489663DF.1060509@uol.com.br> Message-ID: Bom dia a todos!! Eu j? implementei Blue Coat, Packeteer e F5. Sinceramente, eu acho o Blue Coat uma solu??o muito mais completa, principalmente agora que adquiriu a Packeteer. A vantagem do Proxy SG (da Blue Coat) ? justamente ser capaz de trabalhar com tr?fego SSL. ? o ?nico que promete acelerar Citrix (ICA) tb!! Fora isso tudo, possui umas outras tantas features de seguran?a. O PacketShaper (da Packeteer) ? um equipamento com uma visualiza??o FANT?STICA!! Serve at? como equipamento de consultoria, uma vez que espetando na rede, vc descobre todo tipo de trafego que passa por ela, inclusive diferencia as diversas aplica??es que rodam numa mesma porta (como http, msn, p2p em porta 80). Sua solu??o de CIFS, o iShared, deixa a desejar... Muito complicada, cheia dos detalhes e nao funciona bem em qq ambiente. O WanJet, da F5, ? bacana, mas a configura??o ? meio chatinha. Rola um trabalho bra?al imenso quando se tem muitas VLANs e muitas aplica??es a serem otimizadas. N?o sei como est? o S.O. e nem as telas de conf, mas o roadmap era bem positivo pra essa solu??o! Se precisar de mais detalhes, pode contactar em PVT. Abra?o, -- Carolina Bozza 2008/8/4 Alexandre Augusto > OI Giuliano, > > Eu uso Juniper WX 60 para links lentos e que priorizam CIFS e HTTP e > outros. > Ele prioriza, comprime e balanceia. Gera gr?ficos e ? de f?cil configura??o > em casos de necessidade de troca de prioridade e etc. > > Pra CIFS ele me mostra nos relat?rios algo em torno de 60% de compress?o e > HTTP em torno de 42%. > Pra mim, as limita??es s?o da caixa WX 60 que suporta apenas 2 links pois a > caixa WX100 j? ? diferente... > > Eu n?o tenho base de compara??o pois nunca usei outro produto, mas este me > atende muito bem. > Tanto que entrou pra fazermos um teste e nunca mais saiu. > > Att > > Alexandre Augusto > > > > > > "GIULIANO (UOL)" > om.br> Para > Enviado por: Grupo de Trabalho de Engenharia e > gter-bounces at eng. Operacao de Redes > registro.br > cc > > 08/03/2008 11:06 Assunto > PM [GTER] Aceleracao de Links WAN > > > Favor responder a > giulianocm at uol.co > m.br; Favor > responder a > Grupo de Trabalho > de Engenharia e > Operacao de Redes > o.br> > > > > > > > Pessoal, > > Boa noite, > > Alguem da lista trabalhou ou trabalha (tem experiencia) com equipamentos > de aceleracao WAN (F5, Juniper, Riverbed ou Expand) ? > > Existe algum relato de melhoria que pudessem me passar ? Os equipamentos > realmente funcionam na aceleracao de CIFs, HTTP e SSL ? > > Quais seriam as limitacoes e as recomendacoes para ser utilizar esse > tipo de equipamento ? > > Obrigado, > > Giuliano > -- > gter list https://eng.registro.br/mailman/listinfo/gter > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From rubensk at gmail.com Mon Aug 4 11:05:34 2008 From: rubensk at gmail.com (Rubens Kuhl Jr.) Date: Mon, 4 Aug 2008 11:05:34 -0300 Subject: [GTER] Aceleracao de Links WAN In-Reply-To: References: <489663DF.1060509@uol.com.br> Message-ID: <6bb5f5b10808040705o338008eds5efc7c645b40d5df@mail.gmail.com> 2008/8/4 Alexandre Augusto : > OI Giuliano, > > Eu uso Juniper WX 60 para links lentos e que priorizam CIFS e HTTP e > outros. > Ele prioriza, comprime e balanceia. Gera gr?ficos e ? de f?cil configura??o > em casos de necessidade de troca de prioridade e etc. Alexandre, imagino que lento se refira a sat?lite no caso do seu empregador, n?o ? Eu j? usei uma plataforma que n?o as listadas de acelera??o espec?fica para acesso Internet via sat?lite, e de fato faz toda a diferen?a... mas se o custo desses equipamentos para uso em links terrestres faz sentido ou n?o, ? algo para colocar numa planilha e avaliar. Eu tenho a sensa??o de que n?o ?, exceto em casos de inviabilidade t?cnica (ex: local s? tem xDSL de 300 kbps de Uplink e n?o h? outra op??o). Rubens From filipealvarez at gmail.com Mon Aug 4 09:27:27 2008 From: filipealvarez at gmail.com (Filipe Alvarez) Date: Mon, 4 Aug 2008 09:27:27 -0300 Subject: [GTER] [OFF] Skype In-Reply-To: <4896F39D.2000703@auroraalimentos.com.br> References: <4896F39D.2000703@auroraalimentos.com.br> Message-ID: <3e542ead0808040527j7857f6adoe82389a52bccdb01@mail.gmail.com> 2008/8/4 M?rcio Luciano Donada : > Nestas alturas todas as dicas s?o bem vindas. Sugiro que voc? bloqueie todas as portas e libere somente as necess?rias como 80, 25, 110 etc. Se o Skype insistir em continuar conectando via porta 80, verifique os logs do squid e fa?a o bloqueio tamb?m. []s From rogerpop at gmail.com Mon Aug 4 09:34:57 2008 From: rogerpop at gmail.com (=?ISO-8859-1?Q?Rog=E9rio_Moura?=) Date: Mon, 4 Aug 2008 09:34:57 -0300 Subject: [GTER] [OFF] Skype In-Reply-To: <4896F39D.2000703@auroraalimentos.com.br> References: <4896F39D.2000703@auroraalimentos.com.br> Message-ID: Cara, aqui com o squid conseguimos barrar, usa essa ACL acl numeric url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+ http_access deny CONNECT numeric 2008/8/4 M?rcio Luciano Donada : > Senhores, > Desculpe retomar esse assunto off na lista, mas gostaria de saber qual ? > a solu??o que os senhores est?o utilizando para barrar o skype > utilizando sistemas linux / iptables (layer7). Ele chega at? a > reconhecer a conex?o mas o skype acha sempre uma maneira de realizar a > conex?o, demora mas acha. Nestas alturas todas as dicas s?o bem vindas. > > Obrigado, > -- > M?rcio Luciano Donada > Aurora Alimentos - Cooperativa Central Oeste Catarinense > Departamento de T.I. > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From sormany at tj.rr.gov.br Mon Aug 4 09:50:18 2008 From: sormany at tj.rr.gov.br (Sormany Brilhante) Date: Mon, 04 Aug 2008 08:50:18 -0400 Subject: [GTER] =?iso-8859-1?q?RES=3A__Resposta_do_Senador_Azeredo_-_UMA_O?= =?iso-8859-1?q?BSERVA=C7=C3O?= In-Reply-To: <000001c8f5a7$f46b37b0$dd41a710$@org> References: <1215903187390.Bruno@openline.com.br> <200807140513.54719.miguel_penteado@ig.com.br> <487B7068.7000104@tpn.com.br> <87fd8b250807140915u7c9ffb5dl99db5b29141f697c@mail.gmail.com> <487B8B9F.5090300@tpn.com.br> <87fd8b250807141041i4d7386ectfbf38f3e91528c83@mail.gmail.com> <87fd8b250807141138s4e942a2frc821e9b0de1ce50@mail.gmail.com>

<9a2a3d780808031234t47329dfbn1f3560512cacb4b8@mail.gmail.com> <000001c8f5a7$f46b37b0$dd41a710$@org> Message-ID: <1217854218.14725.34.camel@scas03> Caros, H? muito tempo que venho acompanhando o desenrolar destes projetos, e por aqui deixo uns pensamentos: A Internet ? uma terra sem lei? - H? muito tempo que pessoas s?o condenadas por analogia aos seus crimes praticados na rede, crimes que dificilmente podem ser negados por quem fez, pois h? transferencia de dinheiro, compras efetuadas, sites free proxies acessados, ou seja, o fulano deixou um rastro incontestavel. Ora, mais ao praticar a lei dessa forma, h? muito mais brechas(disse "muito mais"), ai o sujeito se livra f?cil. Creio que a inten??o destes projetos ? de iniciar discuss?o seguindo para leis mais espec?ficas, na pr?tica se uma lei ? inconstitucional e mesmo assim passa, ? derrubada do leito jur?dico e sofre diversas mudan?as, assim como a sociedade, que vem mudando. As doutrinas existem para isso, muitos juritas derrubam diversas partes de leis, mais daqui a 20 anos vamos nos lembrar de como essas leis que iniciaram eram horriveis, mais se n?o come?armos agora, daqui a 10 anos vamos ainda estar sofrendo de impunidades. Lembro de varias pessoas dizerem que na Internet os ped?filos estao protegidos, pelo contrario, eles nao estao e ? mais facil acha-los, a questao ?, se eles aliciarem criancas pela Internet, como tipificar isso? ele bateu papo e nada mais, isso ? crime? como analisar isso?. > Lembro de um caso de amea?a a um Secret?rio de Estado enviada anonimamente por email, a autoridade se dirigiu ao seu assessor e disse, "quero que voce investigue isso", o assessor foi ao Chefe da Informatica e disse a mesma coisa, ai o chefe foi ao chefe da ?rea de redes e pediu a mesma coisa e recebeu como resposta; " Pera ai...isso ? amea?a! temos que ir a delegacia primeiro, pois se nao tudo que encontramos nao valera nada". Boa observacao disse o chefe e voltou ao seu chefe imediato que na escala ascendente chegou ao secret?rio, que ouviu tudo aquilo e disse: "Mais isso nao ? um crime ELETRONICO? la eles nao vao saber nem como come?ar, nao tem lei nenhuma pra isso...ser? que eles vao considerar como amea?a? Quero saber quem foi, ai deixe o resto comigo..ja que nao tem lei pra isso. Pra finalizar, as leis para crimes n?o informaticos(este ? o termo certo?) deixam brechas para se condenar inocentes, mais creio que o sistema como um todo ? que permite isso, mais os outros tipos de leis tambem nao? Pensem que devemos iniciar, mesmo que com muitos erros, cerceamento(de alguma forma da liberdade), mais iniciamos um processo de mudan?a. P.S: o cara da rede n?o sou eu. Sormany Brilhante Bel. Sistemas de Informa??o Tribunal de Justi?a de Roraima Chefe da Divis?o de Redes 95-3621-2662 From mbonani at gmail.com Mon Aug 4 10:21:53 2008 From: mbonani at gmail.com (Mauricio Bonani) Date: Mon, 4 Aug 2008 10:21:53 -0300 Subject: [GTER] [OFF] Skype In-Reply-To: <4896F39D.2000703@auroraalimentos.com.br> References: <4896F39D.2000703@auroraalimentos.com.br> Message-ID: <2e98af190808040621h58f8e9cbif40d2e1748d62301@mail.gmail.com> Eu costumo fazer todos os usu?rios sair obrigatoriamente pelo squid e usar as seguintes regras: acl numeric url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+ http_access deny CONNECT numeric Obviamente a express?o regular precisa ser melhorada para 'casar' apenas com edere?os IP. Dessa forma consegui bloquear o skype na rede. 2008/8/4 M?rcio Luciano Donada : > Senhores, > Desculpe retomar esse assunto off na lista, mas gostaria de saber qual ? > a solu??o que os senhores est?o utilizando para barrar o skype > utilizando sistemas linux / iptables (layer7). Ele chega at? a > reconhecer a conex?o mas o skype acha sempre uma maneira de realizar a > conex?o, demora mas acha. Nestas alturas todas as dicas s?o bem vindas. > > Obrigado, -- Mauricio Bonani mailto:mbonani at gmail.com From mbonani at gmail.com Mon Aug 4 10:29:01 2008 From: mbonani at gmail.com (Mauricio Bonani) Date: Mon, 4 Aug 2008 10:29:01 -0300 Subject: [GTER] [OFF] Skype In-Reply-To: <2e98af190808040621h58f8e9cbif40d2e1748d62301@mail.gmail.com> References: <4896F39D.2000703@auroraalimentos.com.br> <2e98af190808040621h58f8e9cbif40d2e1748d62301@mail.gmail.com> Message-ID: <2e98af190808040629p26f711fcnf61475a3b23517f3@mail.gmail.com> Para complementar: http://www1.cs.columbia.edu/~salman/skype/BlockingSkype_corp.pdf 2008/8/4 Mauricio Bonani : > Eu costumo fazer todos os usu?rios sair obrigatoriamente pelo squid e > usar as seguintes regras: > > acl numeric url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+ > http_access deny CONNECT numeric > > Obviamente a express?o regular precisa ser melhorada para 'casar' > apenas com edere?os IP. > > Dessa forma consegui bloquear o skype na rede. -- Mauricio Bonani mailto:mbonani at gmail.com From wagnerpaxs at gmail.com Mon Aug 4 11:13:07 2008 From: wagnerpaxs at gmail.com (Wagner Santos (xwindow)) Date: Mon, 4 Aug 2008 11:13:07 -0300 Subject: [GTER] [OFF] Skype In-Reply-To: <4896F39D.2000703@auroraalimentos.com.br> References: <4896F39D.2000703@auroraalimentos.com.br> Message-ID: Voc? pode optar por algo radical, como bloquear tudo e liberar apenas os servi?os que os usu?rios de sua rede utilizam, como por exemplo http, https, ftp, smtp, pop3 etc... 2008/8/4 M?rcio Luciano Donada > Senhores, > Desculpe retomar esse assunto off na lista, mas gostaria de saber qual ? > a solu??o que os senhores est?o utilizando para barrar o skype > utilizando sistemas linux / iptables (layer7). Ele chega at? a > reconhecer a conex?o mas o skype acha sempre uma maneira de realizar a > conex?o, demora mas acha. Nestas alturas todas as dicas s?o bem vindas. > > Obrigado, > -- > M?rcio Luciano Donada > Aurora Alimentos - Cooperativa Central Oeste Catarinense > Departamento de T.I. > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- Wagner Santos 81 9127 9823 / 81 8781 9823 wagnerpaxs @NOSPAM gmail.com wagner @NOSPAM dotlinux.net ICQ: 83709017 | Jabber: xwindow at jabber.org Linux User #408917 DotLinux.Net - http://www.dotlinux.net/ Debian-PE - http://pe.debianbrasil.org/ From mdonada at auroraalimentos.com.br Mon Aug 4 13:12:34 2008 From: mdonada at auroraalimentos.com.br (=?ISO-8859-1?Q?M=E1rcio_Luciano_Donada?=) Date: Mon, 04 Aug 2008 13:12:34 -0300 Subject: [GTER] [OFF] Skype In-Reply-To: References: <4896F39D.2000703@auroraalimentos.com.br> Message-ID: <48972A72.1030102@auroraalimentos.com.br> Wagner Santos (xwindow) escreveu: > Voc? pode optar por algo radical, como bloquear tudo e liberar apenas os > servi?os que os usu?rios de sua rede utilizam, como por exemplo http, https, > ftp, smtp, pop3 etc... > > 2008/8/4 M?rcio Luciano Donada Wagner, Hoje o meu firewall j? ? assim, libero somente alguns servi?os. Vou partir para a dicas dos colegas sobre o squid. Obrigado. -- M?rcio Luciano Donada Aurora Alimentos - Cooperativa Central Oeste Catarinense Departamento de T.I. From marcio.merlone at a1.ind.br Mon Aug 4 13:25:46 2008 From: marcio.merlone at a1.ind.br (Marcio Merlone) Date: Mon, 04 Aug 2008 13:25:46 -0300 Subject: [GTER] [OFF] Skype In-Reply-To: <2e98af190808040629p26f711fcnf61475a3b23517f3@mail.gmail.com> References: <4896F39D.2000703@auroraalimentos.com.br> <2e98af190808040621h58f8e9cbif40d2e1748d62301@mail.gmail.com> <2e98af190808040629p26f711fcnf61475a3b23517f3@mail.gmail.com> Message-ID: <48972D8A.6070305@a1.ind.br> Observei tamb?m que se seu proxy for autenticado (exigir usu?rio e senha) o skype tamb?m n?o consegue passar, mesmo que lendo as configura??es do IE, mesmo que o IE detecte as configura??es automaticamente. Desta forma nem precisa fazer o bloqueio abaixo, que pode e vai um dia gerar falso positivo. Sds. Mauricio Bonani escreveu: > Para complementar: > http://www1.cs.columbia.edu/~salman/skype/BlockingSkype_corp.pdf > > 2008/8/4 Mauricio Bonani : > >> Eu costumo fazer todos os usu?rios sair obrigatoriamente pelo squid e >> usar as seguintes regras: >> >> acl numeric url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+ >> http_access deny CONNECT numeric >> -- Marcio Merlone From mdonada at auroraalimentos.com.br Mon Aug 4 13:50:02 2008 From: mdonada at auroraalimentos.com.br (=?ISO-8859-1?Q?M=E1rcio_Luciano_Donada?=) Date: Mon, 04 Aug 2008 13:50:02 -0300 Subject: [GTER] [OFF] Skype In-Reply-To: References: <4896F39D.2000703@auroraalimentos.com.br> Message-ID: <4897333A.40303@auroraalimentos.com.br> Wagner Santos (xwindow) escreveu: > Voc? pode optar por algo radical, como bloquear tudo e liberar apenas os > servi?os que os usu?rios de sua rede utilizam, como por exemplo http, https, > ftp, smtp, pop3 etc... > Esse ? o problemas, as vezes eu vejo que ele est? saindo pela porta 443, ai se eu tiver que colocar no firewall todos os destinos utilizados pela nossa rede na porta 443, ai sim to ferrado, -- M?rcio Luciano Donada Aurora Alimentos - Cooperativa Central Oeste Catarinense Departamento de T.I. From henrique at fassi.eti.br Mon Aug 4 10:03:21 2008 From: henrique at fassi.eti.br (Henrique Fassi) Date: Mon, 04 Aug 2008 10:03:21 -0300 Subject: [GTER] Redirecionamento DNS In-Reply-To: <48963F0E.5070808@nivelweb.com> References: <48963F0E.5070808@nivelweb.com> Message-ID: <4896FE19.4050809@fassi.eti.br> Carlos, Tanto para restringir o acesso quanto para os redirecionamentos vc deve usar regras de firewall (iptables). Abs, Em 03/08/2008 20:28, Carlos Henrique escreveu: > Ol? Pessoal, > > Alguem poderia me dar uma dica ou indicar documenta??o. > > 1? Quero deixar as consulta no meu DNS aberto, porem s? quero que a > minha rede e/ou os ip que eu quero fa?am consultas. > 2? Os ip n?o autorizados a consultar, ao inves de negar acesso, > quero redirecionar para um IP especifico. > > uso Bind 9 em sua ultima vers?o. > > Carlos -- Henrique Fassi henrique at fassi.eti.br www.fassi.eti.br (71) 9138-6337 From marcus at sbh.eng.br Mon Aug 4 10:05:54 2008 From: marcus at sbh.eng.br (Marcus Alves Grando) Date: Mon, 04 Aug 2008 10:05:54 -0300 Subject: [GTER] Redirecionamento DNS In-Reply-To: <48963F0E.5070808@nivelweb.com> References: <48963F0E.5070808@nivelweb.com> Message-ID: <4896FEB2.6000503@sbh.eng.br> Carlos Henrique wrote: > Ol? Pessoal, > > Alguem poderia me dar uma dica ou indicar documenta??o. > > 1? Quero deixar as consulta no meu DNS aberto, porem s? quero que a > minha rede e/ou os ip que eu quero fa?am consultas. http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/ > 2? Os ip n?o autorizados a consultar, ao inves de negar acesso, quero > redirecionar para um IP especifico. Que eu saiba n?o existe essa feature no protocolo. Abra?os > > uso Bind 9 em sua ultima vers?o. > > Carlos > > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter -- Marcus Alves Grando marcus(at)sbh.eng.br | Personal mnag(at)FreeBSD.org | FreeBSD.org From leandro at limaesilva.com.br Mon Aug 4 10:43:19 2008 From: leandro at limaesilva.com.br (Leandro Pereira de Lima e Silva) Date: Mon, 4 Aug 2008 10:43:19 -0300 Subject: [GTER] [OFF] Skype In-Reply-To: <4896F39D.2000703@auroraalimentos.com.br> References: <4896F39D.2000703@auroraalimentos.com.br> Message-ID: <761ea0990808040643j77bb384ck6858b7bc289ef1e5@mail.gmail.com> At? onde eu sei, n?o d? pra barrar skype sem sacrificar a navega??o. Na pior das hip?teses ele passa via https. []s Leandro 2008/8/4 M?rcio Luciano Donada > Senhores, > Desculpe retomar esse assunto off na lista, mas gostaria de saber qual ? > a solu??o que os senhores est?o utilizando para barrar o skype > utilizando sistemas linux / iptables (layer7). Ele chega at? a > reconhecer a conex?o mas o skype acha sempre uma maneira de realizar a > conex?o, demora mas acha. Nestas alturas todas as dicas s?o bem vindas. > > Obrigado, > -- > M?rcio Luciano Donada > Aurora Alimentos - Cooperativa Central Oeste Catarinense > Departamento de T.I. > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- Leandro Pereira de Lima e Silva From leandro at limaesilva.com.br Mon Aug 4 10:45:20 2008 From: leandro at limaesilva.com.br (Leandro Pereira de Lima e Silva) Date: Mon, 4 Aug 2008 10:45:20 -0300 Subject: [GTER] Redirecionamento DNS In-Reply-To: <48963F0E.5070808@nivelweb.com> References: <48963F0E.5070808@nivelweb.com> Message-ID: <761ea0990808040645t2d070563t97d4a90582598cf2@mail.gmail.com> O segundo eu usaria DNAT do netfilter pra fazer. $ iptables -j DNAT -h []s Leandro 2008/8/3 Carlos Henrique > Ol? Pessoal, > > Alguem poderia me dar uma dica ou indicar documenta??o. > > 1? Quero deixar as consulta no meu DNS aberto, porem s? quero que a minha > rede e/ou os ip que eu quero fa?am consultas. > 2? Os ip n?o autorizados a consultar, ao inves de negar acesso, quero > redirecionar para um IP especifico. > > uso Bind 9 em sua ultima vers?o. > > Carlos > > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- Leandro Pereira de Lima e Silva From sergio at wgo.com.br Mon Aug 4 12:41:17 2008 From: sergio at wgo.com.br (=?iso-8859-1?Q?S=E9rgio_Ferreira_=28_WGO_=29?=) Date: Mon, 4 Aug 2008 12:41:17 -0300 Subject: [GTER] RES: Aceleracao de Links WAN In-Reply-To: <6bb5f5b10808040705o338008eds5efc7c645b40d5df@mail.gmail.com> References: <489663DF.1060509@uol.com.br> <6bb5f5b10808040705o338008eds5efc7c645b40d5df@mail.gmail.com> Message-ID: <00df01c8f648$890a4910$9b1edb30$@com.br> Vamos come?ar a testar o Cisco WAAS aqui na Mitsubishi...quando terminarmos os testes coloco aqui na lista. []s S?rgio Ferreira MMC Automotores do Brasil Ltda Mitsubishi Motors -----Mensagem original----- De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Rubens Kuhl Jr. Enviada em: segunda-feira, 4 de agosto de 2008 11:06 Para: Grupo de Trabalho de Engenharia e Operacao de Redes Assunto: Re: [GTER] Aceleracao de Links WAN 2008/8/4 Alexandre Augusto : > OI Giuliano, > > Eu uso Juniper WX 60 para links lentos e que priorizam CIFS e HTTP e > outros. > Ele prioriza, comprime e balanceia. Gera gr?ficos e ? de f?cil configura??o > em casos de necessidade de troca de prioridade e etc. Alexandre, imagino que lento se refira a sat?lite no caso do seu empregador, n?o ? Eu j? usei uma plataforma que n?o as listadas de acelera??o espec?fica para acesso Internet via sat?lite, e de fato faz toda a diferen?a... mas se o custo desses equipamentos para uso em links terrestres faz sentido ou n?o, ? algo para colocar numa planilha e avaliar. Eu tenho a sensa??o de que n?o ?, exceto em casos de inviabilidade t?cnica (ex: local s? tem xDSL de 300 kbps de Uplink e n?o h? outra op??o). Rubens -- gter list https://eng.registro.br/mailman/listinfo/gter From leandro at limaesilva.com.br Mon Aug 4 12:55:03 2008 From: leandro at limaesilva.com.br (Leandro Pereira de Lima e Silva) Date: Mon, 4 Aug 2008 12:55:03 -0300 Subject: [GTER] [OFF] Skype In-Reply-To: <2e98af190808040621h58f8e9cbif40d2e1748d62301@mail.gmail.com> References: <4896F39D.2000703@auroraalimentos.com.br> <2e98af190808040621h58f8e9cbif40d2e1748d62301@mail.gmail.com> Message-ID: <761ea0990808040855k39fa82arb117fdf77711260c@mail.gmail.com> Seus usu?rios acessam sites seguros (https)? []s Leandro 2008/8/4 Mauricio Bonani > Eu costumo fazer todos os usu?rios sair obrigatoriamente pelo squid e > usar as seguintes regras: > > acl numeric url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+ > http_access deny CONNECT numeric > > Obviamente a express?o regular precisa ser melhorada para 'casar' > apenas com edere?os IP. > > Dessa forma consegui bloquear o skype na rede. > > 2008/8/4 M?rcio Luciano Donada : > > Senhores, > > Desculpe retomar esse assunto off na lista, mas gostaria de saber qual ? > > a solu??o que os senhores est?o utilizando para barrar o skype > > utilizando sistemas linux / iptables (layer7). Ele chega at? a > > reconhecer a conex?o mas o skype acha sempre uma maneira de realizar a > > conex?o, demora mas acha. Nestas alturas todas as dicas s?o bem vindas. > > > > Obrigado, > > -- > Mauricio Bonani > mailto:mbonani at gmail.com > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- Leandro Pereira de Lima e Silva From drapelli at terra.com.br Mon Aug 4 14:01:21 2008 From: drapelli at terra.com.br (Denilson Rapelli) Date: Mon, 4 Aug 2008 14:01:21 -0300 Subject: [GTER] [OFF] Skype References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> Message-ID: <01af01c8f653$bab8f0a0$6401a8c0@toshibauser> No skype tem uma opcao na configuracao dele que voce pode escolher por que por ele deve sair e ate mesmo que se a porta escolhida nao estiver disponivel que ele saia pela porta 80 se for para bloquear que voce quer tera alguns problemas ... abracos Denilson ----- Original Message ----- From: "M?rcio Luciano Donada" To: "Grupo de Trabalho de Engenharia e Operacao de Redes" Sent: Monday, August 04, 2008 1:50 PM Subject: Re: [GTER] [OFF] Skype Wagner Santos (xwindow) escreveu: > Voc? pode optar por algo radical, como bloquear tudo e liberar apenas os > servi?os que os usu?rios de sua rede utilizam, como por exemplo http, > https, > ftp, smtp, pop3 etc... > Esse ? o problemas, as vezes eu vejo que ele est? saindo pela porta 443, ai se eu tiver que colocar no firewall todos os destinos utilizados pela nossa rede na porta 443, ai sim to ferrado, -- M?rcio Luciano Donada Aurora Alimentos - Cooperativa Central Oeste Catarinense Departamento de T.I. -- gter list https://eng.registro.br/mailman/listinfo/gter From tcosta at mdsystems.com.br Mon Aug 4 13:57:31 2008 From: tcosta at mdsystems.com.br (Tiago Machado Costa) Date: Mon, 4 Aug 2008 13:57:31 -0300 Subject: [GTER] RES: [OFF] Skype In-Reply-To: <4897333A.40303@auroraalimentos.com.br> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> Message-ID: <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> O ?nico jeito que eu conhe?o para o bloqueio do Skype ? com L7. Nunca testei, mas me disseram que funciona. O Skype sai por varias portas diferentes. ? praticamente uma 'praga' []s Tiago Machado -----Mensagem original----- De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de M?rcio Luciano Donada Enviada em: segunda-feira, 4 de agosto de 2008 13:50 Para: Grupo de Trabalho de Engenharia e Operacao de Redes Assunto: Re: [GTER] [OFF] Skype Wagner Santos (xwindow) escreveu: > Voc? pode optar por algo radical, como bloquear tudo e liberar apenas os > servi?os que os usu?rios de sua rede utilizam, como por exemplo http, https, > ftp, smtp, pop3 etc... > Esse ? o problemas, as vezes eu vejo que ele est? saindo pela porta 443, ai se eu tiver que colocar no firewall todos os destinos utilizados pela nossa rede na porta 443, ai sim to ferrado, -- M?rcio Luciano Donada Aurora Alimentos - Cooperativa Central Oeste Catarinense Departamento de T.I. -- gter list https://eng.registro.br/mailman/listinfo/gter From leolistas at solutti.com.br Mon Aug 4 13:58:51 2008 From: leolistas at solutti.com.br (=?ISO-8859-1?Q?Leonardo_Rodrigues_Magalh=E3es?=) Date: Mon, 04 Aug 2008 13:58:51 -0300 Subject: [GTER] [OFF] Skype In-Reply-To: <4897333A.40303@auroraalimentos.com.br> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> Message-ID: <4897354B.8070106@solutti.com.br> M?rcio Luciano Donada escreveu: > > Esse ? o problemas, as vezes eu vejo que ele est? saindo pela porta 443, > ai se eu tiver que colocar no firewall todos os destinos utilizados pela > nossa rede na porta 443, ai sim to ferrado, > > bloqueie tcp/443 no firewall e exiga que todos os navegadores da rede configurem o squid l? no proxy. Assim voc? ter? acesso https normal, atrav?s do squid, e conseguir? restringir o skype. enquanto seu firewall permitir NAT de tcp/443, voc? n?o conseguir? controlar o skype. Tendo NAT da porta, n?o adianta nada colocar as regras j? citadas no squid.conf, j? que o skype vai tentar conectar primeiro direto e vai conseguir, n?o tentando nunca atrav?s do squid. -- Atenciosamente / Sincerily, Leonardo Rodrigues Solutti Tecnologia http://www.solutti.com.br Minha armadilha de SPAM, N?O mandem email gertrudes at solutti.com.br My SPAMTRAP, do not email it From nandowill at gmail.com Mon Aug 4 14:39:57 2008 From: nandowill at gmail.com (Fernando Willemann) Date: Mon, 4 Aug 2008 14:39:57 -0300 Subject: [GTER] Aceleracao de Links WAN In-Reply-To: <6bb5f5b10808040705o338008eds5efc7c645b40d5df@mail.gmail.com> References: <489663DF.1060509@uol.com.br> <6bb5f5b10808040705o338008eds5efc7c645b40d5df@mail.gmail.com> Message-ID: <31120fa90808041039g6eb80593l43e4e0f0e78f4134@mail.gmail.com> Boa tarde! Quando falas em acelera??o Wan, precisas necessariamente de compress?o? Trabalho com um equipamento de QoS com Deep Packet Inspection (DPI) e controle aplica??o/tr?fego atrav?s de assinaturas de aplicativos, que permite uma ?tima visualiza??o dos protocolos que est?o trafegando na rede. Percebo que ?s vezes um bom conhecimento do tr?fego + boas pol?ticas de prioriza??o podem otimizar muito a rede. Um abra?o, Fernando Willemann 2008/8/4 Rubens Kuhl Jr. : > 2008/8/4 Alexandre Augusto : >> OI Giuliano, >> >> Eu uso Juniper WX 60 para links lentos e que priorizam CIFS e HTTP e >> outros. >> Ele prioriza, comprime e balanceia. Gera gr?ficos e ? de f?cil configura??o >> em casos de necessidade de troca de prioridade e etc. > > Alexandre, imagino que lento se refira a sat?lite no caso do seu > empregador, n?o ? > > Eu j? usei uma plataforma que n?o as listadas de acelera??o espec?fica > para acesso Internet via sat?lite, e de fato faz toda a diferen?a... > mas se o custo desses equipamentos para uso em links terrestres faz > sentido ou n?o, ? algo para colocar numa planilha e avaliar. Eu tenho > a sensa??o de que n?o ?, exceto em casos de inviabilidade t?cnica (ex: > local s? tem xDSL de 300 kbps de Uplink e n?o h? outra op??o). > > > > Rubens > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From fernando at bluesolutions.com.br Mon Aug 4 14:58:50 2008 From: fernando at bluesolutions.com.br (Fernando Ulisses dos Santos) Date: Mon, 04 Aug 2008 14:58:50 -0300 Subject: [GTER] Redirecionamento DNS In-Reply-To: <4896FEB2.6000503@sbh.eng.br> References: <48963F0E.5070808@nivelweb.com> <4896FEB2.6000503@sbh.eng.br> Message-ID: <4897435A.1070003@bluesolutions.com.br> Carlos, Voc? vai ter que criar duas views, uma para seu pessoal interno, com permiss?o de recursivo, e outra para o pessoal externo, dessa forma: view "interno" { match-clients { 192.168.0.0/16; }; ... op??es do recursivo interno que n?o tenho na m?o agora mas tem nos links que enviaram na lista ... } view "externos" { match-clients { !192.168.0.0/16; }; // aten??o para o ! que significa NOT zone "." IN { type master; file "everything"; }; }; No arquivo everything voc? cria um arquivo de DNS normal, com uma ?nica entrada: ----- $TTL 86400 @ IN SOA teste. root.teste. ( 1997022700 ; Serial 28800 ; Refresh 14400 ; Retry 3600000 ; Expire 86400 ) ; Minimum IN NS teste. * IN A 192.168.0.1 ----- Acho que dessa forma voc? n?o pode responder DNS autoritativo para nenhum dom?nio. No apache, voc? ter? que configurar para que as p?ginas de erro apresentem a sua mensagem, por exemplo, quando o usu?rio acessar http://www.empresadele.com.br/webmail (que est? no Bookmark dele) na verdade vai acessar http://192.168.0.1/webmail que n?o existe, da? a necessidade dessa configura??o. Com outros protocolos ? melhor deixar dar erro. -- Fernando Ulisses dos Santos Blue Solutions - Solu??es em TI 19-3551-3898 / 11-4062-9218 fernando at bluesolutions.com.br Certificado Linux LPIC-1 Em 08/04/2008 10:05 AM, Marcus Alves Grando escreveu: > Carlos Henrique wrote: >> Ol? Pessoal, >> >> Alguem poderia me dar uma dica ou indicar documenta??o. >> >> 1? Quero deixar as consulta no meu DNS aberto, porem s? quero que a >> minha rede e/ou os ip que eu quero fa?am consultas. > > http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/ > >> 2? Os ip n?o autorizados a consultar, ao inves de negar acesso, >> quero redirecionar para um IP especifico. > > Que eu saiba n?o existe essa feature no protocolo. > > Abra?os > >> >> uso Bind 9 em sua ultima vers?o. >> >> Carlos >> >> >> >> -- >> gter list https://eng.registro.br/mailman/listinfo/gter > > From mdonada at auroraalimentos.com.br Mon Aug 4 16:23:08 2008 From: mdonada at auroraalimentos.com.br (=?ISO-8859-1?Q?M=E1rcio_Luciano_Donada?=) Date: Mon, 04 Aug 2008 16:23:08 -0300 Subject: [GTER] [OFF] Skype In-Reply-To: <761ea0990808040855k39fa82arb117fdf77711260c@mail.gmail.com> References: <4896F39D.2000703@auroraalimentos.com.br> <2e98af190808040621h58f8e9cbif40d2e1748d62301@mail.gmail.com> <761ea0990808040855k39fa82arb117fdf77711260c@mail.gmail.com> Message-ID: <4897571C.3080200@auroraalimentos.com.br> Leandro Pereira de Lima e Silva escreveu: > Seus usu?rios acessam sites seguros (https)? > > []s Leandro > Sim, pois cada depto. tem os seus como financeiro, cont?bil, depto t?cnico. -- M?rcio Luciano Donada Aurora Alimentos - Cooperativa Central Oeste Catarinense Departamento de T.I. From mdonada at auroraalimentos.com.br Mon Aug 4 16:24:10 2008 From: mdonada at auroraalimentos.com.br (=?ISO-8859-1?Q?M=E1rcio_Luciano_Donada?=) Date: Mon, 04 Aug 2008 16:24:10 -0300 Subject: [GTER] RES: [OFF] Skype In-Reply-To: <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> Message-ID: <4897575A.8080302@auroraalimentos.com.br> Tiago Machado Costa escreveu: > O ?nico jeito que eu conhe?o para o bloqueio do Skype ? com L7. > > Nunca testei, mas me disseram que funciona. > O Skype sai por varias portas diferentes. ? praticamente uma 'praga' > Tiago, Eu uso o L7, ele chega a pegar o cara, mas como colega Bonani falou, o neg?cio ? que ele est? saindo pelo proxy. Vou ter que trabalhar com o squid agora pra resolver a parada. Obrigado, -- M?rcio Luciano Donada Aurora Alimentos - Cooperativa Central Oeste Catarinense Departamento de T.I. From herlon at lcimt.com.br Mon Aug 4 15:41:19 2008 From: herlon at lcimt.com.br (Herlon Alcantara Matos) Date: Mon, 4 Aug 2008 14:41:19 -0400 Subject: [GTER] Redirecionamento DNS References: Message-ID: <7E34264FE78A47DF9EBFD7A97DF2177B@SUporteHerlon> Se voc? quiser efetuar um forward para um outro(s) DNS recursivos aberto. Crie um outro servidor DNS com configura??o de forward para outro(s) DNS recursivo aberto, em vez de efetuar NAT. Entendo que o NAT ? algo necessario, mas deve ser utilizado quando n?o temos uma outra alternativa, o que, n?o ? o caso. Se a utiliza??o que se deseja fazer, seja a citada por mim, acima. Herlon Alcantara Matos LCI ----- Original Message ----- From: To: Sent: Monday, August 04, 2008 1:49 PM Subject: gter Digest, Vol 65, Issue 8 > Send gter mailing list submissions to > gter at eng.registro.br > > To subscribe or unsubscribe via the World Wide Web, visit > https://eng.registro.br/mailman/listinfo/gter > or, via email, send a message with subject or body 'help' to > gter-request at eng.registro.br > > You can reach the person managing the list at > gter-owner at eng.registro.br > > When replying, please edit your Subject line so it is more specific > than "Re: Contents of gter digest..." > > > Today's Topics: > > 1. Re: Redirecionamento DNS (Henrique Fassi) > 2. Re: Redirecionamento DNS (Marcus Alves Grando) > 3. Re: [OFF] Skype (Leandro Pereira de Lima e Silva) > 4. Re: Redirecionamento DNS (Leandro Pereira de Lima e Silva) > 5. RES: Aceleracao de Links WAN (S?rgio Ferreira ( WGO )) > 6. Re: [OFF] Skype (Leandro Pereira de Lima e Silva) > 7. Re: [OFF] Skype (Denilson Rapelli) > 8. RES: [OFF] Skype (Tiago Machado Costa) > 9. Re: [OFF] Skype (Leonardo Rodrigues Magalh?es) > 10. Re: Aceleracao de Links WAN (Fernando Willemann) > > > ---------------------------------------------------------------------- > > Message: 1 > Date: Mon, 04 Aug 2008 10:03:21 -0300 > From: Henrique Fassi > Subject: Re: [GTER] Redirecionamento DNS > To: Grupo de Trabalho de Engenharia e Operacao de Redes > > Message-ID: <4896FE19.4050809 at fassi.eti.br> > Content-Type: text/plain; charset=ISO-8859-1; format=flowed > > Carlos, > > Tanto para restringir o acesso quanto para os redirecionamentos vc deve > usar regras de firewall (iptables). > > Abs, > > Em 03/08/2008 20:28, Carlos Henrique escreveu: >> Ol? Pessoal, >> >> Alguem poderia me dar uma dica ou indicar documenta??o. >> >> 1? Quero deixar as consulta no meu DNS aberto, porem s? quero que a >> minha rede e/ou os ip que eu quero fa?am consultas. >> 2? Os ip n?o autorizados a consultar, ao inves de negar acesso, >> quero redirecionar para um IP especifico. >> >> uso Bind 9 em sua ultima vers?o. >> >> Carlos > > -- > Henrique Fassi > henrique at fassi.eti.br > www.fassi.eti.br > (71) 9138-6337 > > > > ------------------------------ > > Message: 2 > Date: Mon, 04 Aug 2008 10:05:54 -0300 > From: Marcus Alves Grando > Subject: Re: [GTER] Redirecionamento DNS > To: Grupo de Trabalho de Engenharia e Operacao de Redes > > Message-ID: <4896FEB2.6000503 at sbh.eng.br> > Content-Type: text/plain; charset=ISO-8859-1; format=flowed > > Carlos Henrique wrote: >> Ol? Pessoal, >> >> Alguem poderia me dar uma dica ou indicar documenta??o. >> >> 1? Quero deixar as consulta no meu DNS aberto, porem s? quero que a >> minha rede e/ou os ip que eu quero fa?am consultas. > > http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/ > >> 2? Os ip n?o autorizados a consultar, ao inves de negar acesso, quero >> redirecionar para um IP especifico. > > Que eu saiba n?o existe essa feature no protocolo. > > Abra?os > >> >> uso Bind 9 em sua ultima vers?o. >> >> Carlos >> >> >> >> -- >> gter list https://eng.registro.br/mailman/listinfo/gter > > > -- > Marcus Alves Grando > marcus(at)sbh.eng.br | Personal > mnag(at)FreeBSD.org | FreeBSD.org > > > ------------------------------ > > Message: 3 > Date: Mon, 4 Aug 2008 10:43:19 -0300 > From: "Leandro Pereira de Lima e Silva" > Subject: Re: [GTER] [OFF] Skype > To: "Grupo de Trabalho de Engenharia e Operacao de Redes" > > Message-ID: > <761ea0990808040643j77bb384ck6858b7bc289ef1e5 at mail.gmail.com> > Content-Type: text/plain; charset=ISO-8859-1 > > At? onde eu sei, n?o d? pra barrar skype sem sacrificar a navega??o. Na > pior > das hip?teses ele passa via https. > > []s Leandro > > 2008/8/4 M?rcio Luciano Donada > >> Senhores, >> Desculpe retomar esse assunto off na lista, mas gostaria de saber qual ? >> a solu??o que os senhores est?o utilizando para barrar o skype >> utilizando sistemas linux / iptables (layer7). Ele chega at? a >> reconhecer a conex?o mas o skype acha sempre uma maneira de realizar a >> conex?o, demora mas acha. Nestas alturas todas as dicas s?o bem vindas. >> >> Obrigado, >> -- >> M?rcio Luciano Donada >> Aurora Alimentos - Cooperativa Central Oeste Catarinense >> Departamento de T.I. >> -- >> gter list https://eng.registro.br/mailman/listinfo/gter >> > > > > -- > Leandro Pereira de Lima e Silva > > > ------------------------------ > > Message: 4 > Date: Mon, 4 Aug 2008 10:45:20 -0300 > From: "Leandro Pereira de Lima e Silva" > Subject: Re: [GTER] Redirecionamento DNS > To: "Grupo de Trabalho de Engenharia e Operacao de Redes" > > Message-ID: > <761ea0990808040645t2d070563t97d4a90582598cf2 at mail.gmail.com> > Content-Type: text/plain; charset=ISO-8859-1 > > O segundo eu usaria DNAT do netfilter pra fazer. > > $ iptables -j DNAT -h > > []s Leandro > > 2008/8/3 Carlos Henrique > >> Ol? Pessoal, >> >> Alguem poderia me dar uma dica ou indicar documenta??o. >> >> 1? Quero deixar as consulta no meu DNS aberto, porem s? quero que a minha >> rede e/ou os ip que eu quero fa?am consultas. >> 2? Os ip n?o autorizados a consultar, ao inves de negar acesso, quero >> redirecionar para um IP especifico. >> >> uso Bind 9 em sua ultima vers?o. >> >> Carlos >> >> >> >> -- >> gter list https://eng.registro.br/mailman/listinfo/gter >> > > > > -- > Leandro Pereira de Lima e Silva > > > ------------------------------ > > Message: 5 > Date: Mon, 4 Aug 2008 12:41:17 -0300 > From: S?rgio Ferreira ( WGO ) > Subject: [GTER] RES: Aceleracao de Links WAN > To: "'Grupo de Trabalho de Engenharia e Operacao de Redes'" > > Message-ID: <00df01c8f648$890a4910$9b1edb30$@com.br> > Content-Type: text/plain; charset="iso-8859-1" > > Vamos come?ar a testar o Cisco WAAS aqui na Mitsubishi...quando > terminarmos > os testes coloco aqui na lista. > > []s > > > S?rgio Ferreira > MMC Automotores do Brasil Ltda > Mitsubishi Motors > > -----Mensagem original----- > De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em > nome de Rubens Kuhl Jr. > Enviada em: segunda-feira, 4 de agosto de 2008 11:06 > Para: Grupo de Trabalho de Engenharia e Operacao de Redes > Assunto: Re: [GTER] Aceleracao de Links WAN > > 2008/8/4 Alexandre Augusto : >> OI Giuliano, >> >> Eu uso Juniper WX 60 para links lentos e que priorizam CIFS e HTTP e >> outros. >> Ele prioriza, comprime e balanceia. Gera gr?ficos e ? de f?cil > configura??o >> em casos de necessidade de troca de prioridade e etc. > > Alexandre, imagino que lento se refira a sat?lite no caso do seu > empregador, n?o ? > > Eu j? usei uma plataforma que n?o as listadas de acelera??o espec?fica > para acesso Internet via sat?lite, e de fato faz toda a diferen?a... > mas se o custo desses equipamentos para uso em links terrestres faz > sentido ou n?o, ? algo para colocar numa planilha e avaliar. Eu tenho > a sensa??o de que n?o ?, exceto em casos de inviabilidade t?cnica (ex: > local s? tem xDSL de 300 kbps de Uplink e n?o h? outra op??o). > > > > Rubens > -- > gter list https://eng.registro.br/mailman/listinfo/gter > > > > ------------------------------ > > Message: 6 > Date: Mon, 4 Aug 2008 12:55:03 -0300 > From: "Leandro Pereira de Lima e Silva" > Subject: Re: [GTER] [OFF] Skype > To: "Grupo de Trabalho de Engenharia e Operacao de Redes" > > Message-ID: > <761ea0990808040855k39fa82arb117fdf77711260c at mail.gmail.com> > Content-Type: text/plain; charset=ISO-8859-1 > > Seus usu?rios acessam sites seguros (https)? > > []s Leandro > > 2008/8/4 Mauricio Bonani > >> Eu costumo fazer todos os usu?rios sair obrigatoriamente pelo squid e >> usar as seguintes regras: >> >> acl numeric url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+ >> http_access deny CONNECT numeric >> >> Obviamente a express?o regular precisa ser melhorada para 'casar' >> apenas com edere?os IP. >> >> Dessa forma consegui bloquear o skype na rede. >> >> 2008/8/4 M?rcio Luciano Donada : >> > Senhores, >> > Desculpe retomar esse assunto off na lista, mas gostaria de saber qual >> > ? >> > a solu??o que os senhores est?o utilizando para barrar o skype >> > utilizando sistemas linux / iptables (layer7). Ele chega at? a >> > reconhecer a conex?o mas o skype acha sempre uma maneira de realizar a >> > conex?o, demora mas acha. Nestas alturas todas as dicas s?o bem vindas. >> > >> > Obrigado, >> >> -- >> Mauricio Bonani >> mailto:mbonani at gmail.com >> -- >> gter list https://eng.registro.br/mailman/listinfo/gter >> > > > > -- > Leandro Pereira de Lima e Silva > > > ------------------------------ > > Message: 7 > Date: Mon, 4 Aug 2008 14:01:21 -0300 > From: "Denilson Rapelli" > Subject: Re: [GTER] [OFF] Skype > To: "Grupo de Trabalho de Engenharia e Operacao de Redes" > > Message-ID: <01af01c8f653$bab8f0a0$6401a8c0 at toshibauser> > Content-Type: text/plain; format=flowed; charset="iso-8859-1"; > reply-type=original > > No skype tem uma opcao na configuracao dele que voce pode escolher por que > por ele deve sair > e ate mesmo que se a porta escolhida nao estiver disponivel que ele saia > pela porta 80 > > se for para bloquear que voce quer tera alguns problemas ... > > abracos > Denilson > > ----- Original Message ----- > From: "M?rcio Luciano Donada" > To: "Grupo de Trabalho de Engenharia e Operacao de Redes" > > Sent: Monday, August 04, 2008 1:50 PM > Subject: Re: [GTER] [OFF] Skype > > > Wagner Santos (xwindow) escreveu: >> Voc? pode optar por algo radical, como bloquear tudo e liberar apenas os >> servi?os que os usu?rios de sua rede utilizam, como por exemplo http, >> https, >> ftp, smtp, pop3 etc... >> > > Esse ? o problemas, as vezes eu vejo que ele est? saindo pela porta 443, > ai se eu tiver que colocar no firewall todos os destinos utilizados pela > nossa rede na porta 443, ai sim to ferrado, > > -- > M?rcio Luciano Donada > Aurora Alimentos - Cooperativa Central Oeste Catarinense > Departamento de T.I. > -- > gter list https://eng.registro.br/mailman/listinfo/gter > > > > > ------------------------------ > > Message: 8 > Date: Mon, 4 Aug 2008 13:57:31 -0300 > From: "Tiago Machado Costa" > Subject: [GTER] RES: [OFF] Skype > To: "Grupo de Trabalho de Engenharia e Operacao de Redes" > > Message-ID: > <220CAFD00976BD45BA31609CB04BE26D283195 at mdssbs01.mdsystems.local> > Content-Type: text/plain; charset="iso-8859-1" > > O ?nico jeito que eu conhe?o para o bloqueio do Skype ? com L7. > > Nunca testei, mas me disseram que funciona. > O Skype sai por varias portas diferentes. ? praticamente uma 'praga' > > > []s > Tiago Machado > > -----Mensagem original----- > De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em > nome de M?rcio Luciano Donada > Enviada em: segunda-feira, 4 de agosto de 2008 13:50 > Para: Grupo de Trabalho de Engenharia e Operacao de Redes > Assunto: Re: [GTER] [OFF] Skype > > Wagner Santos (xwindow) escreveu: >> Voc? pode optar por algo radical, como bloquear tudo e liberar apenas os >> servi?os que os usu?rios de sua rede utilizam, como por exemplo http, >> https, >> ftp, smtp, pop3 etc... >> > > Esse ? o problemas, as vezes eu vejo que ele est? saindo pela porta 443, > ai se eu tiver que colocar no firewall todos os destinos utilizados pela > nossa rede na porta 443, ai sim to ferrado, > > -- > M?rcio Luciano Donada > Aurora Alimentos - Cooperativa Central Oeste Catarinense > Departamento de T.I. > -- > gter list https://eng.registro.br/mailman/listinfo/gter > > > ------------------------------ > > Message: 9 > Date: Mon, 04 Aug 2008 13:58:51 -0300 > From: Leonardo Rodrigues Magalh?es > Subject: Re: [GTER] [OFF] Skype > To: Grupo de Trabalho de Engenharia e Operacao de Redes > > Message-ID: <4897354B.8070106 at solutti.com.br> > Content-Type: text/plain; charset=ISO-8859-1; format=flowed > > > > M?rcio Luciano Donada escreveu: >> >> Esse ? o problemas, as vezes eu vejo que ele est? saindo pela porta 443, >> ai se eu tiver que colocar no firewall todos os destinos utilizados pela >> nossa rede na porta 443, ai sim to ferrado, >> >> > > bloqueie tcp/443 no firewall e exiga que todos os navegadores da > rede configurem o squid l? no proxy. Assim voc? ter? acesso https > normal, atrav?s do squid, e conseguir? restringir o skype. > > enquanto seu firewall permitir NAT de tcp/443, voc? n?o conseguir? > controlar o skype. Tendo NAT da porta, n?o adianta nada colocar as > regras j? citadas no squid.conf, j? que o skype vai tentar conectar > primeiro direto e vai conseguir, n?o tentando nunca atrav?s do squid. > > -- > > > Atenciosamente / Sincerily, > Leonardo Rodrigues > Solutti Tecnologia > http://www.solutti.com.br > > Minha armadilha de SPAM, N?O mandem email > gertrudes at solutti.com.br > My SPAMTRAP, do not email it > > > > > > > ------------------------------ > > Message: 10 > Date: Mon, 4 Aug 2008 14:39:57 -0300 > From: "Fernando Willemann" > Subject: Re: [GTER] Aceleracao de Links WAN > To: "Grupo de Trabalho de Engenharia e Operacao de Redes" > > Message-ID: > <31120fa90808041039g6eb80593l43e4e0f0e78f4134 at mail.gmail.com> > Content-Type: text/plain; charset=ISO-8859-1 > > Boa tarde! > > Quando falas em acelera??o Wan, precisas necessariamente de > compress?o? Trabalho com um equipamento de QoS com Deep Packet > Inspection (DPI) e controle aplica??o/tr?fego atrav?s de assinaturas > de aplicativos, que permite uma ?tima visualiza??o dos protocolos que > est?o trafegando na rede. Percebo que ?s vezes um bom conhecimento do > tr?fego + boas pol?ticas de prioriza??o podem otimizar muito a rede. > > Um abra?o, > > Fernando Willemann > > 2008/8/4 Rubens Kuhl Jr. : >> 2008/8/4 Alexandre Augusto : >>> OI Giuliano, >>> >>> Eu uso Juniper WX 60 para links lentos e que priorizam CIFS e HTTP e >>> outros. >>> Ele prioriza, comprime e balanceia. Gera gr?ficos e ? de f?cil >>> configura??o >>> em casos de necessidade de troca de prioridade e etc. >> >> Alexandre, imagino que lento se refira a sat?lite no caso do seu >> empregador, n?o ? >> >> Eu j? usei uma plataforma que n?o as listadas de acelera??o espec?fica >> para acesso Internet via sat?lite, e de fato faz toda a diferen?a... >> mas se o custo desses equipamentos para uso em links terrestres faz >> sentido ou n?o, ? algo para colocar numa planilha e avaliar. Eu tenho >> a sensa??o de que n?o ?, exceto em casos de inviabilidade t?cnica (ex: >> local s? tem xDSL de 300 kbps de Uplink e n?o h? outra op??o). >> >> >> >> Rubens >> -- >> gter list https://eng.registro.br/mailman/listinfo/gter >> > > > ------------------------------ > > -- > gter digest list https://eng.registro.br/mailman/listinfo/gter > > End of gter Digest, Vol 65, Issue 8 > *********************************** From miguel_penteado at ig.com.br Mon Aug 4 15:53:13 2008 From: miguel_penteado at ig.com.br (miguel_penteado at ig.com.br) Date: Mon, 4 Aug 2008 15:53:13 -0300 Subject: [GTER] =?iso-8859-1?q?802=2E1p_e_Disciplinas_de_Enfileiramento/Cl?= =?iso-8859-1?q?assifica=E7=E3o?= In-Reply-To: <31120fa90808041039g6eb80593l43e4e0f0e78f4134@mail.gmail.com> References: <489663DF.1060509@uol.com.br> <6bb5f5b10808040705o338008eds5efc7c645b40d5df@mail.gmail.com> <31120fa90808041039g6eb80593l43e4e0f0e78f4134@mail.gmail.com> Message-ID: <200808041553.13269.miguel_penteado@ig.com.br> Pessoal Boa Tarde Gostaria de saber se voc?s podem me informar se o kernel linux 2.6.20 ou mais recente possui disciplinas de enfileiramento para frames (camada 2). A id?ia ? "enfileirar" frames marcados com a tag 802.1p exatamente como se faz com o DSCP em camada 3 e disciplinas que induzem comportamento nesta camada como HFSC , HTB e SFQ. Pode ser que tive pregui?a de ler mais, mas a ferramenta TC do linux s? permite detectar flags de marca??o no pacote IP, mesmo com o filtro u32 ... Se algu?m puder dar uma for?a, desde ja obrigado. Miguel Penteado miguel_penteado at fca.unesp.br miguel_penteado at ig.com.br From ds at hacked.com.br Mon Aug 4 18:47:10 2008 From: ds at hacked.com.br (Vinicius Vianna) Date: Mon, 04 Aug 2008 18:47:10 -0300 Subject: [GTER] Roteadores brasileiros com problema? Message-ID: <489778DE.5060003@hacked.com.br> Pessoal, Seu novo nesta lista e n?o sei se esta mensagem se enquadra nela, mas creio que sim. Recentemente tivemos um problema grande com a Telefonica, segundo o press release foram problemas com as placas de rede, mas ser? que n?o seria sim um problema de rotas? Em alguns testes que fiz para a empresa que trabalho pude ver absurdos como pacotes saindo da CTBC em Uberlandia/MG, indo para Americana/SP serem roteadores pela Sprint nos EUA, quando testei o traceroute direto para o roteador final (com um IP diferente do final que era 189.0.0.0/8 e este 200.0.0.0/8 se n?o me engano), o roteamento era perfeito pela rede da Embratel que interligava os dois. Estamos lan?ando um jogo novo no modelo casual, que necessita de pouca lat?ncia entre os jogadores, e pude notar tamb?m atrasos como de 400ms entre um roteador da Telefonica e outro da Telemar. Todos esses fatores n?o afetam diretamente usos como HTTP, que n?o sofrem com uma lat?ncia na conex?o, mas s?o problemas que existem e atrapalham todo o fluxo normal da rede. Alguem mais tem notado coisas parecidas ou tem algum conhecimento BGP ou acesso com as companias telefonicas para me ajudar, j? que essas lat?ncias est?o atrapalhando em muito. Agrade?o a aten??o de voc?s, qualquer informa??o no assunto ? bem vinda, mesmo cr?ticas, pedradas e coisas do tipo. Abra?os, Vinicius From eshine at gmail.com Mon Aug 4 20:33:34 2008 From: eshine at gmail.com (Shine) Date: Mon, 4 Aug 2008 20:33:34 -0300 Subject: [GTER] =?iso-8859-1?q?802=2E1p_e_Disciplinas_de_Enfileiramento/Cl?= =?iso-8859-1?q?assifica=E7=E3o?= In-Reply-To: <200808041553.13269.miguel_penteado@ig.com.br> References: <489663DF.1060509@uol.com.br> <6bb5f5b10808040705o338008eds5efc7c645b40d5df@mail.gmail.com> <31120fa90808041039g6eb80593l43e4e0f0e78f4134@mail.gmail.com> <200808041553.13269.miguel_penteado@ig.com.br> Message-ID: ebtables? sd, Edgar 2008/8/4 > Pessoal Boa Tarde > > Gostaria de saber se voc?s podem me informar se o kernel linux > 2.6.20 ou mais > recente possui disciplinas de enfileiramento para frames (camada 2). A > id?ia > ? "enfileirar" frames marcados com a tag 802.1p exatamente como se faz com > o > DSCP em camada 3 e disciplinas que induzem comportamento nesta camada como > HFSC , HTB e SFQ. Pode ser que tive pregui?a de ler mais, mas a ferramenta > TC > do linux s? permite detectar flags de marca??o no pacote IP, mesmo com o > filtro u32 ... > > Se algu?m puder dar uma for?a, desde ja obrigado. > > Miguel Penteado > miguel_penteado at fca.unesp.br > miguel_penteado at ig.com.br > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From itamar at ispbrasil.com.br Mon Aug 4 09:24:13 2008 From: itamar at ispbrasil.com.br (Itamar - IspBrasil) Date: Mon, 04 Aug 2008 09:24:13 -0300 Subject: [GTER] Redirecionamento DNS In-Reply-To: <48963F0E.5070808@nivelweb.com> References: <48963F0E.5070808@nivelweb.com> Message-ID: <4896F4ED.4010604@ispbrasil.com.br> views resolve seu problema. Carlos Henrique wrote: > Ol? Pessoal, > > Alguem poderia me dar uma dica ou indicar documenta??o. > > 1? Quero deixar as consulta no meu DNS aberto, porem s? quero que a > minha rede e/ou os ip que eu quero fa?am consultas. > 2? Os ip n?o autorizados a consultar, ao inves de negar acesso, > quero redirecionar para um IP especifico. > > uso Bind 9 em sua ultima vers?o. > > Carlos > > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > > From itamar at ispbrasil.com.br Mon Aug 4 19:39:24 2008 From: itamar at ispbrasil.com.br (Itamar - IspBrasil) Date: Mon, 04 Aug 2008 19:39:24 -0300 Subject: [GTER] =?iso-8859-1?q?D=FAvida_sobre_verifica=E7=E3o_de_status_de?= =?iso-8859-1?q?_DNS?= In-Reply-To: <004E41C54D574FB297FE3A16A84D2E4C@pegasus.com.br> References: <8212cbca0807310408g1e5bf1fcoeb00c7da9c59a14e@mail.gmail.com> <20080731182725.GD84823@registro.br><512B02716E7B449BA070354ECC3A706F@pegasus.com.br> <48931707.2040304@ispbrasil.com.br> <004E41C54D574FB297FE3A16A84D2E4C@pegasus.com.br> Message-ID: <4897851C.2010003@ispbrasil.com.br> n?o se a sua ttl estiver para 24h, as maquinas irao armazenar a informacao em cache por 24h Juli?o Braga wrote: > Ok Itamar, > > Mas, pelo que entendo, a publica??o (a cada 30 minutos), do > Registro.br, resolveria esse problema do TTL, certo? From rubensk at gmail.com Tue Aug 5 00:28:49 2008 From: rubensk at gmail.com (Rubens Kuhl Jr.) Date: Tue, 5 Aug 2008 00:28:49 -0300 Subject: [GTER] =?iso-8859-1?q?802=2E1p_e_Disciplinas_de_Enfileiramento/Cl?= =?iso-8859-1?q?assifica=E7=E3o?= In-Reply-To: <200808041553.13269.miguel_penteado@ig.com.br> References: <489663DF.1060509@uol.com.br> <6bb5f5b10808040705o338008eds5efc7c645b40d5df@mail.gmail.com> <31120fa90808041039g6eb80593l43e4e0f0e78f4134@mail.gmail.com> <200808041553.13269.miguel_penteado@ig.com.br> Message-ID: <6bb5f5b10808042028u42a5a866x9e2ce042d4ce4657@mail.gmail.com> Voc? poderia agregar um switch que marcasse DSCP antes de chegar ao Linux; o Linux poderia usaria as marcas DSCP para detectar o pacote e agregar o QoS que voc? quer. O que eu nunca testei ? se o Linux fazendo bridging vai dar aten??o ao tc, mas n?o vejo porque n?o. Outra possibilidade ? tentar modificar o driver para incluir os bits do 802.1p, que s?o parte do tag 802.1q, como se fossem identificadores de VLANs. Assim, voc? poderia aplicar fwmark (que nesse caso precisaria ser feito com ebtables j? que voc? quer camada 2), e colocar o tc em fun??o do fwmark; deve ficar at? r?pido j? que o fwmark n?o faz parte do pacote que pode ser retransmitido do jeito que entrou, mas o far? segundo o tc. Rubens 2008/8/4 : > Pessoal Boa Tarde > > Gostaria de saber se voc?s podem me informar se o kernel linux 2.6.20 ou mais > recente possui disciplinas de enfileiramento para frames (camada 2). A id?ia > ? "enfileirar" frames marcados com a tag 802.1p exatamente como se faz com o > DSCP em camada 3 e disciplinas que induzem comportamento nesta camada como > HFSC , HTB e SFQ. Pode ser que tive pregui?a de ler mais, mas a ferramenta TC > do linux s? permite detectar flags de marca??o no pacote IP, mesmo com o > filtro u32 ... > > Se algu?m puder dar uma for?a, desde ja obrigado. > > Miguel Penteado > miguel_penteado at fca.unesp.br > miguel_penteado at ig.com.br > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From mprota at registro.br Tue Aug 5 00:38:01 2008 From: mprota at registro.br (Marcelo Oliveira Prota) Date: Tue, 5 Aug 2008 00:38:01 -0300 Subject: [GTER] =?iso-8859-1?q?802=2E1p_e_Disciplinas_de_Enfileiramento/Cl?= =?iso-8859-1?q?assifica=E7=E3o?= In-Reply-To: References: <489663DF.1060509@uol.com.br> <6bb5f5b10808040705o338008eds5efc7c645b40d5df@mail.gmail.com> <31120fa90808041039g6eb80593l43e4e0f0e78f4134@mail.gmail.com> <200808041553.13269.miguel_penteado@ig.com.br> Message-ID: <20080805033801.GA84282@registro.br> http://ebtables.sourceforge.net/ On Mon, Aug 04, 2008 at 08:33:34PM -0300, Shine wrote: > ebtables? > > sd, > Edgar > > 2008/8/4 > > > Pessoal Boa Tarde > > > > Gostaria de saber se voc?s podem me informar se o kernel linux > > 2.6.20 ou mais > > recente possui disciplinas de enfileiramento para frames (camada 2). A > > id?ia > > ? "enfileirar" frames marcados com a tag 802.1p exatamente como se faz com > > o > > DSCP em camada 3 e disciplinas que induzem comportamento nesta camada como > > HFSC , HTB e SFQ. Pode ser que tive pregui?a de ler mais, mas a ferramenta > > TC > > do linux s? permite detectar flags de marca??o no pacote IP, mesmo com o > > filtro u32 ... > > > > Se algu?m puder dar uma for?a, desde ja obrigado. > > > > Miguel Penteado > > miguel_penteado at fca.unesp.br > > miguel_penteado at ig.com.br > > > > > > -- > > gter list https://eng.registro.br/mailman/listinfo/gter > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter From alexandre at onda.psi.br Tue Aug 5 01:45:14 2008 From: alexandre at onda.psi.br (Alexandre J. Correa - Onda Internet) Date: Tue, 05 Aug 2008 01:45:14 -0300 Subject: [GTER] Roteadores brasileiros com problema? In-Reply-To: <489778DE.5060003@hacked.com.br> References: <489778DE.5060003@hacked.com.br> Message-ID: <4897DADA.9080000@onda.psi.br> Isto ? meio que um "problema" geral.. alguns caminhos (rotas) realmente estao congestionados... tenho embratel e ctbc aqui... notei que poucas. mas muito poucas rotas via embratel sao melhores que via ctbc... Vinicius Vianna wrote: > Pessoal, > > Seu novo nesta lista e n?o sei se esta mensagem se enquadra nela, mas > creio que sim. > > Recentemente tivemos um problema grande com a Telefonica, segundo o > press release foram problemas com as placas de rede, mas ser? que n?o > seria sim um problema de rotas? > Em alguns testes que fiz para a empresa que trabalho pude ver absurdos > como pacotes saindo da CTBC em Uberlandia/MG, indo para Americana/SP > serem roteadores pela Sprint nos EUA, quando testei o traceroute > direto para o roteador final (com um IP diferente do final que era > 189.0.0.0/8 e este 200.0.0.0/8 se n?o me engano), o roteamento era > perfeito pela rede da Embratel que interligava os dois. > Estamos lan?ando um jogo novo no modelo casual, que necessita de pouca > lat?ncia entre os jogadores, e pude notar tamb?m atrasos como de 400ms > entre um roteador da Telefonica e outro da Telemar. > > Todos esses fatores n?o afetam diretamente usos como HTTP, que n?o > sofrem com uma lat?ncia na conex?o, mas s?o problemas que existem e > atrapalham todo o fluxo normal da rede. > Alguem mais tem notado coisas parecidas ou tem algum conhecimento BGP > ou acesso com as companias telefonicas para me ajudar, j? que essas > lat?ncias est?o atrapalhando em muito. > > Agrade?o a aten??o de voc?s, qualquer informa??o no assunto ? bem > vinda, mesmo cr?ticas, pedradas e coisas do tipo. > > Abra?os, > Vinicius > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From rubensk at gmail.com Tue Aug 5 03:52:13 2008 From: rubensk at gmail.com (Rubens Kuhl Jr.) Date: Tue, 5 Aug 2008 03:52:13 -0300 Subject: [GTER] Roteadores brasileiros com problema? In-Reply-To: <489778DE.5060003@hacked.com.br> References: <489778DE.5060003@hacked.com.br> Message-ID: <6bb5f5b10808042352m315a30f2x91789b30cf5356e9@mail.gmail.com> > Recentemente tivemos um problema grande com a Telefonica, segundo o press > release foram problemas com as placas de rede, mas ser? que n?o seria sim um > problema de rotas? V?rios sistemas afetados como a VPN MPLS do governo do estado de SP n?o tinham conex?o com a Internet, evidenciando um problema interno. > Em alguns testes que fiz para a empresa que trabalho pude ver absurdos como > pacotes saindo da CTBC em Uberlandia/MG, indo para Americana/SP serem > roteadores pela Sprint nos EUA, quando testei o traceroute direto para o > roteador final (com um IP diferente do final que era 189.0.0.0/8 e este > 200.0.0.0/8 se n?o me engano), o roteamento era perfeito pela rede da > Embratel que interligava os dois. Conex?es nacionais tem apresentado mais problema de serem roteadas pelo exterior desde que surgiu um gap grande nos pre?os de backbones internacionais e nacionais, com os internacionais muito mais baratos. > Estamos lan?ando um jogo novo no modelo casual, que necessita de pouca > lat?ncia entre os jogadores, e pude notar tamb?m atrasos como de 400ms entre > um roteador da Telefonica e outro da Telemar. Devido ao uso de MPLS, pode ser que esse caminho de um s? hop seja mais longo do que parece... > Todos esses fatores n?o afetam diretamente usos como HTTP, que n?o sofrem > com uma lat?ncia na conex?o, mas s?o problemas que existem e atrapalham todo > o fluxo normal da rede. > Alguem mais tem notado coisas parecidas ou tem algum conhecimento BGP ou > acesso com as companias telefonicas para me ajudar, j? que essas lat?ncias > est?o atrapalhando em muito. Voc? pode agrupar os jogadores por backbone de origem na esperan?a de que assim a qualidade de tr?fego entre eles melhore... ou tunelar o tr?fego entre os jogadores atrav?s de um servi?o seu que tem tr?nsito contratado com todas as operadoras com grande quantidade de "eye-balls"... Rubens From chcoutinho at uol.com.br Tue Aug 5 08:40:28 2008 From: chcoutinho at uol.com.br (Christian) Date: Tue, 05 Aug 2008 08:40:28 -0300 Subject: [GTER] RES: [OFF] Skype References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> Message-ID: <48983C2C.842C480@uol.com.br> Essa dica do squid funciona, o problema ? que existem v?rios sites que lan?am m?o de utilizar endere?os IP em servidores, principalmente de e-mail (Yahoo, MSN, etc). Foi a? que percebi que seria complexo demais esse bloqueio. At? cheguei a criar uma range de ips desses provedores dando libera??o, mas chegou um momento em que eu desisti e disse pra dire??o decidir: Ou cria-se uma pol?tica de uso da Internet ou ser? necess?rio comprar uma ferramenta para esse fim. [ ]`s Christian M?rcio Luciano Donada wrote: > Tiago Machado Costa escreveu: > > O ?nico jeito que eu conhe?o para o bloqueio do Skype ? com L7. > > > > Nunca testei, mas me disseram que funciona. > > O Skype sai por varias portas diferentes. ? praticamente uma 'praga' > > > > Tiago, > Eu uso o L7, ele chega a pegar o cara, mas como colega Bonani falou, o > neg?cio ? que ele est? saindo pelo proxy. Vou ter que trabalhar com o > squid agora pra resolver a parada. > > Obrigado, > -- > M?rcio Luciano Donada > Aurora Alimentos - Cooperativa Central Oeste Catarinense > Departamento de T.I. > -- > gter list https://eng.registro.br/mailman/listinfo/gter From leolistas at solutti.com.br Tue Aug 5 09:12:37 2008 From: leolistas at solutti.com.br (=?ISO-8859-1?Q?Leonardo_Rodrigues_Magalh=E3es?=) Date: Tue, 05 Aug 2008 09:12:37 -0300 Subject: [GTER] RES: [OFF] Skype In-Reply-To: <48983C2C.842C480@uol.com.br> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> Message-ID: <489843B5.9070503@solutti.com.br> Christian escreveu: > Essa dica do squid funciona, o problema ? que existem v?rios sites que > lan?am m?o de utilizar endere?os IP em servidores, principalmente de > e-mail (Yahoo, MSN, etc). Foi a? que percebi que seria complexo demais > esse bloqueio. At? cheguei a criar uma range de ips desses provedores > dando libera??o, mas chegou um momento em que eu desisti e disse pra > dire??o decidir: > Perceba que as regras indicadas pelos colegas da lista restringem conex?es por IP e m?todo CONNECT, m?todo utilizado por conex?es httpS. Conex?es http normais (n?o seguras) utilizam os m?todos GET e POST. Portanto, n?o seriam restritas pelas regras citadas. O bloqueio de CONNECT e endere?o IP ? altamente eficiente pra restringir a utiliza??o de Skype e, realmente, tem POUQUISSIMOS falsos positivos. Tenho essa regra aplicada em diversas redes grandes e, at? hoje, n?o devo ter criado mais de 10 exce??es somando todas as redes. Agora se voc? bloquear GET e POST por endere?o ip, ai sim voc? ter? dores de cabe?a pesadas ...... -- Atenciosamente / Sincerily, Leonardo Rodrigues Solutti Tecnologia http://www.solutti.com.br Minha armadilha de SPAM, N?O mandem email gertrudes at solutti.com.br My SPAMTRAP, do not email it From mdonada at auroraalimentos.com.br Tue Aug 5 10:53:02 2008 From: mdonada at auroraalimentos.com.br (=?ISO-8859-1?Q?M=E1rcio_Luciano_Donada?=) Date: Tue, 05 Aug 2008 10:53:02 -0300 Subject: [GTER] RES: [OFF] Skype In-Reply-To: <48983C2C.842C480@uol.com.br> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> Message-ID: <48985B3E.4020406@auroraalimentos.com.br> Christian escreveu: > Essa dica do squid funciona, o problema ? que existem v?rios sites que > lan?am m?o de utilizar endere?os IP em servidores, principalmente de > e-mail (Yahoo, MSN, etc). Foi a? que percebi que seria complexo demais > esse bloqueio. At? cheguei a criar uma range de ips desses provedores > dando libera??o, mas chegou um momento em que eu desisti e disse pra > dire??o decidir: > > Ou cria-se uma pol?tica de uso da Internet ou ser? necess?rio comprar uma > ferramenta para esse fim. > Bom dia Christian, Concordo com voc? em genero n?mero e grau. O maior problema ? ainda querer libera para um uma coisa, para outro outras coisas. Sem pol?tica n?o d?!!! Abra?o, -- M?rcio Luciano Donada Aurora Alimentos - Cooperativa Central Oeste Catarinense Departamento de T.I. From thiagomespb at gmail.com Tue Aug 5 11:37:13 2008 From: thiagomespb at gmail.com (Thiago Gomes) Date: Tue, 5 Aug 2008 11:37:13 -0300 Subject: [GTER] Analise de servidor DNS Message-ID: <8212cbca0808050737j2e5bb5d0yf5f0f366223a0111@mail.gmail.com> Galera, Fiz uma analise do meu dns atraves do site http://pingability.com/zoneinfo.jsp, o mesmo apresentou algumas considera??es, uma delas foi com rela??o as valores e informando os recomendados.. DNS Host Master admin.exemplo.com.br Secondary Refresh 3 hours Secondary Retry 1 hour Secondary Expire 1 week Default Record Cache Time 1 day Serial Number 2007072301 SOA Info Info Type Message Heads-up SOA default TTL is set to 1 day. The recommended setting is between 1 and 3 hours (3600 seconds and 10800 seconds). Heads-up SOA expire is set to 1 week. The recommended length is between 2 and 4 weeks (1209600 seconds and 2419200 seconds). o meu DNS esta configurado com estes valores. 2007072301 ; Serial 10800 ; Refresh 3600 ; Retry 604800 ; Expire 86400 ; Minimum TTL A minha d?vida ? posso deixar como esta ou eu fa?o altera??o para os valores recomendados pela analise Obrigado From ds at hacked.com.br Tue Aug 5 12:51:42 2008 From: ds at hacked.com.br (Vinicius Vianna) Date: Tue, 05 Aug 2008 12:51:42 -0300 Subject: [GTER] Roteadores brasileiros com problema? In-Reply-To: <6bb5f5b10808042352m315a30f2x91789b30cf5356e9@mail.gmail.com> References: <489778DE.5060003@hacked.com.br> <6bb5f5b10808042352m315a30f2x91789b30cf5356e9@mail.gmail.com> Message-ID: <4898770E.2050201@hacked.com.br> Rubens Kuhl Jr. escreveu: > Conex?es nacionais tem apresentado mais problema de serem roteadas > pelo exterior desde que surgiu um gap grande nos pre?os de backbones > internacionais e nacionais, com os internacionais muito mais baratos. > > Entao o que achei sem sentido acabou se justificando no preco, mesmo assim nao da pra entender sair mais barato voce manter uma ligacao mais distante do que uma local. > >> Estamos lan?ando um jogo novo no modelo casual, que necessita de pouca >> lat?ncia entre os jogadores, e pude notar tamb?m atrasos como de 400ms entre >> um roteador da Telefonica e outro da Telemar. >> > > Devido ao uso de MPLS, pode ser que esse caminho de um s? hop seja > mais longo do que parece... > > > ? o que estamos percebendo, eu ainda nao sei nada sobre MPLS, talvez se voce puder me enviar algum material, mesmo que off-list, eu agradeceria muito. >> Todos esses fatores n?o afetam diretamente usos como HTTP, que n?o sofrem >> com uma lat?ncia na conex?o, mas s?o problemas que existem e atrapalham todo >> o fluxo normal da rede. >> Alguem mais tem notado coisas parecidas ou tem algum conhecimento BGP ou >> acesso com as companias telefonicas para me ajudar, j? que essas lat?ncias >> est?o atrapalhando em muito. >> > > Voc? pode agrupar os jogadores por backbone de origem na esperan?a de > que assim a qualidade de tr?fego entre eles melhore... ou tunelar o > tr?fego entre os jogadores atrav?s de um servi?o seu que tem tr?nsito > contratado com todas as operadoras com grande quantidade de > "eye-balls"... > > ? o que estou pensando atualmente, mesmo jogadores tendo 500ms entre eles, at? os nossos servidor cada um tem aproximadamente 50ms, entao tudo indica que o melhor e usar sistemas de relay, o que em qualquer outro lugar significaria mais lag e latencia. Agrupar por backbone de origem fica meio complicado, j? que n?o temos muitas informa??es pra saber exatamente quais backbones est?o com velocidade boa entre eles, parece mais ser um problema localizado em alguns roteadores apenas, por isso suspeitei que o problema tivesse origem mais tecnica (configuracoes erradas) do que economica (se esta funcionando assim por que gastar mais pra melhorar?). > Rubens > -- > gter list https://eng.registro.br/mailman/listinfo/gter > > > Rubens, obrigado pela sua resposta, e obrigado tamb?m ao Alexandre que respondeu esta thread tamb?m, Abra?os, Vinicius From rubensk at gmail.com Tue Aug 5 19:02:29 2008 From: rubensk at gmail.com (Rubens Kuhl Jr.) Date: Tue, 5 Aug 2008 19:02:29 -0300 Subject: [GTER] Roteadores brasileiros com problema? In-Reply-To: <4898770E.2050201@hacked.com.br> References: <489778DE.5060003@hacked.com.br> <6bb5f5b10808042352m315a30f2x91789b30cf5356e9@mail.gmail.com> <4898770E.2050201@hacked.com.br> Message-ID: <6bb5f5b10808051502q59805e18r295b69807d51bf09@mail.gmail.com> > Entao o que achei sem sentido acabou se justificando no preco, mesmo assim > nao da pra entender sair mais barato voce manter uma ligacao mais distante > do que uma local. ? o poder do oligop?lio das incumbents. > ? o que estamos percebendo, eu ainda nao sei nada sobre MPLS, talvez se voce > puder me enviar algum material, mesmo que off-list, eu agradeceria muito. http://www.wztech.com.br/cursos/mpls/ ? um curso online de um fabricante, disponibilizado no site de um canal desse fabricante... >> Voc? pode agrupar os jogadores por backbone de origem na esperan?a de >> que assim a qualidade de tr?fego entre eles melhore... ou tunelar o >> tr?fego entre os jogadores atrav?s de um servi?o seu que tem tr?nsito >> contratado com todas as operadoras com grande quantidade de >> "eye-balls"... >> >> > > ? o que estou pensando atualmente, mesmo jogadores tendo 500ms entre eles, > at? os nossos servidor cada um tem aproximadamente 50ms, entao tudo indica > que o melhor e usar sistemas de relay, o que em qualquer outro lugar > significaria mais lag e latencia. Agrupar por backbone de origem fica meio > complicado, j? que n?o temos muitas informa??es pra saber exatamente quais > backbones est?o com velocidade boa entre eles, parece mais ser um problema Acho que voc? podia testar online isso no momento do join do jogador, automaticamente escolhendo o caminho de melhor performance para cada um dos outros jogados j? online. Assim, n?o seria necess?rio mapear nada, e nem todo jogador precisaria usar seu relay, s? as conversa??es que ficassem melhores. Rubens From gustavo.albuquerque at gmail.com Tue Aug 5 23:07:39 2008 From: gustavo.albuquerque at gmail.com (Andre Gustavo de Carvalho Albuquerque) Date: Tue, 5 Aug 2008 23:07:39 -0300 Subject: [GTER] Roteadores brasileiros com problema? In-Reply-To: <4898770E.2050201@hacked.com.br> References: <489778DE.5060003@hacked.com.br> <6bb5f5b10808042352m315a30f2x91789b30cf5356e9@mail.gmail.com> <4898770E.2050201@hacked.com.br> Message-ID: On 8/5/08, Vinicius Vianna wrote: > > Rubens Kuhl Jr. escreveu: > >> Estamos lan?ando um jogo novo no modelo casual, que necessita de pouca >>> lat?ncia entre os jogadores, e pude notar tamb?m atrasos como de 400ms >>> entre >>> um roteador da Telefonica e outro da Telemar. >>> >>> >> >> Devido ao uso de MPLS, pode ser que esse caminho de um s? hop seja >> mais longo do que parece... >> >> >> >> > ? o que estamos percebendo, eu ainda nao sei nada sobre MPLS, talvez se > voce puder me enviar algum material, mesmo que off-list, eu agradeceria > muito. MPLS ? um cen?rio poss?vel. Alguns tutoriais, baseados em apresenta??es do evento Cisco Networkers, podem ser encontrados em http://www.cisco.com/en/US/products/ps6557/prod_presentation_list.html Outro cen?rio pode ser a implementa??o de rate-limiters em mensagem ICMP e/ou a implementa??o de mencanismos de prote??o do control plane em equipamentos da rede. A implementa??o desses mecanismos pode causar a falsa impress?o de maior lat?ncia ou perda de pacotes quando se utiliza testes com traceroute que, ao se basear em manipula??o de TTL para obter resposta hop-a-hop, acaba for?ando a gera??o de mensagens de expira??o de TTL (ICMP type 11 code 0 - Time Exceeded) em equipamentos da rede, ocasionando tamb?m o acionamento da CPU central (para gerar as mensagens ICMP), o que ? normalmente controlado em muitas redes (corretamente, por sinal), com a aplica??es de pol?ticas de prote??o de control plane. Informa??es sobre o funcionamento do traceroute podem ser encontradas em: http://en.wikipedia.org/wiki/Traceroute Maiores informa??es sobre mecanismos de controle TTL Expiry messages, focadas em equipamentos Cisco, podem ser encontradas em: http://www.cisco.com/web/about/security/intelligence/ttl-expiry.html Uma forma mais eficiente para mensurar indicadores como lat?ncia e jitter ? utilizar probes no caminho. Os probes seriam distribu?dos no caminho e t?m a capacidade de mensurar diversos indicadores, como lat?ncia e jitter, utilizando testes mais b?sicos com os protocolos ICMP, UDP ou TCP, ou testes mais sofisticados considerando varia??o de tamanho de pacote, payloads espec?ficos e at? medi??es focadas em protocolos real time, como RTP. H? op??es de probes externos ou funcionalidades embutidas em roteador. No caso da Cisco, a funcionalidade ? IP SLA (www.cisco.com/go/ipsla) Muitas operadoras implementam uma estrutura de probes para medi??o de indicadores utilizados em relat?rios de SLA (Service Level Agreement), mas esses relat?rios est?o dispon?veis apenas para servi?os de VPN corporativas com essa previs?o no contrato. De qualquer forma, a medi??o de lat?ncia baseando-se em informa??es de ping e traceroute ? bastante imprecisa. O tr?fego normal dos usu?rios n?o s?o normalmente afetados pela implementa??o desses mecanismos de prote??o, j? que eles n?o s?o normalmente tratados no control plane do roteador. []s, Gustavo Albuquerque From leandro at limaesilva.com.br Tue Aug 5 19:27:25 2008 From: leandro at limaesilva.com.br (Leandro Pereira de Lima e Silva) Date: Tue, 5 Aug 2008 19:27:25 -0300 Subject: [GTER] RES: [OFF] Skype In-Reply-To: <48983C2C.842C480@uol.com.br> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> Message-ID: <761ea0990808051527t272708efy282d43a4cd536029@mail.gmail.com> Eu acredito que se a companhia n?o deseja que seus funcion?rios usem skype ela deve dizer isso a eles. A atua??o do depto de TI (no caso do skype) deve ser no monitoramento. Descobrir que algu?m est? usando o skype ? trivial com o l7-filter, diferentemente do bloqueio. Dessa forma, cabe ao TI notificar ao departamento competente sobre a infra??o no uso da Internet, que deve ser resolvido como qualquer outra infra??o das pol?ticas da empresa. Fazendo uma compara??o: ningu?m pede a seguran?a que garanta que ningu?m inicie uma briga, mas se acontecer ela vai notificar o depto respons?vel e este vai lidar com o funcion?rio infrator. Pq no caso das infra??es das pol?ticas de uso de Internet deveria ser diferente? []s Leandro 2008/8/5 Christian > Essa dica do squid funciona, o problema ? que existem v?rios sites que > lan?am m?o de utilizar endere?os IP em servidores, principalmente de > e-mail (Yahoo, MSN, etc). Foi a? que percebi que seria complexo demais > esse bloqueio. At? cheguei a criar uma range de ips desses provedores > dando libera??o, mas chegou um momento em que eu desisti e disse pra > dire??o decidir: > > Ou cria-se uma pol?tica de uso da Internet ou ser? necess?rio comprar uma > ferramenta para esse fim. > > [ ]`s > > Christian > > M?rcio Luciano Donada wrote: > > > Tiago Machado Costa escreveu: > > > O ?nico jeito que eu conhe?o para o bloqueio do Skype ? com L7. > > > > > > Nunca testei, mas me disseram que funciona. > > > O Skype sai por varias portas diferentes. ? praticamente uma 'praga' > > > > > > > Tiago, > > Eu uso o L7, ele chega a pegar o cara, mas como colega Bonani falou, o > > neg?cio ? que ele est? saindo pelo proxy. Vou ter que trabalhar com o > > squid agora pra resolver a parada. > > > > Obrigado, > > -- > > M?rcio Luciano Donada > > Aurora Alimentos - Cooperativa Central Oeste Catarinense > > Departamento de T.I. > > -- > > gter list https://eng.registro.br/mailman/listinfo/gter > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- Leandro Pereira de Lima e Silva From ds at hacked.com.br Tue Aug 5 19:29:04 2008 From: ds at hacked.com.br (Vinicius Vianna) Date: Tue, 05 Aug 2008 19:29:04 -0300 Subject: [GTER] Analise de servidor DNS In-Reply-To: <8212cbca0808050737j2e5bb5d0yf5f0f366223a0111@mail.gmail.com> References: <8212cbca0808050737j2e5bb5d0yf5f0f366223a0111@mail.gmail.com> Message-ID: <4898D430.4080005@hacked.com.br> Oi Thiago, Primeira coisa ? entender o que esses valores significam. TTL quer dizer o tempo que o registro fica no DNS que perguntou o seu, Time To Live, antigamente usava 1 dia mesmo, pra voce ter mudan?as de DNS mais r?pidas voce pode baixar ele pra esses valores recomendados de 1-3hs, isso implica em um pouco de tr?fego DNS a mais pra voce (que ? relativamente baixo perto de web e e-mail), ? tudo questao de escolha sua, trocar uma agilidade na troca dos registros por mais banda disponivel. Quanto ao expire eu nao tenho certeza, mas parece que ? quanto tempo esse registro seu vai ficar nos caches DNS no caso do seu servidor n?o conseguir ser alcan?ado, ent?o um valor maior implica, no caso de um problema com seu DNS, que seu nome vai permanecer mais tempo na rede. Resumindo tudo, se voce quer que seus registros DNS se propaguem rapidamente, e tem um pouco de banda a mais pra aguentar essa tr?fego DNS maior, altere o TTL, sobre o expire acho melhor aumentar mesmo. Espero ter ajudado :) Vinicius Thiago Gomes escreveu: > Galera, > > Fiz uma analise do meu dns atraves do site > http://pingability.com/zoneinfo.jsp, o mesmo apresentou algumas > considera??es, uma > delas foi com rela??o as valores e informando os recomendados.. > > DNS Host Master admin.exemplo.com.br > Secondary Refresh 3 hours > Secondary Retry 1 hour > Secondary Expire 1 week > Default Record Cache Time 1 day > Serial Number 2007072301 > > SOA Info > Info Type Message > Heads-up SOA default TTL is set to 1 day. The recommended setting is > between 1 and 3 hours (3600 seconds and 10800 seconds). > Heads-up SOA expire is set to 1 week. The recommended length is > between 2 and 4 weeks (1209600 seconds and 2419200 seconds). > > o meu DNS esta configurado com estes valores. > > 2007072301 ; Serial > 10800 ; Refresh > 3600 ; Retry > 604800 ; Expire > 86400 ; Minimum TTL > > A minha d?vida ? posso deixar como esta ou eu fa?o altera??o para os > valores recomendados pela analise > > Obrigado > -- > gter list https://eng.registro.br/mailman/listinfo/gter From newton.medeiros at gmail.com Wed Aug 6 00:29:14 2008 From: newton.medeiros at gmail.com (Newton M. Silva) Date: Wed, 6 Aug 2008 00:29:14 -0300 Subject: [GTER] Balanceamento com GLBP Message-ID: <7f771cf20808052029h37ca70cbi19419388133f3c63@mail.gmail.com> Prezados Colegas, possuo o seguinte cen?rio: Hoje possuo 02 roteadores 3845 da cisco em 02 CPD's distintos e cada um recebendo 6Mbps em interface serias ( os 02 totalizando 12Mbps) ele est?o diretamente conectados atrav?s de uma das interfaces LAN e configurado o HRSP para fazer o balanceamento dos 02 roteadores. A 2 interface Lan de cada roteador est? conectada na LAN onde s tem um firewal. A operadora vai me entregar 02 links em FastEthernet de 10Mbps em cada CPD, onde vou ter que utilizar as interfaces Lan que est?o conectados os 02 roteadores e configurado o HRSP. Pe?o a ajudo de voc?s como posso continuar a fazer o balancemaneto de trafego neste caso lembrando que possuo um Firewal na entrada da LAN? me ajudem muito obrigado -- Eng?. Newton M. Silva From alexandre.augusto at yamaha-motor.com.br Wed Aug 6 08:19:34 2008 From: alexandre.augusto at yamaha-motor.com.br (Alexandre Augusto) Date: Wed, 6 Aug 2008 08:19:34 -0300 Subject: [GTER] problemas com um range da Argentina ? In-Reply-To: Message-ID: Pessoal, Apenas como um final do caso: O problema com acesso a redes da Argentina era realmente um problema num roteador da Telmex. Depois de muitos e-mails e liga??es eles foram at? o local e resolveram o problema (sem detalhes sobre a causa at? o momento) A partir da?, as conex?es se normalizaram. Obrigado a todos pela ajuda Alexandre Augusto "Alexandre Augusto" Operacao de Redes Enviado por: gter-bounces at eng. cc registro.br "Grupo de Trabalho de Engenharia e Operacao de Redes" , 07/24/2008 03:49 gter-bounces at eng.registro.br PM Assunto Re: [GTER] problemas com um range da Argentina ? Favor responder a Grupo de Trabalho de Engenharia e Operacao de Redes Oi Rubens, Sim, estou mantendo contato com a rede de destino e os hosts est?o no ar ... Eu consigo me comunicar com este servidor de alguns servidores nos Estados Unidos, Europa e Asia. Inclusive, usando um link antigo que temos com outra operadora (Telefonica), mesmo a partir do Brasil tenho conseguido a conex?o sem problemas. Por?m, usando como origem um range da Embratel e um link novo que contratamos a pouco tempo da Telef?nica esse problema acontece. Me ocorreu trocar os endere?os alguns dos meus servidores para voltar a funcionar pois o servi?o ? cr?tico, mas caio noutro problema, n?o tenho tandos IPS dispon?veis e estou aguardando um contato a respeito dos chamados que foram abertos na Telmex/Metrored (Argentina) e Telefonica/Embratel (Brasil) pra decidir... obrigado pela ajuda Att Alexandre Augusto "Rubens Kuhl Jr." Para Enviado por: "Grupo de Trabalho de Engenharia e gter-bounces at eng. Operacao de Redes" registro.br cc 07/24/2008 01:42 Assunto PM Re: [GTER] problemas com um range da Argentina ? Favor responder a Grupo de Trabalho de Engenharia e Operacao de Redes Se o cliente estiver fora do ar, vai acontecer exatamente a mesma coisa, pois o pacote vai at? o roteador mais pr?ximo do cliente, e na falta de uma rota espec?fica diretamente conectada, segue de volta a rota default. Voc? j? tentou falar com a rede destino na Argentina ? Eles v?o saber se est?o no ar ou n?o, e podem abrir chamados com a operadora na qualidade de cliente, com incid?ncia do SLA. Rubens On Thu, Jul 24, 2008 at 9:25 AM, Alexandre Augusto wrote: > Oi Lao, > > Ainda n?o consegui o contato deles... complicado viu ... > > Ao que parece ? mesmo isso... um loop > > obrigado pela ajuda > > Alexandre Augusto > > > > > > Lao DanTong > .br> Para > Enviado por: Grupo de Trabalho de Engenharia e > gter-bounces at eng. Operacao de Redes > registro.br > cc > > 07/24/2008 08:07 Assunto > AM Re: [GTER] problemas com um range > da Argentina ? > > Favor responder a > Grupo de Trabalho > de Engenharia e > Operacao de Redes > o.br> > > > > > > > On Wed, 23 Jul 2008, Alexandre Augusto wrote: > >> Estou com problemas para me conectar a um servidor na Argentina. >> Quando tento tra?ar uma rota pra o servidor, recebo o seguinte: >> >> ]# traceroute 200.49.68.18 >> >> 8 ymhr01-npcr02-422000009.metrored.net.ar (200.49.65.242) 62.994 ms >> 63.201 ms 63.923 ms >> 9 200.80.245.11.static.techtelnet.net (200.80.245.11) 65.750 ms 65.939 >> ms 66.686 ms >> 10 ymhr01-npcr02-422000009.metrored.net.ar (200.49.65.242) 67.005 ms > > tudo leva a crer que existe um 'loop' entre 200.49.65.242 e 200.80.245.11. > j? contactou a metrored argentina? > -- > gter list https://eng.registro.br/mailman/listinfo/gter > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- gter list https://eng.registro.br/mailman/listinfo/gter -- gter list https://eng.registro.br/mailman/listinfo/gter From antoniocarlospina at gmail.com Wed Aug 6 10:22:44 2008 From: antoniocarlospina at gmail.com (Antonio Carlos Pina) Date: Wed, 6 Aug 2008 10:22:44 -0300 Subject: [GTER] Roteadores brasileiros com problema? In-Reply-To: References: <489778DE.5060003@hacked.com.br> <6bb5f5b10808042352m315a30f2x91789b30cf5356e9@mail.gmail.com> <4898770E.2050201@hacked.com.br> Message-ID: <86b352050808060622y47d451actb303082d61dbe94@mail.gmail.com> O Dificil ? convencer o usu?rio disso. Abs 2008/8/5 Andre Gustavo de Carvalho Albuquerque < gustavo.albuquerque at gmail.com> > On 8/5/08, Vinicius Vianna wrote: > > > > Rubens Kuhl Jr. escreveu: > > > >> Estamos lan?ando um jogo novo no modelo casual, que necessita de pouca > >>> lat?ncia entre os jogadores, e pude notar tamb?m atrasos como de 400ms > >>> entre > >>> um roteador da Telefonica e outro da Telemar. > >>> > >>> > >> > >> Devido ao uso de MPLS, pode ser que esse caminho de um s? hop seja > >> mais longo do que parece... > >> > >> > >> > >> > > ? o que estamos percebendo, eu ainda nao sei nada sobre MPLS, talvez se > > voce puder me enviar algum material, mesmo que off-list, eu agradeceria > > muito. > > > MPLS ? um cen?rio poss?vel. Alguns tutoriais, baseados em apresenta??es do > evento Cisco Networkers, podem ser encontrados em > http://www.cisco.com/en/US/products/ps6557/prod_presentation_list.html > > Outro cen?rio pode ser a implementa??o de rate-limiters em mensagem ICMP > e/ou a implementa??o de mencanismos de prote??o do control plane em > equipamentos da rede. > > A implementa??o desses mecanismos pode causar a falsa impress?o de maior > lat?ncia ou perda de pacotes quando se utiliza testes com traceroute que, > ao > se basear em manipula??o de TTL para obter resposta hop-a-hop, acaba > for?ando a gera??o de mensagens de expira??o de TTL (ICMP type 11 code 0 - > Time Exceeded) em equipamentos da rede, ocasionando tamb?m o acionamento > da CPU central (para gerar as mensagens ICMP), o que ? normalmente > controlado em muitas redes (corretamente, por sinal), com a aplica??es de > pol?ticas de prote??o de control plane. > > Informa??es sobre o funcionamento do traceroute podem ser encontradas em: > http://en.wikipedia.org/wiki/Traceroute > > Maiores informa??es sobre mecanismos de controle TTL Expiry messages, > focadas em equipamentos Cisco, podem ser encontradas em: > http://www.cisco.com/web/about/security/intelligence/ttl-expiry.html > > Uma forma mais eficiente para mensurar indicadores como lat?ncia e jitter ? > utilizar probes no caminho. Os probes seriam distribu?dos no caminho e t?m > a > capacidade de mensurar diversos indicadores, como lat?ncia e jitter, > utilizando testes mais b?sicos com os protocolos ICMP, UDP ou TCP, ou > testes > mais sofisticados considerando varia??o de tamanho de pacote, payloads > espec?ficos e at? medi??es focadas em protocolos real time, como RTP. > > H? op??es de probes externos ou funcionalidades embutidas em roteador. No > caso da Cisco, a funcionalidade ? IP SLA (www.cisco.com/go/ipsla) > > Muitas operadoras implementam uma estrutura de probes para medi??o de > indicadores utilizados em relat?rios de SLA (Service Level Agreement), > mas esses relat?rios est?o dispon?veis apenas para servi?os de VPN > corporativas com essa previs?o no contrato. > > De qualquer forma, a medi??o de lat?ncia baseando-se em informa??es de ping > e traceroute ? bastante imprecisa. > > O tr?fego normal dos usu?rios n?o s?o normalmente afetados pela > implementa??o desses mecanismos de prote??o, j? que eles n?o s?o > normalmente > tratados no control plane do roteador. > > []s, Gustavo Albuquerque > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From fneves at registro.br Wed Aug 6 11:10:03 2008 From: fneves at registro.br (Frederico A C Neves) Date: Wed, 6 Aug 2008 11:10:03 -0300 Subject: [GTER] Analise de servidor DNS In-Reply-To: <4898D430.4080005@hacked.com.br> <8212cbca0808050737j2e5bb5d0yf5f0f366223a0111@mail.gmail.com> References: <8212cbca0808050737j2e5bb5d0yf5f0f366223a0111@mail.gmail.com> <4898D430.4080005@hacked.com.br> <8212cbca0808050737j2e5bb5d0yf5f0f366223a0111@mail.gmail.com> Message-ID: <20080806141003.GB85982@registro.br> Thiago, On Tue, Aug 05, 2008 at 11:37:13AM -0300, Thiago Gomes wrote: > Galera, > > Fiz uma analise do meu dns atraves do site > http://pingability.com/zoneinfo.jsp, o mesmo apresentou algumas > considera??es, uma > delas foi com rela??o as valores e informando os recomendados.. > > DNS Host Master admin.exemplo.com.br > Secondary Refresh 3 hours > Secondary Retry 1 hour > Secondary Expire 1 week > Default Record Cache Time 1 day > Serial Number 2007072301 > > SOA Info > Info Type Message > Heads-up SOA default TTL is set to 1 day. The recommended setting is > between 1 and 3 hours (3600 seconds and 10800 seconds). > Heads-up SOA expire is set to 1 week. The recommended length is > between 2 and 4 weeks (1209600 seconds and 2419200 seconds). > > o meu DNS esta configurado com estes valores. > > 2007072301 ; Serial > 10800 ; Refresh > 3600 ; Retry > 604800 ; Expire > 86400 ; Minimum TTL > > A minha d?vida ? posso deixar como esta ou eu fa?o altera??o para os > valores recomendados pela analise Os tr?s primeiros valores s?o os que determinam a rela??o entre o seu servidor prim?rio e os secund?rios da sua zona. Os dois primeiros (Refresh e Retry) est?o adequados j? que hoje em dia n?o tem muita relev?ncia reduzir estes valores com o advento do notify (rfc 1996). O terceiro (Expire), ? por quanto tempo um servidor secund?rio se manter? como autoritativo pela zona caso n?o consiga verificar o SOA no servidor prim?rio, o valor de uma semana tamb?m ? adequado. O ?ltimo valor (Minimum TTL) teve sua sem?ntica alterada pela rfc 2308, e server para indicar o tempo de cache para um resposta negativa vinda dos seus servidores autoritativos. Valores superiores a 3 horas s?o ignorados pelas implementa??es atuais e n?o tem efeito algum. > Obrigado On Tue, Aug 05, 2008 at 07:29:04PM -0300, Vinicius Vianna wrote: > Oi Thiago, > > Primeira coisa ? entender o que esses valores significam. > > TTL quer dizer o tempo que o registro fica no DNS que perguntou o seu, > Time To Live, antigamente usava 1 dia mesmo, pra voce ter mudan?as de > DNS mais r?pidas voce pode baixar ele pra esses valores recomendados de > 1-3hs, isso implica em um pouco de tr?fego DNS a mais pra voce (que ? > relativamente baixo perto de web e e-mail), ? tudo questao de escolha > sua, trocar uma agilidade na troca dos registros por mais banda disponivel. A redu??o do TTL de um registro pode sim trazer agilidade na altera??o efetiva do mesmo mas n?o ? recomendada na maioria dos casos pois em geral traz junto com isto comportamentos mais inst?veis a zona. A manuten??o de TTLs maiores n?o tem intuito algum de economizar banda mas sim de aumentar a estabilidade da zona. A forma de se atribuir um TTL padr?o para os registros no seus arquivos de zona que n?o o contenham explicitamente ? feita pela diretiva $TTL no in?cio do arquivo. Resumindo, um Minimum de 1 h e um TTL padr?o de 1 dia s?o os valores mais adequados para condi??es est?veis de opera??o. J? em situa??es de mudan?as voc? deve efetuar uma redu??o do TTL padr?o para um valor baixo, como 15 minutos, com no m?nimo 2 vezes o seu valor padr?o de anteced?ncia (neste caso 2 dias), efetuar as mudan?as e ap?s isto retornar o TTL para o valor padr?o. []s Fred From cristinafs.listas at gmail.com Wed Aug 6 10:35:08 2008 From: cristinafs.listas at gmail.com (Cristina Fernandes Silva) Date: Wed, 6 Aug 2008 10:35:08 -0300 Subject: [GTER] Analise de servidor DNS In-Reply-To: <4898D430.4080005@hacked.com.br> References: <8212cbca0808050737j2e5bb5d0yf5f0f366223a0111@mail.gmail.com> <4898D430.4080005@hacked.com.br> Message-ID: <35beb8610808060635q62058203h1bbfd4e3f599902@mail.gmail.com> Amigos, mas segundo alguns avisos do registro.br o ideal n?o seria o seu TTL de um 1 dia ? inclusive teve ate um e-mail de um colega falando nisso.. em aumentar a TTL, existe dns que tem sua TTL de 10 minutos. 2008/8/5 Vinicius Vianna : > Oi Thiago, > > Primeira coisa ? entender o que esses valores significam. > > TTL quer dizer o tempo que o registro fica no DNS que perguntou o seu, Time > To Live, antigamente usava 1 dia mesmo, pra voce ter mudan?as de DNS mais > r?pidas voce pode baixar ele pra esses valores recomendados de 1-3hs, isso > implica em um pouco de tr?fego DNS a mais pra voce (que ? relativamente > baixo perto de web e e-mail), ? tudo questao de escolha sua, trocar uma > agilidade na troca dos registros por mais banda disponivel. > > Quanto ao expire eu nao tenho certeza, mas parece que ? quanto tempo esse > registro seu vai ficar nos caches DNS no caso do seu servidor n?o conseguir > ser alcan?ado, ent?o um valor maior implica, no caso de um problema com seu > DNS, que seu nome vai permanecer mais tempo na rede. > > Resumindo tudo, se voce quer que seus registros DNS se propaguem > rapidamente, e tem um pouco de banda a mais pra aguentar essa tr?fego DNS > maior, altere o TTL, sobre o expire acho melhor aumentar mesmo. > > Espero ter ajudado :) > > Vinicius > > Thiago Gomes escreveu: >> >> Galera, >> >> Fiz uma analise do meu dns atraves do site >> http://pingability.com/zoneinfo.jsp, o mesmo apresentou algumas >> considera??es, uma >> delas foi com rela??o as valores e informando os recomendados.. >> >> DNS Host Master admin.exemplo.com.br >> Secondary Refresh 3 hours >> Secondary Retry 1 hour >> Secondary Expire 1 week >> Default Record Cache Time 1 day >> Serial Number 2007072301 >> >> SOA Info >> Info Type Message >> Heads-up SOA default TTL is set to 1 day. The recommended setting >> is >> between 1 and 3 hours (3600 seconds and 10800 seconds). >> Heads-up SOA expire is set to 1 week. The recommended length is >> between 2 and 4 weeks (1209600 seconds and 2419200 seconds). >> >> o meu DNS esta configurado com estes valores. >> >> 2007072301 ; Serial >> 10800 ; Refresh >> 3600 ; Retry >> 604800 ; Expire >> 86400 ; Minimum TTL >> >> A minha d?vida ? posso deixar como esta ou eu fa?o altera??o para os >> valores recomendados pela analise >> >> Obrigado >> -- >> gter list https://eng.registro.br/mailman/listinfo/gter > > -- > gter list https://eng.registro.br/mailman/listinfo/gter From itamar at ispbrasil.com.br Wed Aug 6 10:45:47 2008 From: itamar at ispbrasil.com.br (Itamar - IspBrasil) Date: Wed, 06 Aug 2008 10:45:47 -0300 Subject: [GTER] RES: [OFF] Skype In-Reply-To: <761ea0990808051527t272708efy282d43a4cd536029@mail.gmail.com> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> <761ea0990808051527t272708efy282d43a4cd536029@mail.gmail.com> Message-ID: <4899AB0B.4080605@ispbrasil.com.br> resumindo 1- deixe bem claro que nao e permitido utilizar o skype. 2- monitore 3- envie os infratores para o RH o item 3 sempre resolve. Leandro Pereira de Lima e Silva wrote: > Eu acredito que se a companhia n?o deseja que seus funcion?rios usem skype > ela deve dizer isso a eles. A atua??o do depto de TI (no caso do skype) deve > ser no monitoramento. Descobrir que algu?m est? usando o skype ? trivial com > o l7-filter, diferentemente do bloqueio. > > Dessa forma, cabe ao TI notificar ao departamento competente sobre a > infra??o no uso da Internet, que deve ser resolvido como qualquer outra > infra??o das pol?ticas da empresa. > > Fazendo uma compara??o: ningu?m pede a seguran?a que garanta que ningu?m > inicie uma briga, mas se acontecer ela vai notificar o depto respons?vel e > este vai lidar com o funcion?rio infrator. Pq no caso das infra??es das > pol?ticas de uso de Internet deveria ser diferente? > > []s Leandro > > 2008/8/5 Christian > > >> Essa dica do squid funciona, o problema ? que existem v?rios sites que >> lan?am m?o de utilizar endere?os IP em servidores, principalmente de >> e-mail (Yahoo, MSN, etc). Foi a? que percebi que seria complexo demais >> esse bloqueio. At? cheguei a criar uma range de ips desses provedores >> dando libera??o, mas chegou um momento em que eu desisti e disse pra >> dire??o decidir: >> >> Ou cria-se uma pol?tica de uso da Internet ou ser? necess?rio comprar uma >> ferramenta para esse fim. >> >> [ ]`s >> >> Christian >> >> M?rcio Luciano Donada wrote: >> >> >>> Tiago Machado Costa escreveu: >>> >>>> O ?nico jeito que eu conhe?o para o bloqueio do Skype ? com L7. >>>> >>>> Nunca testei, mas me disseram que funciona. >>>> O Skype sai por varias portas diferentes. ? praticamente uma 'praga' >>>> >>>> >>> Tiago, >>> Eu uso o L7, ele chega a pegar o cara, mas como colega Bonani falou, o >>> neg?cio ? que ele est? saindo pelo proxy. Vou ter que trabalhar com o >>> squid agora pra resolver a parada. >>> >>> Obrigado, >>> -- >>> M?rcio Luciano Donada >>> Aurora Alimentos - Cooperativa Central Oeste Catarinense >>> Departamento de T.I. >>> -- >>> gter list https://eng.registro.br/mailman/listinfo/gter >>> >> -- >> gter list https://eng.registro.br/mailman/listinfo/gter >> >> > > > > From killabc at gmail.com Wed Aug 6 10:30:22 2008 From: killabc at gmail.com (Kill ABC) Date: Wed, 6 Aug 2008 10:30:22 -0300 Subject: [GTER] problemas com um range da Argentina ? In-Reply-To: References:

Message-ID: Eu tive um problema parecido com um cliente empresarial nosso que nao tinha contato com a sua matriz na Venezuela, fazia todos os testes e chegava at? um roteador no meio da caminho e desse roteador em diante cada traceroute que eu dava para o ip deles ia para um lugar diferente. Informei um milhao de vez para o pessoal da matriz deles entrar em contato com a operadora deles e nenhuma solu?ao. S? consegui resolver entrando em contato com eles via suporte skype com a operadora deles no portunhol, entao pensa no sofrimento explicar para aqueles venezuelanos que a cada traceroute eu ia para um lugar diferente, pois eles testavam de l? e chegava normal o traceroute at? n?s. Mas como sempre a culpa eh nossa.hehehehe -- T+_+ Kill ABC ICQ 36741022 - Linux User 188391 - Ubuntu Gutsy 7.10 "O futuro tem varios nomes: para os fracos, ele ? inating?vel; para os temerosos, ele ? desconhecido; para os corajosos, ele ? a chance..." 2008/8/6 Alexandre Augusto > Pessoal, > > Apenas como um final do caso: > > O problema com acesso a redes da Argentina era realmente um problema num > roteador da Telmex. > Depois de muitos e-mails e liga??es eles foram at? o local e resolveram o > problema (sem detalhes sobre a causa at? o momento) > A partir da?, as conex?es se normalizaram. > > Obrigado a todos pela ajuda > > Alexandre Augusto > > > > > > "Alexandre > Augusto" > o at yamaha-motor.co Grupo de Trabalho de Engenharia e > m.br> Operacao de Redes > Enviado por: > gter-bounces at eng. cc > registro.br "Grupo de Trabalho de Engenharia e > Operacao de Redes" > , > 07/24/2008 03:49 gter-bounces at eng.registro.br > PM Assunto > Re: [GTER] problemas com um range > da Argentina ? > Favor responder a > Grupo de Trabalho > de Engenharia e > Operacao de Redes > o.br> > > > > > > > Oi Rubens, > > Sim, estou mantendo contato com a rede de destino e os hosts est?o no ar > ... > > Eu consigo me comunicar com este servidor de alguns servidores nos Estados > Unidos, Europa e Asia. > Inclusive, usando um link antigo que temos com outra operadora > (Telefonica), mesmo a partir do Brasil tenho conseguido a conex?o sem > problemas. > > Por?m, usando como origem um range da Embratel e um link novo que > contratamos a pouco tempo da Telef?nica esse problema acontece. > > Me ocorreu trocar os endere?os alguns dos meus servidores para voltar a > funcionar pois o servi?o ? cr?tico, mas caio noutro problema, n?o tenho > tandos IPS dispon?veis e estou aguardando um contato a respeito dos > chamados que foram abertos na Telmex/Metrored (Argentina) e > Telefonica/Embratel (Brasil) pra decidir... > > obrigado pela ajuda > > Att > > Alexandre Augusto > > > > > "Rubens Kuhl Jr." > m> Para > Enviado por: "Grupo de Trabalho de Engenharia e > gter-bounces at eng. Operacao de Redes" > registro.br > cc > > 07/24/2008 01:42 Assunto > PM Re: [GTER] problemas com um range > da Argentina ? > > Favor responder a > Grupo de Trabalho > de Engenharia e > Operacao de Redes > o.br> > > > > > > > Se o cliente estiver fora do ar, vai acontecer exatamente a mesma > coisa, pois o pacote vai at? o roteador mais pr?ximo do cliente, e na > falta de uma rota espec?fica diretamente conectada, segue de volta a > rota default. > > Voc? j? tentou falar com a rede destino na Argentina ? Eles v?o saber > se est?o no ar ou n?o, e podem abrir chamados com a operadora na > qualidade de cliente, com incid?ncia do SLA. > > > Rubens > > > On Thu, Jul 24, 2008 at 9:25 AM, Alexandre Augusto > wrote: > > Oi Lao, > > > > Ainda n?o consegui o contato deles... complicado viu ... > > > > Ao que parece ? mesmo isso... um loop > > > > obrigado pela ajuda > > > > Alexandre Augusto > > > > > > > > > > > > Lao DanTong > > > .br> Para > > Enviado por: Grupo de Trabalho de Engenharia e > > gter-bounces at eng. Operacao de Redes > > registro.br > > cc > > > > 07/24/2008 08:07 Assunto > > AM Re: [GTER] problemas com um range > > da Argentina ? > > > > Favor responder a > > Grupo de Trabalho > > de Engenharia e > > Operacao de Redes > > > o.br> > > > > > > > > > > > > > > On Wed, 23 Jul 2008, Alexandre Augusto wrote: > > > >> Estou com problemas para me conectar a um servidor na Argentina. > >> Quando tento tra?ar uma rota pra o servidor, recebo o seguinte: > >> > >> ]# traceroute 200.49.68.18 > >> > >> 8 ymhr01-npcr02-422000009.metrored.net.ar (200.49.65.242) 62.994 ms > >> 63.201 ms 63.923 ms > >> 9 200.80.245.11.static.techtelnet.net (200.80.245.11) 65.750 ms > 65.939 > >> ms 66.686 ms > >> 10 ymhr01-npcr02-422000009.metrored.net.ar (200.49.65.242) 67.005 ms > > > > tudo leva a crer que existe um 'loop' entre 200.49.65.242 e > 200.80.245.11. > > j? contactou a metrored argentina? > > -- > > gter list https://eng.registro.br/mailman/listinfo/gter > > > > > > -- > > gter list https://eng.registro.br/mailman/listinfo/gter > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From killabc at gmail.com Wed Aug 6 10:34:21 2008 From: killabc at gmail.com (Kill ABC) Date: Wed, 6 Aug 2008 10:34:21 -0300 Subject: [GTER] Roteadores brasileiros com problema? In-Reply-To: <86b352050808060622y47d451actb303082d61dbe94@mail.gmail.com> References: <489778DE.5060003@hacked.com.br> <6bb5f5b10808042352m315a30f2x91789b30cf5356e9@mail.gmail.com> <4898770E.2050201@hacked.com.br> <86b352050808060622y47d451actb303082d61dbe94@mail.gmail.com> Message-ID: Muitas vezes o problema todo disso ? inter-conexao das operadoras, hoje eu tenho interconexao com a Telefonica horrivel na faixa dos 180ms, sendo que para o uol.com.br, google ? de 26 ms.Mas como disse o Antonio Carlos Pina eh dificil explicar para o usu?rio. -- T+_+ Kill ABC ICQ 36741022 - Linux User 188391 - Ubuntu Gutsy 7.10 "O futuro tem varios nomes: para os fracos, ele ? inating?vel; para os temerosos, ele ? desconhecido; para os corajosos, ele ? a chance..." 2008/8/6 Antonio Carlos Pina > O Dificil ? convencer o usu?rio disso. > > Abs > > 2008/8/5 Andre Gustavo de Carvalho Albuquerque < > gustavo.albuquerque at gmail.com> > > > On 8/5/08, Vinicius Vianna wrote: > > > > > > Rubens Kuhl Jr. escreveu: > > > > > >> Estamos lan?ando um jogo novo no modelo casual, que necessita de pouca > > >>> lat?ncia entre os jogadores, e pude notar tamb?m atrasos como de > 400ms > > >>> entre > > >>> um roteador da Telefonica e outro da Telemar. > > >>> > > >>> > > >> > > >> Devido ao uso de MPLS, pode ser que esse caminho de um s? hop seja > > >> mais longo do que parece... > > >> > > >> > > >> > > >> > > > ? o que estamos percebendo, eu ainda nao sei nada sobre MPLS, talvez se > > > voce puder me enviar algum material, mesmo que off-list, eu agradeceria > > > muito. > > > > > > MPLS ? um cen?rio poss?vel. Alguns tutoriais, baseados em apresenta??es > do > > evento Cisco Networkers, podem ser encontrados em > > http://www.cisco.com/en/US/products/ps6557/prod_presentation_list.html > > > > Outro cen?rio pode ser a implementa??o de rate-limiters em mensagem ICMP > > e/ou a implementa??o de mencanismos de prote??o do control plane em > > equipamentos da rede. > > > > A implementa??o desses mecanismos pode causar a falsa impress?o de maior > > lat?ncia ou perda de pacotes quando se utiliza testes com traceroute que, > > ao > > se basear em manipula??o de TTL para obter resposta hop-a-hop, acaba > > for?ando a gera??o de mensagens de expira??o de TTL (ICMP type 11 code 0 > - > > Time Exceeded) em equipamentos da rede, ocasionando tamb?m o acionamento > > da CPU central (para gerar as mensagens ICMP), o que ? normalmente > > controlado em muitas redes (corretamente, por sinal), com a aplica??es de > > pol?ticas de prote??o de control plane. > > > > Informa??es sobre o funcionamento do traceroute podem ser encontradas em: > > http://en.wikipedia.org/wiki/Traceroute > > > > Maiores informa??es sobre mecanismos de controle TTL Expiry messages, > > focadas em equipamentos Cisco, podem ser encontradas em: > > http://www.cisco.com/web/about/security/intelligence/ttl-expiry.html > > > > Uma forma mais eficiente para mensurar indicadores como lat?ncia e jitter > ? > > utilizar probes no caminho. Os probes seriam distribu?dos no caminho e > t?m > > a > > capacidade de mensurar diversos indicadores, como lat?ncia e jitter, > > utilizando testes mais b?sicos com os protocolos ICMP, UDP ou TCP, ou > > testes > > mais sofisticados considerando varia??o de tamanho de pacote, payloads > > espec?ficos e at? medi??es focadas em protocolos real time, como RTP. > > > > H? op??es de probes externos ou funcionalidades embutidas em roteador. No > > caso da Cisco, a funcionalidade ? IP SLA (www.cisco.com/go/ipsla) > > > > Muitas operadoras implementam uma estrutura de probes para medi??o de > > indicadores utilizados em relat?rios de SLA (Service Level Agreement), > > mas esses relat?rios est?o dispon?veis apenas para servi?os de VPN > > corporativas com essa previs?o no contrato. > > > > De qualquer forma, a medi??o de lat?ncia baseando-se em informa??es de > ping > > e traceroute ? bastante imprecisa. > > > > O tr?fego normal dos usu?rios n?o s?o normalmente afetados pela > > implementa??o desses mecanismos de prote??o, j? que eles n?o s?o > > normalmente > > tratados no control plane do roteador. > > > > []s, Gustavo Albuquerque > > -- > > gter list https://eng.registro.br/mailman/listinfo/gter > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From emiliano.martins at ik1.com.br Wed Aug 6 12:02:55 2008 From: emiliano.martins at ik1.com.br (Emiliano Martins) Date: Wed, 6 Aug 2008 12:02:55 -0300 Subject: [GTER] RES: [OFF] Skype In-Reply-To: <4899AB0B.4080605@ispbrasil.com.br> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> <761ea0990808051527t272708efy282d43a4cd536029@mail.gmail.com> <4899AB0B.4080605@ispbrasil.com.br> Message-ID: <9c0c824e0808060802p3f7e266u2371402978fcf40f@mail.gmail.com> Boa Itamar, Infelizmente temos que trabalhar assim. Eu trabalho com appliances que "bloqueiam" o Skype com dois cliques, mas o problema ? que a cada atualiza??o do Skype (e MSN tamb?m) eles descobrem uma nova maneira de se manter conectados, o que gera um pedido de atualiza??o de firmware que pode demorar semanas para acontecer. Abs Emiliano 2008/8/6 Itamar - IspBrasil > resumindo > > 1- deixe bem claro que nao e permitido utilizar o skype. > 2- monitore > 3- envie os infratores para o RH > > o item 3 sempre resolve. > > > > Leandro Pereira de Lima e Silva wrote: > >> Eu acredito que se a companhia n?o deseja que seus funcion?rios usem skype >> ela deve dizer isso a eles. A atua??o do depto de TI (no caso do skype) >> deve >> ser no monitoramento. Descobrir que algu?m est? usando o skype ? trivial >> com >> o l7-filter, diferentemente do bloqueio. >> >> Dessa forma, cabe ao TI notificar ao departamento competente sobre a >> infra??o no uso da Internet, que deve ser resolvido como qualquer outra >> infra??o das pol?ticas da empresa. >> >> Fazendo uma compara??o: ningu?m pede a seguran?a que garanta que ningu?m >> inicie uma briga, mas se acontecer ela vai notificar o depto respons?vel e >> este vai lidar com o funcion?rio infrator. Pq no caso das infra??es das >> pol?ticas de uso de Internet deveria ser diferente? >> >> []s Leandro >> >> 2008/8/5 Christian >> >> >> >>> Essa dica do squid funciona, o problema ? que existem v?rios sites que >>> lan?am m?o de utilizar endere?os IP em servidores, principalmente de >>> e-mail (Yahoo, MSN, etc). Foi a? que percebi que seria complexo demais >>> esse bloqueio. At? cheguei a criar uma range de ips desses provedores >>> dando libera??o, mas chegou um momento em que eu desisti e disse pra >>> dire??o decidir: >>> >>> Ou cria-se uma pol?tica de uso da Internet ou ser? necess?rio comprar uma >>> ferramenta para esse fim. >>> >>> [ ]`s >>> >>> Christian >>> >>> M?rcio Luciano Donada wrote: >>> >>> >>> >>>> Tiago Machado Costa escreveu: >>>> >>>> >>>>> O ?nico jeito que eu conhe?o para o bloqueio do Skype ? com L7. >>>>> >>>>> Nunca testei, mas me disseram que funciona. >>>>> O Skype sai por varias portas diferentes. ? praticamente uma 'praga' >>>>> >>>>> >>>>> >>>> Tiago, >>>> Eu uso o L7, ele chega a pegar o cara, mas como colega Bonani falou, o >>>> neg?cio ? que ele est? saindo pelo proxy. Vou ter que trabalhar com o >>>> squid agora pra resolver a parada. >>>> >>>> Obrigado, >>>> -- >>>> M?rcio Luciano Donada >>>> Aurora Alimentos - Cooperativa Central Oeste Catarinense >>>> Departamento de T.I. >>>> -- >>>> gter list https://eng.registro.br/mailman/listinfo/gter >>>> >>>> >>> -- >>> gter list https://eng.registro.br/mailman/listinfo/gter >>> >>> >>> >> >> >> >> >> > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- Emiliano Martins iK1 Tecnologia Ltda From pedro.lemes at gmail.com Wed Aug 6 12:16:40 2008 From: pedro.lemes at gmail.com (Pedro Lemes) Date: Wed, 06 Aug 2008 12:16:40 -0300 Subject: [GTER] Netenforcer In-Reply-To: <9c0c824e0808060802p3f7e266u2371402978fcf40f@mail.gmail.com> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> <761ea0990808051527t272708efy282d43a4cd536029@mail.gmail.com> <4899AB0B.4080605@ispbrasil.com.br> <9c0c824e0808060802p3f7e266u2371402978fcf40f@mail.gmail.com> Message-ID: <4899C058.3060008@gmail.com> Sauda??es ! Uma das empresas do grupo onde trabalho chamaram uma empresa para monitorar o uso de nosso link de internet, pois estavamos tendo problemas com estrangulamento de banda. No ato da colocacao do equipamento de monitoramento (Allot Netenforcer) eu questionei o t?cnico, pois ele colocou o Netenforcer entre minha rede local e meu firewall (vide imagem) e n?o entre meu roteador do link a ser monitorado e o firewall. Tendo em vista que eu possuo inclusive dois links com loadbalance feito pelo meu firewall (e queriamos identificar o fluxo de apenas 1), identifiquei que o teste foi ineficaz. Gostaria da opni?o dos amigos da lista e sugest?es, []'s Pedro A. Lemes From frederick at dahype.org Wed Aug 6 13:29:02 2008 From: frederick at dahype.org (Renato Frederick) Date: Wed, 6 Aug 2008 13:29:02 -0300 Subject: [GTER] RES: [OFF] Skype In-Reply-To: <9c0c824e0808060802p3f7e266u2371402978fcf40f@mail.gmail.com> References: <4896F39D.2000703@auroraalimentos.com.br><4897333A.40303@auroraalimentos.com.br><220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local><4897575A.8080302@auroraalimentos.com.br><48983C2C.842C480@uol.com.br><761ea0990808051527t272708efy282d43a4cd536029@mail.gmail.com><4899AB0B.4080605@ispbrasil.com.br> <9c0c824e0808060802p3f7e266u2371402978fcf40f@mail.gmail.com> Message-ID: <00e401c8f7e1$8b106970$6604a8c0@takenet.com.br> Infelizmente passei por esta situa??o de "gato e rato", a TI sempre perde. A provid?ncia tem que vir da reestrutura??o da pol?tica da empresa, o que nem sempre ocorre. E o pior ? que com o jogo de "gato e rato" perde-se tempo o que significa perda de dinheiro. > -----Original Message----- > From: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] > On Behalf Of Emiliano Martins > Sent: Wednesday, August 06, 2008 12:03 PM > To: Grupo de Trabalho de Engenharia e Operacao de Redes > Subject: Re: [GTER] RES: [OFF] Skype > > Boa Itamar, > > Infelizmente temos que trabalhar assim. Eu trabalho com appliances que > "bloqueiam" o Skype com dois cliques, mas o problema ? que a cada > atualiza??o do Skype (e MSN tamb?m) eles descobrem uma nova maneira de se > manter conectados, o que gera um pedido de atualiza??o de firmware que > pode > demorar semanas para acontecer. > > Abs > > Emiliano From nandowill at gmail.com Wed Aug 6 13:51:06 2008 From: nandowill at gmail.com (Fernando Willemann) Date: Wed, 6 Aug 2008 13:51:06 -0300 Subject: [GTER] Netenforcer In-Reply-To: <4899C058.3060008@gmail.com> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> <761ea0990808051527t272708efy282d43a4cd536029@mail.gmail.com> <4899AB0B.4080605@ispbrasil.com.br> <9c0c824e0808060802p3f7e266u2371402978fcf40f@mail.gmail.com> <4899C058.3060008@gmail.com> Message-ID: <31120fa90808060951j5cd9cbd8nd655bd2389e295a7@mail.gmail.com> Boa tarde! Pedro, pelo que sei existem algumas quest?es relacionadas ao posicionamento deste equipamento. O seu Firewall est? fazendo NAT? Tens alguma DMZ nesse Firewall? O posicionamento do equipamento entre o FW e a LAN, permite que vc consiga identificar o tr?fego da LAN mais facilmente, ja se ele estiver entre o FW e o Router, e se seu firewall estiver fazendo NAT, vc n?o conseguir? visualizar quais s?o os hosts da sua LAN que est?o gerando muito tr?fego, por exemplo. Espero que pude ajudar... Abra?os! Fernando. 2008/8/6 Pedro Lemes : > Sauda??es ! > > Uma das empresas do grupo onde trabalho chamaram uma empresa para monitorar > o uso de nosso link de internet, pois estavamos tendo problemas com > estrangulamento de banda. > > No ato da colocacao do equipamento de monitoramento (Allot Netenforcer) eu > questionei o t?cnico, pois ele colocou o Netenforcer entre minha rede local > e meu firewall (vide imagem) e n?o entre meu roteador do link a ser > monitorado e o firewall. > > Tendo em vista que eu possuo inclusive dois links com loadbalance feito pelo > meu firewall (e queriamos identificar o fluxo de apenas 1), identifiquei que > o teste foi ineficaz. > > Gostaria da opni?o dos amigos da lista e sugest?es, > > []'s > > Pedro A. Lemes > > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From eksffa at freebsdbrasil.com.br Wed Aug 6 14:27:59 2008 From: eksffa at freebsdbrasil.com.br (Patrick Tracanelli) Date: Wed, 06 Aug 2008 14:27:59 -0300 Subject: [GTER] RES: [OFF] Skype In-Reply-To: <00e401c8f7e1$8b106970$6604a8c0@takenet.com.br> References: <4896F39D.2000703@auroraalimentos.com.br><4897333A.40303@auroraalimentos.com.br><220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local><4897575A.8080302@auroraalimentos.com.br><48983C2C.842C480@uol.com.br><761ea0990808051527t272708efy282d43a4cd536029@mail.gmail.com><4899AB0B.4080605@ispbrasil.com.br> <9c0c824e0808060802p3f7e266u2371402978fcf40f@mail.gmail.com> <00e401c8f7e1$8b106970$6604a8c0@takenet.com.br> Message-ID: <4899DF1F.6080601@freebsdbrasil.com.br> Renato Frederick escreveu: > Infelizmente passei por esta situa??o de "gato e rato", a TI sempre perde. A > provid?ncia tem que vir da reestrutura??o da pol?tica da empresa, o que nem > sempre ocorre. E o pior ? que com o jogo de "gato e rato" perde-se tempo o > que significa perda de dinheiro. Tambem acho. Esse tipo de problema ? claramente tipico de empresas sem uma pol?tica de conduta corporativa. Isso so gera estresse, pois alguem ? sempre o vil?o tentando bloquear, e algu?m ? sempre o espertinho que consegue burlar. Simples, uma pol?tica dispon?vel a todos a quem a proibi??o se aplica, e um IDS pra identificar quem usa e uma advert?ncia por escrito de desrespeito a pol?tica corporativa. Se n?o resolver, justa causa. A TI bloquear pode sempre ser pol?tica, mas a pol?tica corporativa deve complementar para evitar o "gato e rato", mesmo porque a cada nova "janela" que uma mudan?a de protocolo gera, abre possibilidade pra espertinhos. Uma advert?ncia por escrito certamente desencoraja. De qualquer forma, respondendo, em ambiente que precisam impor a limita??o, uso SnortSam adicionando src e dst cada qual a uma table de firewall e bloqueio a comunica??o inteira entre essas tables. Ou ent?o sacaneia. Reescreve o conteudo de camada 7 modificando as strings de login, gerando "erro desconhecido de protocolo". E passa a se divertir mais que os muleques da rede. > > > >> -----Original Message----- >> From: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] >> On Behalf Of Emiliano Martins >> Sent: Wednesday, August 06, 2008 12:03 PM >> To: Grupo de Trabalho de Engenharia e Operacao de Redes >> Subject: Re: [GTER] RES: [OFF] Skype >> >> Boa Itamar, >> >> Infelizmente temos que trabalhar assim. Eu trabalho com appliances que >> "bloqueiam" o Skype com dois cliques, mas o problema ? que a cada >> atualiza??o do Skype (e MSN tamb?m) eles descobrem uma nova maneira de se >> manter conectados, o que gera um pedido de atualiza??o de firmware que >> pode >> demorar semanas para acontecer. >> >> Abs >> >> Emiliano > > -- > gter list https://eng.registro.br/mailman/listinfo/gter -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316601 at sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br "Long live Hanin Elias, Kim Deal!" From cristinafs.listas at gmail.com Wed Aug 6 12:19:54 2008 From: cristinafs.listas at gmail.com (Cristina Fernandes Silva) Date: Wed, 6 Aug 2008 12:19:54 -0300 Subject: [GTER] Netenforcer In-Reply-To: <4899C058.3060008@gmail.com> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> <761ea0990808051527t272708efy282d43a4cd536029@mail.gmail.com> <4899AB0B.4080605@ispbrasil.com.br> <9c0c824e0808060802p3f7e266u2371402978fcf40f@mail.gmail.com> <4899C058.3060008@gmail.com> Message-ID: <35beb8610808060819p69dcca61u3bbbfe0f85ebfb74@mail.gmail.com> Faltou a imagem.. creio que a lista nao receber anexos.. vc pode me enviar.. caso tenha interesse ou ent?o colocar em um local de acesso a todos. 2008/8/6 Pedro Lemes : > Sauda??es ! > > Uma das empresas do grupo onde trabalho chamaram uma empresa para monitorar > o uso de nosso link de internet, pois estavamos tendo problemas com > estrangulamento de banda. > > No ato da colocacao do equipamento de monitoramento (Allot Netenforcer) eu > questionei o t?cnico, pois ele colocou o Netenforcer entre minha rede local > e meu firewall (vide imagem) e n?o entre meu roteador do link a ser > monitorado e o firewall. > > Tendo em vista que eu possuo inclusive dois links com loadbalance feito pelo > meu firewall (e queriamos identificar o fluxo de apenas 1), identifiquei que > o teste foi ineficaz. > > Gostaria da opni?o dos amigos da lista e sugest?es, > > []'s > > Pedro A. Lemes > > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From itamar at ispbrasil.com.br Wed Aug 6 13:08:13 2008 From: itamar at ispbrasil.com.br (Itamar - IspBrasil) Date: Wed, 06 Aug 2008 13:08:13 -0300 Subject: [GTER] RES: [OFF] Skype In-Reply-To: <9c0c824e0808060802p3f7e266u2371402978fcf40f@mail.gmail.com> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> <761ea0990808051527t272708efy282d43a4cd536029@mail.gmail.com> <4899AB0B.4080605@ispbrasil.com.br> <9c0c824e0808060802p3f7e266u2371402978fcf40f@mail.gmail.com> Message-ID: <4899CC6D.5060601@ispbrasil.com.br> se vc tem um controlador de dominio windows na empresa, faca algumas policies com o group police. Emiliano Martins wrote: > Boa Itamar, > > Infelizmente temos que trabalhar assim. Eu trabalho com appliances que > "bloqueiam" o Skype com dois cliques, mas o problema ? que a cada > atualiza??o do Skype (e MSN tamb?m) eles descobrem uma nova maneira de se > manter conectados, o que gera um pedido de atualiza??o de firmware que pode > demorar semanas para acontecer. > > Abs > > Emiliano > > 2008/8/6 Itamar - IspBrasil > From chcoutinho at uol.com.br Wed Aug 6 16:02:31 2008 From: chcoutinho at uol.com.br (Christian) Date: Wed, 06 Aug 2008 16:02:31 -0300 Subject: [GTER] RES: [OFF] Skype References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> <489843B5.9070503@solutti.com.br> Message-ID: <4899F546.B75BCCCA@uol.com.br> Perceba que webmails s?o conex?es httpS. [ ]`s Christian Leonardo Rodrigues Magalh?es wrote: > Christian escreveu: > > Essa dica do squid funciona, o problema ? que existem v?rios sites que > > lan?am m?o de utilizar endere?os IP em servidores, principalmente de > > e-mail (Yahoo, MSN, etc). Foi a? que percebi que seria complexo demais > > esse bloqueio. At? cheguei a criar uma range de ips desses provedores > > dando libera??o, mas chegou um momento em que eu desisti e disse pra > > dire??o decidir: > > > > Perceba que as regras indicadas pelos colegas da lista restringem > conex?es por IP e m?todo CONNECT, m?todo utilizado por conex?es httpS. > > Conex?es http normais (n?o seguras) utilizam os m?todos GET e POST. > Portanto, n?o seriam restritas pelas regras citadas. > > O bloqueio de CONNECT e endere?o IP ? altamente eficiente pra > restringir a utiliza??o de Skype e, realmente, tem POUQUISSIMOS falsos > positivos. Tenho essa regra aplicada em diversas redes grandes e, at? > hoje, n?o devo ter criado mais de 10 exce??es somando todas as redes. > > Agora se voc? bloquear GET e POST por endere?o ip, ai sim voc? ter? > dores de cabe?a pesadas ...... > > -- > > Atenciosamente / Sincerily, > Leonardo Rodrigues > Solutti Tecnologia > http://www.solutti.com.br > > Minha armadilha de SPAM, N?O mandem email > gertrudes at solutti.com.br > My SPAMTRAP, do not email it > > -- > gter list https://eng.registro.br/mailman/listinfo/gter From pedro.lemes at gmail.com Wed Aug 6 16:53:11 2008 From: pedro.lemes at gmail.com (Pedro Lemes) Date: Wed, 06 Aug 2008 16:53:11 -0300 Subject: [GTER] Netenforcer In-Reply-To: <31120fa90808060951j5cd9cbd8nd655bd2389e295a7@mail.gmail.com> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> <761ea0990808051527t272708efy282d43a4cd536029@mail.gmail.com> <4899AB0B.4080605@ispbrasil.com.br> <9c0c824e0808060802p3f7e266u2371402978fcf40f@mail.gmail.com> <4899C058.3060008@gmail.com> <31120fa90808060951j5cd9cbd8nd655bd2389e295a7@mail.gmail.com> Message-ID: <489A0127.8000605@gmail.com> Oi, Fernando. Obrigado por responder. Ent?o, na verdade essa empresa foi chamada pra monitorar o uso do link de internet pelos servi?os/protocolos (smtp, pop, http, ica). Num segundo momento poderiamos at? querer saber qual o host que esta consumindo muito, mas a principio era saber se nosso link esta ou n?o sofrendo estrangulamento de banda. Pra esse tipo de informa??o o melhor seria colocar o appliance entre o FW e o Router, certo ? Obs.: N?s trabalhamos com firewall fazendo NAT e n?o possuimos DMZ. Abra?o. Pedro A. Lemes Fernando Willemann escreveu: > Boa tarde! > > Pedro, pelo que sei existem algumas quest?es relacionadas ao > posicionamento deste equipamento. O seu Firewall est? fazendo NAT? > Tens alguma DMZ nesse Firewall? O posicionamento do equipamento entre > o FW e a LAN, permite que vc consiga identificar o tr?fego da LAN mais > facilmente, ja se ele estiver entre o FW e o Router, e se seu firewall > estiver fazendo NAT, vc n?o conseguir? visualizar quais s?o os hosts > da sua LAN que est?o gerando muito tr?fego, por exemplo. Espero que > pude ajudar... > > Abra?os! > > Fernando. > > 2008/8/6 Pedro Lemes : > >> Sauda??es ! >> >> Uma das empresas do grupo onde trabalho chamaram uma empresa para monitorar >> o uso de nosso link de internet, pois estavamos tendo problemas com >> estrangulamento de banda. >> >> No ato da colocacao do equipamento de monitoramento (Allot Netenforcer) eu >> questionei o t?cnico, pois ele colocou o Netenforcer entre minha rede local >> e meu firewall (vide imagem) e n?o entre meu roteador do link a ser >> monitorado e o firewall. >> >> Tendo em vista que eu possuo inclusive dois links com loadbalance feito pelo >> meu firewall (e queriamos identificar o fluxo de apenas 1), identifiquei que >> o teste foi ineficaz. >> >> Gostaria da opni?o dos amigos da lista e sugest?es, >> >> []'s >> >> Pedro A. Lemes >> >> >> >> -- >> gter list https://eng.registro.br/mailman/listinfo/gter >> >> > -- > gter list https://eng.registro.br/mailman/listinfo/gter > > From emiliano.martins at ik1.com.br Wed Aug 6 16:54:40 2008 From: emiliano.martins at ik1.com.br (Emiliano Martins) Date: Wed, 6 Aug 2008 16:54:40 -0300 Subject: [GTER] Netenforcer In-Reply-To: <31120fa90808060951j5cd9cbd8nd655bd2389e295a7@mail.gmail.com> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> <761ea0990808051527t272708efy282d43a4cd536029@mail.gmail.com> <4899AB0B.4080605@ispbrasil.com.br> <9c0c824e0808060802p3f7e266u2371402978fcf40f@mail.gmail.com> <4899C058.3060008@gmail.com> <31120fa90808060951j5cd9cbd8nd655bd2389e295a7@mail.gmail.com> Message-ID: <9c0c824e0808061254m60965bc5v1778489cb2e02bf5@mail.gmail.com> Acredito que o correto seria realizar os testes nas duas posi??es, entre o FW e a LAN e entre o FW e o Roteador. J? tive problemas com o meu link que quem estava engargalando o link era o pr?prio roteador do link que n?o estava entendendo as perdas de pacote geradas por um cabo defeituoso e por isso estava trabalhando dobrado e engargalando o link. 2008/8/6 Fernando Willemann > Boa tarde! > > Pedro, pelo que sei existem algumas quest?es relacionadas ao > posicionamento deste equipamento. O seu Firewall est? fazendo NAT? > Tens alguma DMZ nesse Firewall? O posicionamento do equipamento entre > o FW e a LAN, permite que vc consiga identificar o tr?fego da LAN mais > facilmente, ja se ele estiver entre o FW e o Router, e se seu firewall > estiver fazendo NAT, vc n?o conseguir? visualizar quais s?o os hosts > da sua LAN que est?o gerando muito tr?fego, por exemplo. Espero que > pude ajudar... > > Abra?os! > > Fernando. > > 2008/8/6 Pedro Lemes : > > Sauda??es ! > > > > Uma das empresas do grupo onde trabalho chamaram uma empresa para > monitorar > > o uso de nosso link de internet, pois estavamos tendo problemas com > > estrangulamento de banda. > > > > No ato da colocacao do equipamento de monitoramento (Allot Netenforcer) > eu > > questionei o t?cnico, pois ele colocou o Netenforcer entre minha rede > local > > e meu firewall (vide imagem) e n?o entre meu roteador do link a ser > > monitorado e o firewall. > > > > Tendo em vista que eu possuo inclusive dois links com loadbalance feito > pelo > > meu firewall (e queriamos identificar o fluxo de apenas 1), identifiquei > que > > o teste foi ineficaz. > > > > Gostaria da opni?o dos amigos da lista e sugest?es, > > > > []'s > > > > Pedro A. Lemes > > > > > > > > -- > > gter list https://eng.registro.br/mailman/listinfo/gter > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- Emiliano Martins iK1 Tecnologia Ltda From emiliano.martins at ik1.com.br Wed Aug 6 16:58:04 2008 From: emiliano.martins at ik1.com.br (Emiliano Martins) Date: Wed, 6 Aug 2008 16:58:04 -0300 Subject: [GTER] RES: [OFF] Skype In-Reply-To: <4899CC6D.5060601@ispbrasil.com.br> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> <761ea0990808051527t272708efy282d43a4cd536029@mail.gmail.com> <4899AB0B.4080605@ispbrasil.com.br> <9c0c824e0808060802p3f7e266u2371402978fcf40f@mail.gmail.com> <4899CC6D.5060601@ispbrasil.com.br> Message-ID: <9c0c824e0808061258g2dbb3e5awab004f089ea9804d@mail.gmail.com> Em alguns casos consigo fazer isso, em outros tenho que criar regras no firewall que ir?o bloquear muito mais que msn e Skype... mas vamos levando, afinal, o cliente tem sempre a raz?o... pelo menos enquanto estiver pagando... 2008/8/6 Itamar - IspBrasil > se vc tem um controlador de dominio windows na empresa, faca algumas > policies com o group police. > > Emiliano Martins wrote: > >> Boa Itamar, >> >> Infelizmente temos que trabalhar assim. Eu trabalho com appliances que >> "bloqueiam" o Skype com dois cliques, mas o problema ? que a cada >> atualiza??o do Skype (e MSN tamb?m) eles descobrem uma nova maneira de se >> manter conectados, o que gera um pedido de atualiza??o de firmware que >> pode >> demorar semanas para acontecer. >> >> Abs >> >> Emiliano >> >> 2008/8/6 Itamar - IspBrasil >> >> > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- Emiliano Martins iK1 Tecnologia Ltda From leolistas at solutti.com.br Wed Aug 6 17:04:35 2008 From: leolistas at solutti.com.br (=?ISO-8859-1?Q?Leonardo_Rodrigues_Magalh=E3es?=) Date: Wed, 06 Aug 2008 17:04:35 -0300 Subject: [GTER] RES: [OFF] Skype In-Reply-To: <4899F546.B75BCCCA@uol.com.br> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> <489843B5.9070503@solutti.com.br> <4899F546.B75BCCCA@uol.com.br> Message-ID: <489A03D3.2010308@solutti.com.br> Christian escreveu: > Perceba que webmails s?o conex?es httpS. > > https que utilizam hostnames, nunca IPs. o hotmail, por exemplo, realiza v?rios acessos por IP. Mas sempre em http convencional. Toda a parte de login, onde ? realmente utilizado https, vai toda por hostnames e nunca por IPs. continuo afirmando que acesso https por IP ? rar?ssimo e que o bloqueio sugerido gerar? nenhum ou praticamente nenhum falso positivo ..... -- Atenciosamente / Sincerily, Leonardo Rodrigues Solutti Tecnologia http://www.solutti.com.br Minha armadilha de SPAM, N?O mandem email gertrudes at solutti.com.br My SPAMTRAP, do not email it From diogo.montagner at gmail.com Wed Aug 6 19:03:45 2008 From: diogo.montagner at gmail.com (Diogo Montagner) Date: Wed, 6 Aug 2008 18:03:45 -0400 Subject: [GTER] Balanceamento com GLBP In-Reply-To: <7f771cf20808052029h37ca70cbi19419388133f3c63@mail.gmail.com> References: <7f771cf20808052029h37ca70cbi19419388133f3c63@mail.gmail.com> Message-ID: <84eb7a820808061503k1c5335f3yf493c7e7fe1d2799@mail.gmail.com> Newton, a sua descri??o est? um pouco confusa. Tu terias como disponibilizar um desenho da topologia da situa??o atual e do que mudaria com a entrada dos dois novos links ? N?o esque?a de colocar as informa??es referente ao HSRP utilizado. No t?tulo do seu e-mail tu fala em GLBP: tu tamb?m tem GLBP configurado al?m do HSRP ? []s ./diogo -montagner 2008/8/5 Newton M. Silva > Prezados Colegas, > > possuo o seguinte cen?rio: > > Hoje possuo 02 roteadores 3845 da cisco em 02 CPD's distintos e cada um > recebendo 6Mbps em interface serias ( os 02 totalizando 12Mbps) ele est?o > diretamente > conectados atrav?s de uma das interfaces LAN e configurado o HRSP para > fazer > o balanceamento dos 02 roteadores. > A 2 interface Lan de cada roteador est? conectada na LAN onde s tem um > firewal. > A operadora vai me entregar 02 links em FastEthernet de 10Mbps em cada CPD, > onde vou ter que utilizar as interfaces Lan que est?o conectados os 02 > roteadores > e configurado o HRSP. > Pe?o a ajudo de voc?s como posso continuar a fazer o balancemaneto de > trafego neste caso lembrando que possuo um Firewal na entrada da LAN? > > me ajudem muito obrigado > > -- > Eng?. Newton M. Silva > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From frederick at dahype.org Wed Aug 6 21:43:51 2008 From: frederick at dahype.org (Renato Frederick) Date: Wed, 6 Aug 2008 21:43:51 -0300 Subject: [GTER] RES: RES: [OFF] Skype In-Reply-To: <489A03D3.2010308@solutti.com.br> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> <489843B5.9070503@solutti.com.br> <4899F546.B75BCCCA@uol.com.br> <489A03D3.2010308@solutti.com.br> Message-ID: <000f01c8f826$aa7a5a10$ff6f0e30$@org> Leonardo, boa coloca??o. Fiz alguns filtros para um cliente e notei que havia milhares de conex?es HTTPS em IP's 90.x 64.x..., negadas. Pensei se tratar de bancos, mas notei que eram conex?es P2P variadas, desde skype, at? vers?es "turbinadas" de emule e edonkey. Observando os logs do SQUID(s? por l? o cliente faz conex?o HTTP e HTTPS), notei ao longo dos dias que conex?es leg?timas foram feitas por nomes, at? para n?o quebrar a verifica??o do certificado. > -----Mensagem original----- > De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] > Em nome de Leonardo Rodrigues Magalh?es > Enviada em: quarta-feira, 6 de agosto de 2008 17:05 > Para: Grupo de Trabalho de Engenharia e Operacao de Redes > Assunto: Re: [GTER] RES: [OFF] Skype > > > > Christian escreveu: > > Perceba que webmails s?o conex?es httpS. > > > > > > https que utilizam hostnames, nunca IPs. > > o hotmail, por exemplo, realiza v?rios acessos por IP. Mas sempre > em > http convencional. Toda a parte de login, onde ? realmente utilizado > https, vai toda por hostnames e nunca por IPs. > > continuo afirmando que acesso https por IP ? rar?ssimo e que o > bloqueio sugerido gerar? nenhum ou praticamente nenhum falso positivo > ..... > > -- > > > Atenciosamente / Sincerily, > Leonardo Rodrigues > Solutti Tecnologia > http://www.solutti.com.br > > Minha armadilha de SPAM, N?O mandem email > gertrudes at solutti.com.br > My SPAMTRAP, do not email it > > > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter From nandowill at gmail.com Wed Aug 6 17:38:41 2008 From: nandowill at gmail.com (Fernando Willemann) Date: Wed, 6 Aug 2008 17:38:41 -0300 Subject: [GTER] Netenforcer In-Reply-To: <9c0c824e0808061254m60965bc5v1778489cb2e02bf5@mail.gmail.com> References: <4896F39D.2000703@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> <761ea0990808051527t272708efy282d43a4cd536029@mail.gmail.com> <4899AB0B.4080605@ispbrasil.com.br> <9c0c824e0808060802p3f7e266u2371402978fcf40f@mail.gmail.com> <4899C058.3060008@gmail.com> <31120fa90808060951j5cd9cbd8nd655bd2389e295a7@mail.gmail.com> <9c0c824e0808061254m60965bc5v1778489cb2e02bf5@mail.gmail.com> Message-ID: <31120fa90808061338j62bfa202s61c3627b121a32e2@mail.gmail.com> Pedro, para ter a vis?o geral de comunica??o da sua rede, e verificar como est? o tr?fego at? o seu firewall, e depois dele at? o Router, seria interessante a sugest?o do Emiliano de efetuar testes nas duas posi??es e comparar posteriormente. Como vcs n?o tem DMZ, n?o haveria maiores problemas na identifica??o do tr?fego. Nesse caso, as restri??es s?o somente essas mesmo, se o equipamento estiver antes do FW, vc ter? uma boa visualiza??o do tr?fego dos hosts da LAN p/ a WAN, e ainda deixa o equipamento um pouco mais seguro em rela??o ? WAN. J? se ele estiver depois do FW, vc tambem ir? visualizar todo o tr?fego, por?m o NetEnforecer ir? identificar que a origem dele ser? o seu IP externo por causa do NAT. Espero ter sido claro....rsrsrs Abra?o! Fernando CCNA - CSCO11402380 nandowill at gmail.com 2008/8/6 Emiliano Martins : > Acredito que o correto seria realizar os testes nas duas posi??es, entre o > FW e a LAN e entre o FW e o Roteador. > > J? tive problemas com o meu link que quem estava engargalando o link era o > pr?prio roteador do link que n?o estava entendendo as perdas de pacote > geradas por um cabo defeituoso e por isso estava trabalhando dobrado e > engargalando o link. > > 2008/8/6 Fernando Willemann > >> Boa tarde! >> >> Pedro, pelo que sei existem algumas quest?es relacionadas ao >> posicionamento deste equipamento. O seu Firewall est? fazendo NAT? >> Tens alguma DMZ nesse Firewall? O posicionamento do equipamento entre >> o FW e a LAN, permite que vc consiga identificar o tr?fego da LAN mais >> facilmente, ja se ele estiver entre o FW e o Router, e se seu firewall >> estiver fazendo NAT, vc n?o conseguir? visualizar quais s?o os hosts >> da sua LAN que est?o gerando muito tr?fego, por exemplo. Espero que >> pude ajudar... >> >> Abra?os! >> >> Fernando. >> >> 2008/8/6 Pedro Lemes : >> > Sauda??es ! >> > >> > Uma das empresas do grupo onde trabalho chamaram uma empresa para >> monitorar >> > o uso de nosso link de internet, pois estavamos tendo problemas com >> > estrangulamento de banda. >> > >> > No ato da colocacao do equipamento de monitoramento (Allot Netenforcer) >> eu >> > questionei o t?cnico, pois ele colocou o Netenforcer entre minha rede >> local >> > e meu firewall (vide imagem) e n?o entre meu roteador do link a ser >> > monitorado e o firewall. >> > >> > Tendo em vista que eu possuo inclusive dois links com loadbalance feito >> pelo >> > meu firewall (e queriamos identificar o fluxo de apenas 1), identifiquei >> que >> > o teste foi ineficaz. >> > >> > Gostaria da opni?o dos amigos da lista e sugest?es, >> > >> > []'s >> > >> > Pedro A. Lemes >> > >> > >> > >> > -- >> > gter list https://eng.registro.br/mailman/listinfo/gter >> > >> -- >> gter list https://eng.registro.br/mailman/listinfo/gter >> > > > > -- > Emiliano Martins > iK1 Tecnologia Ltda > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From chcoutinho at uol.com.br Wed Aug 6 17:26:23 2008 From: chcoutinho at uol.com.br (Christian) Date: Wed, 06 Aug 2008 17:26:23 -0300 Subject: [GTER] RES: [OFF] Skype References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> <489843B5.9070503@solutti.com.br> <4899F546.B75BCCCA@uol.com.br> <489A03D3.2010308@solutti.com.br> Message-ID: <489A08EF.FBCA15D1@uol.com.br> Ok Leonardo, n?o vamos discutir isso, pois eu tive problema com o yahoo e hotmail, ambos fazendo httpS por ip. Se voc? n?o se deparou com esse problema, ok. N?o lembro-me agora de outros casos, pois n?o foram impactantes, mas desses dois foram recorrentes. Um abra?o, Christian Leonardo Rodrigues Magalh?es wrote: > Christian escreveu: > > Perceba que webmails s?o conex?es httpS. > > > > > > https que utilizam hostnames, nunca IPs. > > o hotmail, por exemplo, realiza v?rios acessos por IP. Mas sempre em > http convencional. Toda a parte de login, onde ? realmente utilizado > https, vai toda por hostnames e nunca por IPs. > > continuo afirmando que acesso https por IP ? rar?ssimo e que o > bloqueio sugerido gerar? nenhum ou praticamente nenhum falso positivo ..... > > -- > > Atenciosamente / Sincerily, > Leonardo Rodrigues > Solutti Tecnologia > http://www.solutti.com.br > > Minha armadilha de SPAM, N?O mandem email > gertrudes at solutti.com.br > My SPAMTRAP, do not email it > > -- > gter list https://eng.registro.br/mailman/listinfo/gter From nomeiodabalada at yahoo.com.br Thu Aug 7 11:11:22 2008 From: nomeiodabalada at yahoo.com.br (Leonardo Souza) Date: Thu, 7 Aug 2008 07:11:22 -0700 (PDT) Subject: [GTER] Enc: Re: Roteamento pelo origem no JUNOS Message-ID: <415332.95097.qm@web63115.mail.re1.yahoo.com> Bom dia... ? Ao se utilizar o FBF, algu?m sabe o impacto na capacidade de tratamento dos pacotes na SSB/et?al?para um tr?fego superior a 1Gbps? Grato. --- Em seg, 4/8/08, Rochele Moreira escreveu: De: Rochele Moreira Assunto: Re: [GTER] Roteamento pelo origem no JUNOS Para: "Grupo de Trabalho de Engenharia e Operacao de Redes" Data: Segunda-feira, 4 de Agosto de 2008, 9:02 Pessoa! Obrigada a todos! Funcionou show de bola! J? uso o recurso em IOS, mas nao conseguia traduzir para JUNOS a contento. A descri??o sobre cada parte da solu??o feita pelo Ricardo Tavares tamb?m me permitiu conhecer a l?gica e servir? para outras implementa??es pendentes. Abra?os a todos, On Fri, Aug 1, 2008 at 7:10 PM, Rochele Moreira wrote: > > Ol? pessoal, > > preciso de ajuda para configurar roteamento pela origem no JUNOS. > > Algu?m, por favor, teria uma receita de bolo gen?rica para mim? > > Grata, Rochele > Rochele A. S. Moreira UNISINOS - GSI/Infra-estrutura www.unisinos.br - 51 3590-8386 inoc 19611*100 - ramal int. 1886 Antes de imprimir, pense em sua responsabilidade com o MEIO AMBIENTE. -- Esta mensagem foi verificada pelo sistema de antiv?rus e acredita-se estar livre de perigo. -- gter list https://eng.registro.br/mailman/listinfo/gter Novos endere?os, o Yahoo! que voc? conhece. Crie um email novo com a sua cara @ymail.com ou @rocketmail.com. http://br.new.mail.yahoo.com/addresses From chcoutinho at uol.com.br Thu Aug 7 10:09:54 2008 From: chcoutinho at uol.com.br (Christian) Date: Thu, 07 Aug 2008 10:09:54 -0300 Subject: [GTER] Netenforcer References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> <761ea0990808051527t272708efy282d43a4cd536029@mail.gmail.com> <4899AB0B.4080605@ispbrasil.com.br> <9c0c824e0808060802p3f7e266u2371402978fcf40f@mail.gmail.com> <4899C058.3060008@gmail.com> <31120fa90808060951j5cd9cbd8nd655bd2389e295a7@mail.gmail.com> <489A0127.8000605@gmail.com> Message-ID: <489AF422.9420B4EF@uol.com.br> Porque voc? n?o utiliza um software para essa finalidade ? N?o ? poss?vel configurar snmp neste dispositivo (Router de borda) ? Voc? poderia utilizar o PRTG para monitorar o link e descobrir se h? estrangulamento.....at? 3 sensores ? free...... Aqui temos o Allot e n?o vejo utilidade para checar estrangulamento, mas para caracterizar e limitar o tr?fego por aplica??o ? excelente.......(a NET que o diga.....) [ ]`s Christian Pedro Lemes wrote: > Oi, Fernando. > > Obrigado por responder. > > Ent?o, na verdade essa empresa foi chamada pra monitorar o uso do link > de internet pelos servi?os/protocolos (smtp, pop, http, ica). Num > segundo momento poderiamos at? querer saber qual o host que esta > consumindo muito, mas a principio era saber se nosso link esta ou n?o > sofrendo estrangulamento de banda. > > Pra esse tipo de informa??o o melhor seria colocar o appliance entre o > FW e o Router, certo ? > > Obs.: N?s trabalhamos com firewall fazendo NAT e n?o possuimos DMZ. > > Abra?o. > > Pedro A. Lemes > > Fernando Willemann escreveu: > > Boa tarde! > > > > Pedro, pelo que sei existem algumas quest?es relacionadas ao > > posicionamento deste equipamento. O seu Firewall est? fazendo NAT? > > Tens alguma DMZ nesse Firewall? O posicionamento do equipamento entre > > o FW e a LAN, permite que vc consiga identificar o tr?fego da LAN mais > > facilmente, ja se ele estiver entre o FW e o Router, e se seu firewall > > estiver fazendo NAT, vc n?o conseguir? visualizar quais s?o os hosts > > da sua LAN que est?o gerando muito tr?fego, por exemplo. Espero que > > pude ajudar... > > > > Abra?os! > > > > Fernando. > > > > 2008/8/6 Pedro Lemes : > > > >> Sauda??es ! > >> > >> Uma das empresas do grupo onde trabalho chamaram uma empresa para monitorar > >> o uso de nosso link de internet, pois estavamos tendo problemas com > >> estrangulamento de banda. > >> > >> No ato da colocacao do equipamento de monitoramento (Allot Netenforcer) eu > >> questionei o t?cnico, pois ele colocou o Netenforcer entre minha rede local > >> e meu firewall (vide imagem) e n?o entre meu roteador do link a ser > >> monitorado e o firewall. > >> > >> Tendo em vista que eu possuo inclusive dois links com loadbalance feito pelo > >> meu firewall (e queriamos identificar o fluxo de apenas 1), identifiquei que > >> o teste foi ineficaz. > >> > >> Gostaria da opni?o dos amigos da lista e sugest?es, > >> > >> []'s > >> > >> Pedro A. Lemes > >> > >> > >> > >> -- > >> gter list https://eng.registro.br/mailman/listinfo/gter > >> > >> > > -- > > gter list https://eng.registro.br/mailman/listinfo/gter > > > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter From curupas at gmail.com Thu Aug 7 12:15:45 2008 From: curupas at gmail.com (Ricardo Tavares) Date: Thu, 7 Aug 2008 12:15:45 -0300 Subject: [GTER] Enc: Re: Roteamento pelo origem no JUNOS In-Reply-To: <415332.95097.qm@web63115.mail.re1.yahoo.com> References: <415332.95097.qm@web63115.mail.re1.yahoo.com> Message-ID: <670333fe0808070815o2cc11c8fg35b5301bc8393198@mail.gmail.com> Penso que o impacto eh o mesmo de um roteamento convencional, observe que no caso do JunOS a diferenca no FBF eh uma tabela diferente, de resto a comutacao acontece de modo similar ao que ocorreria se estivesse sendo utilizada a inet.0 Eh uma pergunta academica ou voce implementou FBF e esta observando perda de desempenho? Quais sao as condicoes/cenario dos testes? Abra?os, Ricardo Tavares 2008/8/7 Leonardo Souza > Bom dia... > > Ao se utilizar o FBF, algu?m sabe o impacto na capacidade de tratamento dos > pacotes na SSB/et al para um tr?fego superior a 1Gbps? > > Grato. > > --- Em seg, 4/8/08, Rochele Moreira escreveu: > > De: Rochele Moreira > Assunto: Re: [GTER] Roteamento pelo origem no JUNOS > Para: "Grupo de Trabalho de Engenharia e Operacao de Redes" < > gter at eng.registro.br> > Data: Segunda-feira, 4 de Agosto de 2008, 9:02 > > > Pessoa! Obrigada a todos! Funcionou show de bola! > > J? uso o recurso em IOS, mas nao conseguia traduzir para JUNOS a contento. > A > descri??o sobre cada parte da solu??o feita pelo Ricardo Tavares tamb?m me > permitiu conhecer a l?gica e servir? para outras implementa??es pendentes. > > Abra?os a todos, > > > > > On Fri, Aug 1, 2008 at 7:10 PM, Rochele Moreira > wrote: > > > > > Ol? pessoal, > > > > preciso de ajuda para configurar roteamento pela origem no JUNOS. > > > > Algu?m, por favor, teria uma receita de bolo gen?rica para mim? > > > > Grata, Rochele > > > > > Rochele A. S. Moreira > UNISINOS - GSI/Infra-estrutura > www.unisinos.br - 51 3590-8386 > inoc 19611*100 - ramal int. 1886 > > Antes de imprimir, pense em sua responsabilidade com o MEIO AMBIENTE. > > > > -- > Esta mensagem foi verificada pelo sistema de antiv?rus e > acredita-se estar livre de perigo. > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > > > > Novos endere?os, o Yahoo! que voc? conhece. Crie um email novo com a > sua cara @ymail.com ou @rocketmail.com. > http://br.new.mail.yahoo.com/addresses > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- __________________________________________ Vai Encarar? http://www.vaiencarar.com.br From nomeiodabalada at yahoo.com.br Thu Aug 7 15:43:53 2008 From: nomeiodabalada at yahoo.com.br (Leonardo Souza) Date: Thu, 7 Aug 2008 11:43:53 -0700 (PDT) Subject: [GTER] Enc: Re: Roteamento pelo origem no JUNOS In-Reply-To: <670333fe0808070815o2cc11c8fg35b5301bc8393198@mail.gmail.com> Message-ID: <119637.27552.qm@web63110.mail.re1.yahoo.com> Legal. ? Na verdade eu estou me precavendo para uma poss?vel implementa??o. O cen?rio ? a utiliza??o do FBF?em diversas interfaces e com alto tr?fego. Obrigado! --- Em qui, 7/8/08, Ricardo Tavares escreveu: De: Ricardo Tavares Assunto: Re: [GTER] Enc: Re: Roteamento pelo origem no JUNOS Para: nomeiodabalada at yahoo.com.br, "Grupo de Trabalho de Engenharia e Operacao de Redes" Data: Quinta-feira, 7 de Agosto de 2008, 12:15 Penso que o impacto eh o mesmo de um roteamento convencional, observe que no caso do JunOS a diferenca no FBF eh uma tabela diferente, de resto a comutacao acontece de modo similar ao que ocorreria se estivesse sendo utilizada a inet.0 Eh uma pergunta academica ou voce implementou FBF e esta observando perda de desempenho? Quais sao as condicoes/cenario dos testes? Abra?os, Ricardo Tavares 2008/8/7 Leonardo Souza Bom dia... ? Ao se utilizar o FBF, algu?m sabe o impacto na capacidade de tratamento dos pacotes na SSB/et?al?para um tr?fego superior a 1Gbps? Grato. --- Em seg, 4/8/08, Rochele Moreira escreveu: De: Rochele Moreira Assunto: Re: [GTER] Roteamento pelo origem no JUNOS Para: "Grupo de Trabalho de Engenharia e Operacao de Redes" Data: Segunda-feira, 4 de Agosto de 2008, 9:02 Pessoa! Obrigada a todos! Funcionou show de bola! J? uso o recurso em IOS, mas nao conseguia traduzir para JUNOS a contento. A descri??o sobre cada parte da solu??o feita pelo Ricardo Tavares tamb?m me permitiu conhecer a l?gica e servir? para outras implementa??es pendentes. Abra?os a todos, On Fri, Aug 1, 2008 at 7:10 PM, Rochele Moreira wrote: > > Ol? pessoal, > > preciso de ajuda para configurar roteamento pela origem no JUNOS. > > Algu?m, por favor, teria uma receita de bolo gen?rica para mim? > > Grata, Rochele > Rochele ?A. ?S. ?Moreira UNISINOS - GSI/Infra-estrutura www.unisinos.br - ?51 3590-8386 inoc 19611*100 ?- ramal int. 1886 Antes de imprimir, pense em sua responsabilidade com o MEIO AMBIENTE. -- Esta mensagem foi verificada pelo sistema de antiv?rus e ?acredita-se estar livre de perigo. -- gter list ? ?https://eng.registro.br/mailman/listinfo/gter ? ? ?Novos endere?os, o Yahoo! que voc? conhece. Crie um email novo com a sua cara @ymail.com ou @rocketmail.com. http://br.new.mail.yahoo.com/addresses -- gter list ? ?https://eng.registro.br/mailman/listinfo/gter -- __________________________________________ Vai Encarar? http://www.vaiencarar.com.br Novos endere?os, o Yahoo! que voc? conhece. Crie um email novo com a sua cara @ymail.com ou @rocketmail.com. http://br.new.mail.yahoo.com/addresses From jarruda-gter at jarruda.com Thu Aug 7 16:23:38 2008 From: jarruda-gter at jarruda.com (Julio Arruda) Date: Thu, 07 Aug 2008 15:23:38 -0400 Subject: [GTER] Netenforcer In-Reply-To: <489AF422.9420B4EF@uol.com.br> References: <4896F39D.2000703@auroraalimentos.com.br> <4897333A.40303@auroraalimentos.com.br> <220CAFD00976BD45BA31609CB04BE26D283195@mdssbs01.mdsystems.local> <4897575A.8080302@auroraalimentos.com.br> <48983C2C.842C480@uol.com.br> <761ea0990808051527t272708efy282d43a4cd536029@mail.gmail.com> <4899AB0B.4080605@ispbrasil.com.br> <9c0c824e0808060802p3f7e266u2371402978fcf40f@mail.gmail.com> <4899C058.3060008@gmail.com> <31120fa90808060951j5cd9cbd8nd655bd2389e295a7@mail.gmail.com> <489A0127.8000605@gmail.com> <489AF422.9420B4EF@uol.com.br> Message-ID: <489B4BBA.4010309@jarruda.com> Christian wrote: > Porque voc? n?o utiliza um software para essa finalidade ? N?o ? poss?vel > configurar snmp neste dispositivo (Router de borda) ? Voc? poderia utilizar o PRTG > para monitorar o link e descobrir se h? estrangulamento.....at? 3 sensores ? > free...... > o SNMP nao daria informacoes de protocolo, para isto um NTOP ou Netflow poderiam dar a informacao. > Aqui temos o Allot e n?o vejo utilidade para checar estrangulamento, mas para > caracterizar e limitar o tr?fego por aplica??o ? excelente.......(a NET que o > diga.....) > > [ ]`s > > Christian > > Pedro Lemes wrote: > >> Oi, Fernando. >> >> Obrigado por responder. >> >> Ent?o, na verdade essa empresa foi chamada pra monitorar o uso do link >> de internet pelos servi?os/protocolos (smtp, pop, http, ica). Num >> segundo momento poderiamos at? querer saber qual o host que esta >> consumindo muito, mas a principio era saber se nosso link esta ou n?o >> sofrendo estrangulamento de banda. >> >> Pra esse tipo de informa??o o melhor seria colocar o appliance entre o >> FW e o Router, certo ? >> >> Obs.: N?s trabalhamos com firewall fazendo NAT e n?o possuimos DMZ. >> >> Abra?o. >> >> Pedro A. Lemes >> >> Fernando Willemann escreveu: >>> Boa tarde! >>> >>> Pedro, pelo que sei existem algumas quest?es relacionadas ao >>> posicionamento deste equipamento. O seu Firewall est? fazendo NAT? >>> Tens alguma DMZ nesse Firewall? O posicionamento do equipamento entre >>> o FW e a LAN, permite que vc consiga identificar o tr?fego da LAN mais >>> facilmente, ja se ele estiver entre o FW e o Router, e se seu firewall >>> estiver fazendo NAT, vc n?o conseguir? visualizar quais s?o os hosts >>> da sua LAN que est?o gerando muito tr?fego, por exemplo. Espero que >>> pude ajudar... >>> >>> Abra?os! >>> >>> Fernando. >>> >>> 2008/8/6 Pedro Lemes : >>> >>>> Sauda??es ! >>>> >>>> Uma das empresas do grupo onde trabalho chamaram uma empresa para monitorar >>>> o uso de nosso link de internet, pois estavamos tendo problemas com >>>> estrangulamento de banda. >>>> >>>> No ato da colocacao do equipamento de monitoramento (Allot Netenforcer) eu >>>> questionei o t?cnico, pois ele colocou o Netenforcer entre minha rede local >>>> e meu firewall (vide imagem) e n?o entre meu roteador do link a ser >>>> monitorado e o firewall. >>>> >>>> Tendo em vista que eu possuo inclusive dois links com loadbalance feito pelo >>>> meu firewall (e queriamos identificar o fluxo de apenas 1), identifiquei que >>>> o teste foi ineficaz. >>>> >>>> Gostaria da opni?o dos amigos da lista e sugest?es, >>>> >>>> []'s From newton.medeiros at gmail.com Thu Aug 7 18:45:25 2008 From: newton.medeiros at gmail.com (Newton M. Silva) Date: Thu, 7 Aug 2008 18:45:25 -0300 Subject: [GTER] Balanceamento com GLBP In-Reply-To: <84eb7a820808061503k1c5335f3yf493c7e7fe1d2799@mail.gmail.com> References: <7f771cf20808052029h37ca70cbi19419388133f3c63@mail.gmail.com> <84eb7a820808061503k1c5335f3yf493c7e7fe1d2799@mail.gmail.com> Message-ID: <7f771cf20808071445p71b70dc2rbf1fc80886832280@mail.gmail.com> Diogo, Vou providenciar a topologia e te passo. Mas estou com duvidas de conceito sobre a forma de balancemanto utilizando o BGP cruzado, alguem poderia me passar como projeto e como funciona? abra?os 2008/8/6 Diogo Montagner > Newton, > > a sua descri??o est? um pouco confusa. Tu terias como disponibilizar um > desenho da topologia da situa??o atual e do que mudaria com a entrada dos > dois novos links ? N?o esque?a de colocar as informa??es referente ao HSRP > utilizado. > > No t?tulo do seu e-mail tu fala em GLBP: tu tamb?m tem GLBP configurado > al?m > do HSRP ? > > []s > ./diogo -montagner > > > 2008/8/5 Newton M. Silva > > > Prezados Colegas, > > > > possuo o seguinte cen?rio: > > > > Hoje possuo 02 roteadores 3845 da cisco em 02 CPD's distintos e cada um > > recebendo 6Mbps em interface serias ( os 02 totalizando 12Mbps) ele est?o > > diretamente > > conectados atrav?s de uma das interfaces LAN e configurado o HRSP para > > fazer > > o balanceamento dos 02 roteadores. > > A 2 interface Lan de cada roteador est? conectada na LAN onde s tem um > > firewal. > > A operadora vai me entregar 02 links em FastEthernet de 10Mbps em cada > CPD, > > onde vou ter que utilizar as interfaces Lan que est?o conectados os 02 > > roteadores > > e configurado o HRSP. > > Pe?o a ajudo de voc?s como posso continuar a fazer o balancemaneto de > > trafego neste caso lembrando que possuo um Firewal na entrada da LAN? > > > > me ajudem muito obrigado > > > > -- > > Eng?. Newton M. Silva > > -- > > gter list https://eng.registro.br/mailman/listinfo/gter > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- Eng?. Newton M. Silva From gustavo.albuquerque at gmail.com Thu Aug 7 20:33:52 2008 From: gustavo.albuquerque at gmail.com (Andre Gustavo de Carvalho Albuquerque) Date: Thu, 7 Aug 2008 20:33:52 -0300 Subject: [GTER] Balanceamento com GLBP In-Reply-To: <7f771cf20808071445p71b70dc2rbf1fc80886832280@mail.gmail.com> References: <7f771cf20808052029h37ca70cbi19419388133f3c63@mail.gmail.com> <84eb7a820808061503k1c5335f3yf493c7e7fe1d2799@mail.gmail.com> <7f771cf20808071445p71b70dc2rbf1fc80886832280@mail.gmail.com> Message-ID: Como n?o ficou claro o seu objetivo, um bom ponto de partida ? a leitura dos Solution Reference Network Design em www.cisco.com/go/srnd Artigo sobre balanceamento de BGP, considerando diferentes cen?rios, pode ser encontrado em http://www.nil.si/ipcorner/LoadBalancingBGP/ []s, Gustavo On 8/7/08, Newton M. Silva wrote: > > Diogo, > > Vou providenciar a topologia e te passo. > Mas estou com duvidas de conceito sobre a forma de balancemanto utilizando > o > BGP cruzado, > alguem poderia me passar como projeto e como funciona? > > abra?os > > 2008/8/6 Diogo Montagner > > > Newton, > > > > a sua descri??o est? um pouco confusa. Tu terias como disponibilizar um > > desenho da topologia da situa??o atual e do que mudaria com a entrada dos > > dois novos links ? N?o esque?a de colocar as informa??es referente ao > HSRP > > utilizado. > > > > No t?tulo do seu e-mail tu fala em GLBP: tu tamb?m tem GLBP configurado > > al?m > > do HSRP ? > > > > []s > > ./diogo -montagner > > > > > > 2008/8/5 Newton M. Silva > > > > > Prezados Colegas, > > > > > > possuo o seguinte cen?rio: > > > > > > Hoje possuo 02 roteadores 3845 da cisco em 02 CPD's distintos e cada um > > > recebendo 6Mbps em interface serias ( os 02 totalizando 12Mbps) ele > est?o > > > diretamente > > > conectados atrav?s de uma das interfaces LAN e configurado o HRSP para > > > fazer > > > o balanceamento dos 02 roteadores. > > > A 2 interface Lan de cada roteador est? conectada na LAN onde s tem um > > > firewal. > > > A operadora vai me entregar 02 links em FastEthernet de 10Mbps em cada > > CPD, > > > onde vou ter que utilizar as interfaces Lan que est?o conectados os 02 > > > roteadores > > > e configurado o HRSP. > > > Pe?o a ajudo de voc?s como posso continuar a fazer o balancemaneto de > > > trafego neste caso lembrando que possuo um Firewal na entrada da LAN? > > > > > > me ajudem muito obrigado > > > > > > -- > > > Eng?. Newton M. Silva > > > -- > > > gter list https://eng.registro.br/mailman/listinfo/gter > > > > > -- > > gter list https://eng.registro.br/mailman/listinfo/gter > > > > > > -- > Eng?. Newton M. Silva > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From newton.medeiros at gmail.com Thu Aug 7 22:20:01 2008 From: newton.medeiros at gmail.com (Newton M. Silva) Date: Thu, 7 Aug 2008 22:20:01 -0300 Subject: [GTER] Balanceamento com GLBP In-Reply-To: References: <7f771cf20808052029h37ca70cbi19419388133f3c63@mail.gmail.com> <84eb7a820808061503k1c5335f3yf493c7e7fe1d2799@mail.gmail.com> <7f771cf20808071445p71b70dc2rbf1fc80886832280@mail.gmail.com> Message-ID: <7f771cf20808071820n4ed69c91pa460449669060b7a@mail.gmail.com> Andr?, Muito obrigado pelo artigo!!!! de muita valia!!!! From alexandre at onda.psi.br Fri Aug 8 00:07:28 2008 From: alexandre at onda.psi.br (Alexandre J. Correa - Onda Internet) Date: Fri, 08 Aug 2008 00:07:28 -0300 Subject: [GTER] header datacom dm16e1 Message-ID: <489BB870.4090102@onda.psi.br> Caros, alguem sabe me falar se utilizando 1 datacom dm16e1 .. vou ter alguma perda por ocupa??o de cabe?alho ? por exemplo.. em 12mbit de link, conseguindo apenas 11.5.. 11.4mbit .. ? isso mesmo ? ou ha algo errado no DM ? Sds. AlexandrE From rubensk at gmail.com Fri Aug 8 00:42:28 2008 From: rubensk at gmail.com (Rubens Kuhl Jr.) Date: Fri, 8 Aug 2008 00:42:28 -0300 Subject: [GTER] header datacom dm16e1 In-Reply-To: <489BB870.4090102@onda.psi.br> References: <489BB870.4090102@onda.psi.br> Message-ID: <6bb5f5b10808072042p6dc067b9u44003ebf32fbd36c@mail.gmail.com> > alguem sabe me falar se utilizando 1 datacom dm16e1 .. vou ter alguma perda > por ocupa??o de cabe?alho ? por exemplo.. em 12mbit de link, conseguindo > apenas 11.5.. 11.4mbit .. > > ? isso mesmo ? ou ha algo errado no DM ? At? 5% ? uma perda usual em encapsulamento serial, e est? dentro desse par?metro. Seria interessante calcular os dois overheads esperados de um mux, que s?o o do HDLC e a da multiplexa??o para ver quanto deveria ser, mas em ordem de grandeza parece correto. Rubens From mcosta at mcosta.eng.br Fri Aug 8 07:10:25 2008 From: mcosta at mcosta.eng.br (Marcelo Costa) Date: Fri, 08 Aug 2008 07:10:25 -0300 Subject: [GTER] header datacom dm16e1 In-Reply-To: <489BB870.4090102@onda.psi.br> Message-ID: Alexandre, Existe sim uma perda por overhead de controle no datacom 16 E1. essa perda nao ? muito pequena. Eu nao lembro mais a porcentagem, mas quanto mais E1s conectadas ? ele, maior a perda. Att, Eng. Marcelo Costa Em 8/8/2008, "Alexandre J. Correa - Onda Internet" escreveu: >Caros, > >alguem sabe me falar se utilizando 1 datacom dm16e1 .. vou ter alguma >perda por ocupa??o de cabe?alho ? por exemplo.. em 12mbit de link, >conseguindo apenas 11.5.. 11.4mbit .. > >? isso mesmo ? ou ha algo errado no DM ? > >Sds. > >AlexandrE >-- >gter list https://eng.registro.br/mailman/listinfo/gter > >-- >Esta mensagem foi verificada pelo sistema de antiv?rus e > acredita-se estar livre de perigo. > From pimenta at telbrax.com.br Fri Aug 8 08:37:14 2008 From: pimenta at telbrax.com.br (Luciano Pimenta) Date: Fri, 8 Aug 2008 08:37:14 -0300 Subject: [GTER] RES: header datacom dm16e1 In-Reply-To: References: <489BB870.4090102@onda.psi.br> Message-ID: Alexandre, O E1 tem a taxa de 2048Kbps. O quadro E1 ? definido pelo ITU-T na recomenda??o G-704, como 32 canais de 64Kbps cada um, sendo que dois destes canais s?o reservados para: Um canal ? para sincronismo e transporte de bits de manuten??o, inclusive informa??o de taxa de erro, no caso mais comum o polin?mio definido como CRC-4. Outro canal ? utilizado para o transporte de sinaliza??o telef?nica, isto ?, quando voc? faz uma discagem, os n?meros de destino e outras informa??es passam por este canal, que ? o time slot 16. Desta forma, quando vamos usar este mesmo quadro para o transporte de dados nos sobra 30 canais de 64Kbps cada um, que d? um agregado de 1920Kbps (30x64). Assim 2Mbps entregues em interface G-703 / G-704, na verdade tem uma taxa de 1920Kbps. Isto ? o padr?o ITU-T, independe do fornecedor do equipamento. Quando voc? recebe, como no caso, 6 canais E1 para formar um agregado de 12Mbps a primeira conta seria 6x1920Kbps de vaz?o m?xima. Ap?s esta conta vem uma outra perda que ? o overhead do link aggregation. S?o informa??es adicionais colocadas nos links E1 para sincronizar os pacotes enviados atrav?s do link l?gico de 12Mbps. N?o sei quanto ? esta perda neste ?ltimo caso. Espero ter ajudado. Luciano. -----Mensagem original----- De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Marcelo Costa Enviada em: sexta-feira, 8 de agosto de 2008 07:10 Para: Grupo de Trabalho de Engenharia e Operacao de Redes Assunto: Re: [GTER] header datacom dm16e1 Alexandre, Existe sim uma perda por overhead de controle no datacom 16 E1. essa perda nao ? muito pequena. Eu nao lembro mais a porcentagem, mas quanto mais E1s conectadas ? ele, maior a perda. Att, Eng. Marcelo Costa Em 8/8/2008, "Alexandre J. Correa - Onda Internet" escreveu: >Caros, > >alguem sabe me falar se utilizando 1 datacom dm16e1 .. vou ter alguma >perda por ocupa??o de cabe?alho ? por exemplo.. em 12mbit de link, >conseguindo apenas 11.5.. 11.4mbit .. > >? isso mesmo ? ou ha algo errado no DM ? > >Sds. > >AlexandrE >-- >gter list https://eng.registro.br/mailman/listinfo/gter > >-- >Esta mensagem foi verificada pelo sistema de antiv?rus e > acredita-se estar livre de perigo. > -- gter list https://eng.registro.br/mailman/listinfo/gter From fabiosk at gmail.com Fri Aug 8 08:51:19 2008 From: fabiosk at gmail.com (=?WINDOWS-1252?Q?=DF10f@_=86=86K?=) Date: Fri, 8 Aug 2008 08:51:19 -0300 Subject: [GTER] redundancia ADSL In-Reply-To: <1324e07e0808031457j23bdd36cj1ed5bd2b86e7c6f4@mail.gmail.com> References: <4886478C.1050101@ispbrasil.com.br> <200807241000.20108.andre.ramoni@gmail.com> <1324e07e0807251204r358d00ffqda51e65a06b1cffd@mail.gmail.com> <7a5465360807310529r3703c61bw19787b6d17694a13@mail.gmail.com> <1324e07e0807311721t7e191727jfd9f4dc38c299524@mail.gmail.com> <7a5465360808011024x66ab1c8agfc88fa693348ed26@mail.gmail.com> <1324e07e0808031457j23bdd36cj1ed5bd2b86e7c6f4@mail.gmail.com> Message-ID: <7a5465360808080451n2a77f0a0i529e78134bf3ceb7@mail.gmail.com> Paulo usa o yousendit ou rapidshare e posta o link do script pra gente dar uma olhada. Vlw 2008/8/3 Felipe Munhoz > Ol? Paulo, parece que o anexo n?o veio, se puder reenviar ou disponibilizar > por outro meio seria de grande utilidade para o meu entendimento. > > 2008/8/3 Paulo Estrela > > > A um tempo atr?s fiz um script para automatizar isso. Segue em anexo. > > Mas tudo que o Andre Ramoni falou vale. O que pode ser feito no script > > pra resolver problemas de protocolos que n?o funcionam direito com > > essa solu??o ? eleger um link pra tratar esse protocolos. Quando este > > link cair, muda pro outro. Esse script n?o faz isso, ele faz o > > failover belezinha e loga no syslog. > > > > para usar, edita o ilb para suas necessidades (? bem f?cil de > > entender) e coloca ele em /usr/sbin/. Depois bota o loadbalancing em > > /etc/init.d/ e cria o links pros rc.d para iniciar junto com a > > m?quina. Esse loadbalancing foi feito pra ubuntu server/debian, mas ? > > mole de adaptar pra outras distros. > > > > At? mais, > > > > Paulo Estrela > > > > 2008/8/1 ?10f@ ??K : > > > Felipe obrigado pela documenta??o vai ser de grande utilidade. > > > > > > E boa sorte na implementa??o. > > > > > > Att. > > > > > > Fabio Luiz > > > Analista de Suporte Linux > > > Nova Prestech.net(www.prestech.net) > > > > > > 2008/7/31 Felipe Munhoz > > > > > >> Ol? agrade?o a todos pelas contribui??es enviadas, infelizmente tive > um > > >> contratempo em um dos links da empresa e n?o estou podendo realizar os > > >> testes. > > >> > > >> Assim que possivel vou testar as sugest?es dadas. > > >> > > >> > > >> 2008/7/31 ?10f@ ??K > > >> > > >> > Boa Tarde a Todos, > > >> > > > >> > Venho j? a um tempo lendo est? discuss?o e feito muito interessado > > nesse > > >> > comentario que foi feito por voc? Felipe e estou com uma demanda de > > fazer > > >> > um > > >> > script para excerce exatamente essa fun??o de redundancia e vi que o > > seu > > >> > script pode ser bastante util. Estou ate criando um similar e > desculpa > > >> at? > > >> > a > > >> > minha ignorancia eu gostaria de saber qual ? exatamente o > significado > > das > > >> > vareaveis abaixo > > >> > > > >> > 2008/7/25 Felipe Munhoz > > >> > > > >> > > # ip route replace default scope global via $GW2 dev $EXTIF2 > > >> > > > > >> > > ou > > >> > > > > >> > > # ip route replace default scope global via $GW1 dev $EXTIF1 > > >> > > > > >> > > > >> > > > >> > > > >> > > > >> > > > >> > > >> > onde voc? coloco $GW? ? o ip do Gateway pois reparei que voc? > designa > > a > > >> > interface qual ?, e normalmente voc? designa ou a interface ou o ip > do > > >> > Gateway Gostaria muito de tirar essa duvida sera de grande > utilidade. > > >> > > > >> > > >> > > >> coloquei em um script bash mais ou menos assim: > > >> > > >> > > >> #!/bin/bash > > >> > > >> . /etc/net-confs > > >> > > >> ip route replace default scope global via $GW2 dev $EXTIF2 > > >> > > >> ... > > >> ... > > >> > > >> e nesse arquivo /etc/net-confs > > >> > > >> #!/bin/bash > > >> > > >> GW2=192.168.1.1 # gateway > > >> EXTIF2=eth1 > > >> > > >> > > >> > > >> d? uma olhada nessa pagina de documenta??o: > > >> > > >> > > >> > > > http://www.linux.org/docs/ldp/howto/Adv-Routing-HOWTO/lartc.rpdb.multiple-links.html > > >> > > >> foi dela que tirei! > > >> > > >> > > >> > > >> > > >> > > > >> > E outra seria perguntar se no seu script na hora q vc mando o > comando: > > >> > # ip route add default scope global nexthop via $GW1 dev $EXTIF1 > > weight > > >> $W1 > > >> > nexthop via $GW2 dev $EXTIF2 weight $W2 > > >> > > > >> > o peso para cada rota foi o mesmo? ou n?o > > >> > > > >> > > >> sim foi sempre o mesmo, j? que n?o mudou a capacidade dos links > > >> > > >> assim que conseguir implementar (se conseguir!) eu explico melhor. > > >> > > >> > > >> > > >> > > > >> > Obrigado > > >> > > >> > > >> > Att. > > >> > > > >> > Fabio Luiz > > >> > Analista de Suporte Linux > > >> > Nova Prestech.net(www.prestech.net) > > >> > -- > > >> > gter list https://eng.registro.br/mailman/listinfo/gter > > >> > > > >> > > >> > > >> > > >> -- > > >> Felipe Natale Munhoz > > >> Ci?ncia da Computa??o > > >> N?cleo de Apoio a Projetos de Inform?tica > > >> Centro Polit?cnico > > >> Universidade Cat?lica de Pelotas > > >> -- > > >> gter list https://eng.registro.br/mailman/listinfo/gter > > >> > > > -- > > > gter list https://eng.registro.br/mailman/listinfo/gter > > > > > > > > > > > -- > > At? mais, > > > > Paulo Estrela > > > > -- > > gter list https://eng.registro.br/mailman/listinfo/gter > > > > > > -- > Felipe Natale Munhoz > Ci?ncia da Computa??o > N?cleo de Apoio a Projetos de Inform?tica > Centro Polit?cnico > Universidade Cat?lica de Pelotas > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From giulianocm at uol.com.br Fri Aug 8 17:21:59 2008 From: giulianocm at uol.com.br (GIULIANO (UOL)) Date: Fri, 08 Aug 2008 17:21:59 -0300 Subject: [GTER] Fibra Optica para 10 GIGA Message-ID: <489CAAE7.60508@uol.com.br> Pessoal, Boa tarde, Estamos com um projeto de interligacao de 2 unidades de uma empresa, utilizando fibra MM de 50um e 850nm (max. 100m) Estamos orcando adaptadores XFP para os equipamentos. A minha duvida com relacao aos adaptadores XFP (SR) e: - Qual o tipo de PATCH CORD optico que esse adaptador utiliza ? - E SC ? ou LC ? - Essa fibra suportara o sinal desse transceiver ? Alguem poderia me passar uma orientacao ? Fico no aguardo, Obrigado, From giulianocm at uol.com.br Fri Aug 8 18:02:25 2008 From: giulianocm at uol.com.br (GIULIANO (UOL)) Date: Fri, 08 Aug 2008 18:02:25 -0300 Subject: [GTER] [OFF] Contato SPIRENT Message-ID: <489CB461.4060007@uol.com.br> Pessoal, Boa tarde, Na lista existe algum contato da SPIRENT Brasil ? http://www.spirentcom.com/ Tentei no WEB Site deles, mas nao obtive sucesso. Poderiam me enviar um e-mail com algum contato deles em pvt ? Fico no aguardo, Obrigado, Giuliano From alexandre at onda.psi.br Fri Aug 8 16:28:33 2008 From: alexandre at onda.psi.br (Alexandre J. Correa - Onda Internet) Date: Fri, 08 Aug 2008 16:28:33 -0300 Subject: [GTER] RES: header datacom dm16e1 In-Reply-To: References: <489BB870.4090102@onda.psi.br> Message-ID: <489C9E61.4070207@onda.psi.br> Caros, muito obrigado pelas respostas !! o problema ? que o pessoal que estava instalando o mux.. n?o sabia disto e ficou um ping-pong de 0800 "reportando defeito", que na verdade nao existe ... novamente, muito obrigado !! Sds. Alexandre J. Correa Onda Internet Luciano Pimenta wrote: > Alexandre, > O E1 tem a taxa de 2048Kbps. O quadro E1 ? definido pelo ITU-T na > recomenda??o G-704, como 32 canais de 64Kbps cada um, sendo que dois destes > canais s?o reservados para: > Um canal ? para sincronismo e transporte de bits de manuten??o, inclusive > informa??o de taxa de erro, no caso mais comum o polin?mio definido como > CRC-4. > Outro canal ? utilizado para o transporte de sinaliza??o telef?nica, isto ?, > quando voc? faz uma discagem, os n?meros de destino e outras informa??es > passam por este canal, que ? o time slot 16. > Desta forma, quando vamos usar este mesmo quadro para o transporte de dados > nos sobra 30 canais de 64Kbps cada um, que d? um agregado de 1920Kbps > (30x64). Assim 2Mbps entregues em interface G-703 / G-704, na verdade tem > uma taxa de 1920Kbps. Isto ? o padr?o ITU-T, independe do fornecedor do > equipamento. Quando voc? recebe, como no caso, 6 canais E1 para formar um > agregado de 12Mbps a primeira conta seria 6x1920Kbps de vaz?o m?xima. Ap?s > esta conta vem uma outra perda que ? o overhead do link aggregation. S?o > informa??es adicionais colocadas nos links E1 para sincronizar os pacotes > enviados atrav?s do link l?gico de 12Mbps. N?o sei quanto ? esta perda neste > ?ltimo caso. Espero ter ajudado. Luciano. > > -----Mensagem original----- > De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em > nome de Marcelo Costa > Enviada em: sexta-feira, 8 de agosto de 2008 07:10 > Para: Grupo de Trabalho de Engenharia e Operacao de Redes > Assunto: Re: [GTER] header datacom dm16e1 > > Alexandre, > > Existe sim uma perda por overhead de controle no datacom 16 E1. > essa perda nao ? muito pequena. Eu nao lembro mais a porcentagem, > mas quanto mais E1s conectadas ? ele, maior a perda. > > Att, > Eng. Marcelo Costa > > > Em 8/8/2008, "Alexandre J. Correa - Onda Internet" > escreveu: > > >> Caros, >> >> alguem sabe me falar se utilizando 1 datacom dm16e1 .. vou ter alguma >> perda por ocupa??o de cabe?alho ? por exemplo.. em 12mbit de link, >> conseguindo apenas 11.5.. 11.4mbit .. >> >> ? isso mesmo ? ou ha algo errado no DM ? >> >> Sds. >> >> AlexandrE >> -- >> gter list https://eng.registro.br/mailman/listinfo/gter >> >> -- >> Esta mensagem foi verificada pelo sistema de antiv?rus e >> acredita-se estar livre de perigo. >> >> > -- > gter list https://eng.registro.br/mailman/listinfo/gter > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > > From ocilento at gmail.com Fri Aug 8 17:44:15 2008 From: ocilento at gmail.com (Oripide Cilento Filho) Date: Fri, 8 Aug 2008 17:44:15 -0300 Subject: [GTER] Fibra Optica para 10 GIGA In-Reply-To: <489CAAE7.60508@uol.com.br> References: <489CAAE7.60508@uol.com.br> Message-ID: <38032f8c0808081344r2be25f83qba69ffb88eabb069@mail.gmail.com> 2008/8/8 GIULIANO (UOL) : > Pessoal, > > Boa tarde, > > Estamos com um projeto de interligacao de 2 unidades de uma empresa, > utilizando fibra MM de 50um e 850nm (max. 100m) > > Estamos orcando adaptadores XFP para os equipamentos. > > A minha duvida com relacao aos adaptadores XFP (SR) e: > > - Qual o tipo de PATCH CORD optico que esse adaptador utiliza ? > > - E SC ? ou LC ? por padr?o, conector LC > > - Essa fibra suportara o sinal desse transceiver ? Sim. As fibra MM 50/125 ou 62.5/125 s?o as ideais para o padr?o 10GE-SR que opera na janela de 850 nm > > Alguem poderia me passar uma orientacao ? > > Fico no aguardo, > > Obrigado, > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > abs, Oripide From lscrlstld at gmail.com Fri Aug 8 18:04:29 2008 From: lscrlstld at gmail.com (Toledo, Luis Carlos) Date: Fri, 8 Aug 2008 18:04:29 -0300 Subject: [GTER] RES: Fibra Optica para 10 GIGA In-Reply-To: <489CAAE7.60508@uol.com.br> Message-ID: > - Qual o tipo de PATCH CORD optico que esse adaptador utiliza ? > - E SC ? ou LC ? Se for o adaptador Intel 10G XFP SR que normalmente vem nos servidores DELL ? LC. Mas vc pode utilizar patch cord para convers?o para outros tipos de conectores, mas isso pode impor limita??es de comprimento. > - Essa fibra suportara o sinal desse transceiver ? 50 ?m at? 300mts, mas tem que dar 100% na certifica??o. Abs Toledo From rs at nware.com.br Fri Aug 8 21:43:49 2008 From: rs at nware.com.br (Rafael Carlece Serrato) Date: Fri, 08 Aug 2008 21:43:49 -0300 Subject: [GTER] Fibra Optica para 10 GIGA In-Reply-To: <489CAAE7.60508@uol.com.br> References: <489CAAE7.60508@uol.com.br> Message-ID: <489CE845.8090006@nware.com.br> Aproveitando o assunto... algu?m teria um fornecedor de conectores GBIC para fibra MM 10G? ? para uplink entre 2 switchs 6248 da Dell estou precisando de 8 conectores desse e n?o acho em Curitiba... s? importados e uma fortuna cada... Att. Rafael Carlece Serrato NWare Consultoria rafael.serrato at nware.com.br 41 8402-5865 41 4062-9946 GIULIANO (UOL) escreveu: > Pessoal, > > Boa tarde, > > Estamos com um projeto de interligacao de 2 unidades de uma empresa, > utilizando fibra MM de 50um e 850nm (max. 100m) > > Estamos orcando adaptadores XFP para os equipamentos. > > A minha duvida com relacao aos adaptadores XFP (SR) e: > > - Qual o tipo de PATCH CORD optico que esse adaptador utiliza ? > > - E SC ? ou LC ? > > - Essa fibra suportara o sinal desse transceiver ? > > Alguem poderia me passar uma orientacao ? > > Fico no aguardo, > > Obrigado, > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter -- Att. Rafael Carlece Serrato NWare Consultoria rafael.serrato at nware.com.br 41 8402-5865 41 4062-9946 From roque at lacnic.net Fri Aug 8 18:07:40 2008 From: roque at lacnic.net (Roque Gagliano) Date: Fri, 8 Aug 2008 18:07:40 -0300 Subject: [GTER] =?iso-8859-1?q?Designa=E7=E3o_a_Usu=E1rios_Finais_por_part?= =?iso-8859-1?q?e_do_LACNIC?= References: Message-ID: <0295985F-C8D2-4630-A154-8FF730296220@lacnic.net> Amigos, LACNIC h? aprovado sua pol?tica de designa??o a usu?rios finais IPv6. A implementa??o da mesma est? prevista para 1 de setembro de 2008. Para cumprir com esta pol?tica, o LACNIC realizar? designa??es dentro do bloco 2801:0000::/24 com um prefixo m?nimo de designa??o de /48. Solicitamos que tenham atualizados suas informa??es internas e respectivos filtros Lembramos que a lista de recursos administrados pelo LACNIC e seus detalhes se encontram dispon?veis em: http://www.lacnic.net/pt/registro/ Sauda??es Roque Gagliano - LACNIC. From diego at fasternet.com.br Sat Aug 9 11:04:07 2008 From: diego at fasternet.com.br (Diego Zuaneti Arruda) Date: Sat, 9 Aug 2008 11:04:07 -0300 Subject: [GTER] Balanceamento com OSPF Message-ID: Ol? Pessoal, Tenho 2 switch Cisco (Layer3) interligados via OSPF da seguinte maneira: [ ]------ OSPF COST 50 ------- [ ] [ SWITCH 1 ] [ SWITCH 2 ] [ ]------ OSPF COST 50 ------- [ ] Tenho 2 interface de cada switch interconectados via OSPF para fazer balanceamento e alta disponibilidade. Quando ativo o OSPF o tr?fego ? balanceado normalmente. Quando um dos link cai, o tr?fego ? direcionado para o outro link, at? a? normal. O problema acontece quando esse link volta, o tr?fego n?o ? enviado mais por ele, n?o fazendo mais o balanceamento. Para que o balanceamento volte a ocorrer, preciso dar o comando "clear ip route *". Quando rodo esse comando, todo o tr?fego volta a ser balanceado. Algu?m sabe o que pode estar ocorrendo? Abaixo est? a configura??o que estou utilizando: interface FastEthernet0/23 ip address 200.200.100.1 255.255.255.252 ip ospf cost 50 ! interface FastEthernet0/24 ip address 200.200.200.1 255.255.255.252 ip ospf cost 50 ! Obrigado, Diego. From hnrch.harrer at gmail.com Sat Aug 9 12:13:58 2008 From: hnrch.harrer at gmail.com (Heinrich Harrer) Date: Sat, 9 Aug 2008 12:13:58 -0300 Subject: [GTER] Netenforcer e P2P criptografado Message-ID: Ol?, algu?m saberia dizer se o netenforcer da Allot detecta de forma eficiente tr?fego P2P encriptado? L? que bittorrent encriptado ela detecta j? h? um bom tempo, mas esses protocolos novos e/ou revisados como o ares ele detecta? At? hoje n?o consegui encontrar nada que lide com a especifica??o nova do ares (criptografia), fora o ?bvio que ? n?o deixar estabelecer a sess?o (antes de encriptar), se algu?m tiver alguma dica de aplica??o ou hardware ? bem vinda. At?, Heinrich. From juliano at cyberweb.com.br Sat Aug 9 16:26:34 2008 From: juliano at cyberweb.com.br (Juliano Primavesi - Cyberweb Networks) Date: Sat, 09 Aug 2008 16:26:34 -0300 Subject: [GTER] Fibra Optica para 10 GIGA In-Reply-To: <489CE845.8090006@nware.com.br> References: <489CAAE7.60508@uol.com.br> <489CE845.8090006@nware.com.br> Message-ID: <489DEF6A.7020501@cyberweb.com.br> A pr?pria dell tem... o pre?o nao fica mto fora do pre?o de mercado praticado por outros fabricantes. Juliano Rafael Carlece Serrato escreveu: > Aproveitando o assunto... > > algu?m teria um fornecedor de conectores GBIC para fibra MM 10G? > > ? para uplink entre 2 switchs 6248 da Dell > > estou precisando de 8 conectores desse e n?o acho em Curitiba... > > s? importados e uma fortuna cada... > > > Att. > > Rafael Carlece Serrato > NWare Consultoria > rafael.serrato at nware.com.br > 41 8402-5865 > 41 4062-9946 > > GIULIANO (UOL) escreveu: >> Pessoal, >> >> Boa tarde, >> >> Estamos com um projeto de interligacao de 2 unidades de uma empresa, >> utilizando fibra MM de 50um e 850nm (max. 100m) >> >> Estamos orcando adaptadores XFP para os equipamentos. >> >> A minha duvida com relacao aos adaptadores XFP (SR) e: >> >> - Qual o tipo de PATCH CORD optico que esse adaptador utiliza ? >> >> - E SC ? ou LC ? >> >> - Essa fibra suportara o sinal desse transceiver ? >> >> Alguem poderia me passar uma orientacao ? >> >> Fico no aguardo, >> >> Obrigado, >> >> >> -- >> gter list https://eng.registro.br/mailman/listinfo/gter > -- Cordialmente, Juliano Primavesi : CyberWeb Networks : Diretor de Opera??es : Fone (51) 3301-5454 : FAX (51) 3301-5499 :.........> http://www.cyberweb.com.br From antoniocarlospina at gmail.com Sat Aug 9 16:28:09 2008 From: antoniocarlospina at gmail.com (Antonio Carlos Pina) Date: Sat, 9 Aug 2008 16:28:09 -0300 Subject: [GTER] Balanceamento com OSPF In-Reply-To: References: Message-ID: <86b352050808091228y485105ack6e2f426c3066fab@mail.gmail.com> Adicione o comando "no ip route-cache" ou "ip load-sharing per-packet" (o que o seu IOS suportar) nas interfaces. Abs 2008/8/9 Diego Zuaneti Arruda > Ol? Pessoal, > > Tenho 2 switch Cisco (Layer3) interligados via OSPF da seguinte maneira: > > [ ]------ OSPF COST 50 ------- [ ] > [ SWITCH 1 ] [ SWITCH 2 ] > [ ]------ OSPF COST 50 ------- [ ] > > Tenho 2 interface de cada switch interconectados via OSPF para fazer > balanceamento e alta disponibilidade. > Quando ativo o OSPF o tr?fego ? balanceado normalmente. > Quando um dos link cai, o tr?fego ? direcionado para o outro link, at? a? > normal. > O problema acontece quando esse link volta, o tr?fego n?o ? enviado mais > por ele, n?o fazendo mais o balanceamento. > Para que o balanceamento volte a ocorrer, preciso dar o comando "clear ip > route *". Quando rodo esse comando, todo o tr?fego volta a ser balanceado. > > Algu?m sabe o que pode estar ocorrendo? > Abaixo est? a configura??o que estou utilizando: > > interface FastEthernet0/23 > ip address 200.200.100.1 255.255.255.252 > ip ospf cost 50 > ! > interface FastEthernet0/24 > ip address 200.200.200.1 255.255.255.252 > ip ospf cost 50 > ! > > > > Obrigado, > Diego. > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From gustavo.albuquerque at gmail.com Sat Aug 9 20:03:13 2008 From: gustavo.albuquerque at gmail.com (Andre Gustavo de Carvalho Albuquerque) Date: Sat, 9 Aug 2008 20:03:13 -0300 Subject: [GTER] Balanceamento com OSPF In-Reply-To: <86b352050808091228y485105ack6e2f426c3066fab@mail.gmail.com> References: <86b352050808091228y485105ack6e2f426c3066fab@mail.gmail.com> Message-ID: Entender a forma como ? feita a distribui??o de tr?fego entre os links pode dar pistas sobre o que est? acontecendo e sobre poss?veis solu??es. A forma padr?o de distribui??o de tr?fego entre os links ? associar cada fluxo de pacotes com o mesmo endere?o IP de destino com uma interface do grupo ou *bundle*. Considerando um ambiente onde h? uma distribui??o razo?vel de fluxos (ou seja, n?o h? interesse de tr?fego predominante para um ?nico destino), o tr?fego ser? bem distribu?do entre as interfaces. Esse tipo de balanceamento tamb?m evita que haja reordenamento de pacotes, que ? mortal para algumas aplica??es, como algumas implementa??es de VoIP. No cen?rio onde um dos links falha, os hashs de fluxos s?o todos concentrados no link que permanece ativo. Sendo assim, quando o link volta a ativa nenhum pacote ser? encaminhado ? ele at? que uma novo hash seja criado. Uma forma de mudar esse comportamento ? fazer balanceamento por pacote, que faz distribui??o de pacotes equ?nime entre as interfaces. Mas esse tipo de abordagem tem suas desvantagens, pois pode introduzir pacotes fora de ordem na rede. Mas ao usar balanceamento por pacote, melhor usar o comando "ip load-sharing per-packet" e n?o usar o "no ip route-cache". Maiores informa??es sobre o balanceamento com Cisco Express Forwarding podem ser encontradas em http://www.cisco.com/en/US/products/hw/modules/ps2033/prod_technical_reference09186a00800afeb7.html#wp16235 Maiores informa??es sobre configura??o pode ser encontrada em http://www.cisco.com/en/US/docs/ios/12_4t/ip_switch/configuration/guide/tceflbs.html (? indicado que voc? procure algo mais espec?fico ao modelo de switch que voc? est? utilizando, que n?o foi informado) Se a banda entre os dois switches nunca ? maior que a capacidade de uma fastethernet, isso n?o deve representar um problema. Se for o caso, e o cen?rio for realmente este, n?o h? porque habilitar balanceamento por pacotes. Se for este o caso tamb?m, e se a conex?o dos switches for direta, sem intermedi?rios, uma op??o para voc? ? usar etherchannel/PAgP. Veja mais informa??es em http://www.cisco.com/en/US/tech/tk389/tk213/technologies_tech_note09186a0080094714.shtml []s, Gustavo Albuquerque 2008/8/9 Antonio Carlos Pina > Adicione o comando "no ip route-cache" ou "ip load-sharing per-packet" (o > que o seu IOS suportar) nas interfaces. > > Abs > > 2008/8/9 Diego Zuaneti Arruda > > > Ol? Pessoal, > > > > Tenho 2 switch Cisco (Layer3) interligados via OSPF da seguinte maneira: > > > > [ ]------ OSPF COST 50 ------- [ ] > > [ SWITCH 1 ] [ SWITCH 2 ] > > [ ]------ OSPF COST 50 ------- [ ] > > > > Tenho 2 interface de cada switch interconectados via OSPF para fazer > > balanceamento e alta disponibilidade. > > Quando ativo o OSPF o tr?fego ? balanceado normalmente. > > Quando um dos link cai, o tr?fego ? direcionado para o outro link, at? > a? > > normal. > > O problema acontece quando esse link volta, o tr?fego n?o ? enviado mais > > por ele, n?o fazendo mais o balanceamento. > > Para que o balanceamento volte a ocorrer, preciso dar o comando "clear > ip > > route *". Quando rodo esse comando, todo o tr?fego volta a ser > balanceado. > > > > Algu?m sabe o que pode estar ocorrendo? > > Abaixo est? a configura??o que estou utilizando: > > > > interface FastEthernet0/23 > > ip address 200.200.100.1 255.255.255.252 > > ip ospf cost 50 > > ! > > interface FastEthernet0/24 > > ip address 200.200.200.1 255.255.255.252 > > ip ospf cost 50 > > ! > > > > > > > > Obrigado, > > Diego. > > > > -- > > gter list https://eng.registro.br/mailman/listinfo/gter > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From antoniocarlospina at gmail.com Sat Aug 9 20:36:15 2008 From: antoniocarlospina at gmail.com (Antonio Carlos Pina) Date: Sat, 9 Aug 2008 20:36:15 -0300 Subject: [GTER] Balanceamento com OSPF In-Reply-To: References: <86b352050808091228y485105ack6e2f426c3066fab@mail.gmail.com> Message-ID: <86b352050808091636g20857f82n3c0168658d0ce082@mail.gmail.com> Mas o IOS precisa suportar o load-sharing. Do contr?rio, s? com no ip route-cache. Abs 2008/8/9 Andre Gustavo de Carvalho Albuquerque < gustavo.albuquerque at gmail.com> > Entender a forma como ? feita a distribui??o de tr?fego entre os links pode > dar pistas sobre o que est? acontecendo e sobre poss?veis solu??es. > > A forma padr?o de distribui??o de tr?fego entre os links ? associar cada > fluxo de pacotes com o mesmo endere?o IP de destino com uma interface do > grupo ou *bundle*. > > Considerando um ambiente onde h? uma distribui??o razo?vel de fluxos (ou > seja, n?o h? interesse de tr?fego predominante para um ?nico destino), o > tr?fego ser? bem distribu?do entre as interfaces. > > Esse tipo de balanceamento tamb?m evita que haja reordenamento de pacotes, > que ? mortal para algumas aplica??es, como algumas implementa??es de VoIP. > > No cen?rio onde um dos links falha, os hashs de fluxos s?o todos > concentrados no link que permanece ativo. Sendo assim, quando o link volta > a > ativa nenhum pacote ser? encaminhado ? ele at? que uma novo hash seja > criado. > > Uma forma de mudar esse comportamento ? fazer balanceamento por pacote, que > faz distribui??o de pacotes equ?nime entre as interfaces. Mas esse tipo de > abordagem tem suas desvantagens, pois pode introduzir pacotes fora de ordem > na rede. > > Mas ao usar balanceamento por pacote, melhor usar o comando "ip > load-sharing > per-packet" e n?o usar o "no ip route-cache". > > Maiores informa??es sobre o balanceamento com Cisco Express Forwarding > podem > ser encontradas em > > http://www.cisco.com/en/US/products/hw/modules/ps2033/prod_technical_reference09186a00800afeb7.html#wp16235 > > Maiores informa??es sobre configura??o pode ser encontrada em > > http://www.cisco.com/en/US/docs/ios/12_4t/ip_switch/configuration/guide/tceflbs.html > (? > indicado que voc? procure algo mais espec?fico ao modelo de switch que voc? > est? utilizando, que n?o foi informado) > Se a banda entre os dois switches nunca ? maior que a capacidade de uma > fastethernet, isso n?o deve representar um problema. Se for o caso, e o > cen?rio for realmente este, n?o h? porque habilitar balanceamento por > pacotes. Se for este o caso tamb?m, e se a conex?o dos switches for direta, > sem intermedi?rios, uma op??o para voc? ? usar etherchannel/PAgP. Veja mais > informa??es em > > http://www.cisco.com/en/US/tech/tk389/tk213/technologies_tech_note09186a0080094714.shtml > > []s, Gustavo Albuquerque > 2008/8/9 Antonio Carlos Pina > > > Adicione o comando "no ip route-cache" ou "ip load-sharing per-packet" (o > > que o seu IOS suportar) nas interfaces. > > > > Abs > > > > 2008/8/9 Diego Zuaneti Arruda > > > > > Ol? Pessoal, > > > > > > Tenho 2 switch Cisco (Layer3) interligados via OSPF da seguinte > maneira: > > > > > > [ ]------ OSPF COST 50 ------- [ > ] > > > [ SWITCH 1 ] [ SWITCH 2 > ] > > > [ ]------ OSPF COST 50 ------- [ > ] > > > > > > Tenho 2 interface de cada switch interconectados via OSPF para fazer > > > balanceamento e alta disponibilidade. > > > Quando ativo o OSPF o tr?fego ? balanceado normalmente. > > > Quando um dos link cai, o tr?fego ? direcionado para o outro link, at? > > a? > > > normal. > > > O problema acontece quando esse link volta, o tr?fego n?o ? enviado > mais > > > por ele, n?o fazendo mais o balanceamento. > > > Para que o balanceamento volte a ocorrer, preciso dar o comando "clear > > ip > > > route *". Quando rodo esse comando, todo o tr?fego volta a ser > > balanceado. > > > > > > Algu?m sabe o que pode estar ocorrendo? > > > Abaixo est? a configura??o que estou utilizando: > > > > > > interface FastEthernet0/23 > > > ip address 200.200.100.1 255.255.255.252 > > > ip ospf cost 50 > > > ! > > > interface FastEthernet0/24 > > > ip address 200.200.200.1 255.255.255.252 > > > ip ospf cost 50 > > > ! > > > > > > > > > > > > Obrigado, > > > Diego. > > > > > > -- > > > gter list https://eng.registro.br/mailman/listinfo/gter > > > > > -- > > gter list https://eng.registro.br/mailman/listinfo/gter > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From gustavo.albuquerque at gmail.com Sat Aug 9 20:49:26 2008 From: gustavo.albuquerque at gmail.com (Andre Gustavo de Carvalho Albuquerque) Date: Sat, 9 Aug 2008 20:49:26 -0300 Subject: [GTER] Balanceamento com OSPF In-Reply-To: <86b352050808091636g20857f82n3c0168658d0ce082@mail.gmail.com> References: <86b352050808091228y485105ack6e2f426c3066fab@mail.gmail.com> <86b352050808091636g20857f82n3c0168658d0ce082@mail.gmail.com> Message-ID: Sim, mas CEF switching foi introduzido no IOS 12.0. Imagino que o IOS sendo utilizado seja mais recente, j? que esta vers?o j? n?o ? suportada desde 2004, imagine as anteriores. Na d?vida, melhor usar o feature navigator [1] e procurar se CEF ? suportado no IOS utilizado. O resultado do comando "show ip cef" deve dar uma pista r?pida. []s, Gustavo Albuquerque [1] www.cisco.com/go/fn 2008/8/9 Antonio Carlos Pina > Mas o IOS precisa suportar o load-sharing. > > Do contr?rio, s? com no ip route-cache. > Abs > 2008/8/9 Andre Gustavo de Carvalho Albuquerque < > gustavo.albuquerque at gmail.com> > > > Entender a forma como ? feita a distribui??o de tr?fego entre os links > pode > > dar pistas sobre o que est? acontecendo e sobre poss?veis solu??es. > > > > A forma padr?o de distribui??o de tr?fego entre os links ? associar cada > > fluxo de pacotes com o mesmo endere?o IP de destino com uma interface do > > grupo ou *bundle*. > > > > Considerando um ambiente onde h? uma distribui??o razo?vel de fluxos (ou > > seja, n?o h? interesse de tr?fego predominante para um ?nico destino), o > > tr?fego ser? bem distribu?do entre as interfaces. > > > > Esse tipo de balanceamento tamb?m evita que haja reordenamento de > pacotes, > > que ? mortal para algumas aplica??es, como algumas implementa??es de > VoIP. > > > > No cen?rio onde um dos links falha, os hashs de fluxos s?o todos > > concentrados no link que permanece ativo. Sendo assim, quando o link > volta > > a > > ativa nenhum pacote ser? encaminhado ? ele at? que uma novo hash seja > > criado. > > > > Uma forma de mudar esse comportamento ? fazer balanceamento por pacote, > que > > faz distribui??o de pacotes equ?nime entre as interfaces. Mas esse tipo > de > > abordagem tem suas desvantagens, pois pode introduzir pacotes fora de > ordem > > na rede. > > > > Mas ao usar balanceamento por pacote, melhor usar o comando "ip > > load-sharing > > per-packet" e n?o usar o "no ip route-cache". > > > > Maiores informa??es sobre o balanceamento com Cisco Express Forwarding > > podem > > ser encontradas em > > > > > http://www.cisco.com/en/US/products/hw/modules/ps2033/prod_technical_reference09186a00800afeb7.html#wp16235 > > > > Maiores informa??es sobre configura??o pode ser encontrada em > > > > > http://www.cisco.com/en/US/docs/ios/12_4t/ip_switch/configuration/guide/tceflbs.html > > (? > > indicado que voc? procure algo mais espec?fico ao modelo de switch que > voc? > > est? utilizando, que n?o foi informado) > > Se a banda entre os dois switches nunca ? maior que a capacidade de uma > > fastethernet, isso n?o deve representar um problema. Se for o caso, e o > > cen?rio for realmente este, n?o h? porque habilitar balanceamento por > > pacotes. Se for este o caso tamb?m, e se a conex?o dos switches for > direta, > > sem intermedi?rios, uma op??o para voc? ? usar etherchannel/PAgP. Veja > mais > > informa??es em > > > > > http://www.cisco.com/en/US/tech/tk389/tk213/technologies_tech_note09186a0080094714.shtml > > > > []s, Gustavo Albuquerque > > 2008/8/9 Antonio Carlos Pina > > > > > Adicione o comando "no ip route-cache" ou "ip load-sharing per-packet" > (o > > > que o seu IOS suportar) nas interfaces. > > > > > > Abs > > > > > > 2008/8/9 Diego Zuaneti Arruda > > > > > > > Ol? Pessoal, > > > > > > > > Tenho 2 switch Cisco (Layer3) interligados via OSPF da seguinte > > maneira: > > > > > > > > [ ]------ OSPF COST 50 ------- [ > > ] > > > > [ SWITCH 1 ] [ SWITCH > 2 > > ] > > > > [ ]------ OSPF COST 50 ------- [ > > ] > > > > > > > > Tenho 2 interface de cada switch interconectados via OSPF para fazer > > > > balanceamento e alta disponibilidade. > > > > Quando ativo o OSPF o tr?fego ? balanceado normalmente. > > > > Quando um dos link cai, o tr?fego ? direcionado para o outro link, > at? > > > a? > > > > normal. > > > > O problema acontece quando esse link volta, o tr?fego n?o ? enviado > > mais > > > > por ele, n?o fazendo mais o balanceamento. > > > > Para que o balanceamento volte a ocorrer, preciso dar o comando > "clear > > > ip > > > > route *". Quando rodo esse comando, todo o tr?fego volta a ser > > > balanceado. > > > > > > > > Algu?m sabe o que pode estar ocorrendo? > > > > Abaixo est? a configura??o que estou utilizando: > > > > > > > > interface FastEthernet0/23 > > > > ip address 200.200.100.1 255.255.255.252 > > > > ip ospf cost 50 > > > > ! > > > > interface FastEthernet0/24 > > > > ip address 200.200.200.1 255.255.255.252 > > > > ip ospf cost 50 > > > > ! > > > > > > > > > > > > > > > > Obrigado, > > > > Diego. > > > > > > > > -- > > > > gter list https://eng.registro.br/mailman/listinfo/gter > > > > > > > -- > > > gter list https://eng.registro.br/mailman/listinfo/gter > > > > > -- > > gter list https://eng.registro.br/mailman/listinfo/gter > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From diego at fasternet.com.br Sat Aug 9 18:49:10 2008 From: diego at fasternet.com.br (Diego Zuaneti Arruda) Date: Sat, 9 Aug 2008 18:49:10 -0300 Subject: [GTER] Balanceamento com OSPF References: <86b352050808091228y485105ack6e2f426c3066fab@mail.gmail.com> Message-ID: Ol? Antonio Carlos, j? tentei "no ip route-cache" e tamb?m "ip load-sharing per-packet", mas ocorre mesmo problema. O IOS que estou usando ? o c3550-i5k91l2q3-mz.122-25.SE. Os switches est?o interligados via r?dio. Vou verificar os passos do Andre Gustavo para ver se encontro alguma solu??o. Obrigado por enquanto. Abra?os. Diego. ----- Original Message ----- From: "Antonio Carlos Pina" To: "Grupo de Trabalho de Engenharia e Operacao de Redes" Sent: Saturday, August 09, 2008 4:28 PM Subject: Re: [GTER] Balanceamento com OSPF Adicione o comando "no ip route-cache" ou "ip load-sharing per-packet" (o que o seu IOS suportar) nas interfaces. Abs 2008/8/9 Diego Zuaneti Arruda > Ol? Pessoal, > > Tenho 2 switch Cisco (Layer3) interligados via OSPF da seguinte maneira: > > [ ]------ OSPF COST 50 ------- [ ] > [ SWITCH 1 ] [ SWITCH 2 ] > [ ]------ OSPF COST 50 ------- [ ] > > Tenho 2 interface de cada switch interconectados via OSPF para fazer > balanceamento e alta disponibilidade. > Quando ativo o OSPF o tr?fego ? balanceado normalmente. > Quando um dos link cai, o tr?fego ? direcionado para o outro link, at? a? > normal. > O problema acontece quando esse link volta, o tr?fego n?o ? enviado mais > por ele, n?o fazendo mais o balanceamento. > Para que o balanceamento volte a ocorrer, preciso dar o comando "clear ip > route *". Quando rodo esse comando, todo o tr?fego volta a ser balanceado. > > Algu?m sabe o que pode estar ocorrendo? > Abaixo est? a configura??o que estou utilizando: > > interface FastEthernet0/23 > ip address 200.200.100.1 255.255.255.252 > ip ospf cost 50 > ! > interface FastEthernet0/24 > ip address 200.200.200.1 255.255.255.252 > ip ospf cost 50 > ! > > > > Obrigado, > Diego. > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- gter list https://eng.registro.br/mailman/listinfo/gter From brun at alestel.com.br Sat Aug 9 18:49:43 2008 From: brun at alestel.com.br (Laertes Brun) Date: Sat, 9 Aug 2008 18:49:43 -0300 Subject: [GTER] Fibra Optica para 10 GIGA In-Reply-To: <489DEF6A.7020501@cyberweb.com.br> References: <489CAAE7.60508@uol.com.br> <489CE845.8090006@nware.com.br> <489DEF6A.7020501@cyberweb.com.br> Message-ID: Estou precisando de uma chave que ? usada para poder retirar dos racks... Sun 900-38 Tenho neste bastidor um Sun Storedge 3300, como compro esta chave? Ela ? redondinha o seu formato.. Laertes Brun ----- Original Message ----- From: "Juliano Primavesi - Cyberweb Networks" To: ; "Grupo de Trabalho de Engenharia e Operacao de Redes" Sent: Saturday, August 09, 2008 4:26 PM Subject: Re: [GTER] Fibra Optica para 10 GIGA A pr?pria dell tem... o pre?o nao fica mto fora do pre?o de mercado praticado por outros fabricantes. Juliano Rafael Carlece Serrato escreveu: > Aproveitando o assunto... > > algu?m teria um fornecedor de conectores GBIC para fibra MM 10G? > > ? para uplink entre 2 switchs 6248 da Dell > > estou precisando de 8 conectores desse e n?o acho em Curitiba... > > s? importados e uma fortuna cada... > > > Att. > > Rafael Carlece Serrato > NWare Consultoria > rafael.serrato at nware.com.br > 41 8402-5865 > 41 4062-9946 > > GIULIANO (UOL) escreveu: >> Pessoal, >> >> Boa tarde, >> >> Estamos com um projeto de interligacao de 2 unidades de uma empresa, >> utilizando fibra MM de 50um e 850nm (max. 100m) >> >> Estamos orcando adaptadores XFP para os equipamentos. >> >> A minha duvida com relacao aos adaptadores XFP (SR) e: >> >> - Qual o tipo de PATCH CORD optico que esse adaptador utiliza ? >> >> - E SC ? ou LC ? >> >> - Essa fibra suportara o sinal desse transceiver ? >> >> Alguem poderia me passar uma orientacao ? >> >> Fico no aguardo, >> >> Obrigado, >> >> >> -- >> gter list https://eng.registro.br/mailman/listinfo/gter > -- Cordialmente, Juliano Primavesi : CyberWeb Networks : Diretor de Opera??es : Fone (51) 3301-5454 : FAX (51) 3301-5499 :.........> http://www.cyberweb.com.br -- gter list https://eng.registro.br/mailman/listinfo/gter -- Internal Virus Database is out-of-date. Checked by AVG. Version: 7.5.524 / Virus Database: 270.5.6/1575 - Release Date: 26/07/2008 16:18 From rubensk at gmail.com Sat Aug 9 23:50:11 2008 From: rubensk at gmail.com (Rubens Kuhl Jr.) Date: Sat, 9 Aug 2008 23:50:11 -0300 Subject: [GTER] Balanceamento com OSPF In-Reply-To: References: <86b352050808091228y485105ack6e2f426c3066fab@mail.gmail.com> Message-ID: <6bb5f5b10808091950l6c886754uace4725def7aa4ff@mail.gmail.com> 2008/8/9 Diego Zuaneti Arruda : > Ol? Antonio Carlos, j? tentei "no ip route-cache" e tamb?m "ip load-sharing > per-packet", mas ocorre mesmo problema. Experimente na configura??o de OSPF colocar "maximum-paths 2" > O IOS que estou usando ? o c3550-i5k91l2q3-mz.122-25.SE. H? vers?es atualizadas da fam?lia 12.2(xx)SE, vale um teste. > Os switches est?o interligados via r?dio. H? alguns r?dios com efeitos curiosos sobre etherchannel (que ? bem diferente de OSPF, mas tamb?m ? um cen?rio de balanceamento), ? bom comparar num lab se com switchs diretamente interligados o problema se reproduz Rubens From Fernando.Correa at tivit.com.br Sun Aug 10 01:54:56 2008 From: Fernando.Correa at tivit.com.br (=?iso-8859-1?Q?Fernando_de_Aquilino_Corr=EAa?=) Date: Sun, 10 Aug 2008 01:54:56 -0300 Subject: [GTER] Fibra Optica para 10 GIGA In-Reply-To: <489CAAE7.60508@uol.com.br> Message-ID: O alcance depende da qualidade de fibra ?tica. Fibras de 50um v?o de ~65m (para fibra OM2 de 400MHz*km) a ~300m (fibra OM3 / 2000MHz*km). Veja http://www.cisco.com/en/US/prod/collateral/modules/ps5455/ps6574/product_data_sheet0900aecd802a61b9.html ou o manual dos transceivers do fabricante que voc? utiliza. []s Fernando -----Original Message----- From: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] On Behalf Of GIULIANO (UOL) Sent: sexta-feira, 8 de agosto de 2008 17:22 To: Grupo de Trabalho de Engenharia e Operacao de Redes Subject: [GTER] Fibra Optica para 10 GIGA Pessoal, Boa tarde, Estamos com um projeto de interligacao de 2 unidades de uma empresa, utilizando fibra MM de 50um e 850nm (max. 100m) Estamos orcando adaptadores XFP para os equipamentos. A minha duvida com relacao aos adaptadores XFP (SR) e: - Qual o tipo de PATCH CORD optico que esse adaptador utiliza ? - E SC ? ou LC ? - Essa fibra suportara o sinal desse transceiver ? Alguem poderia me passar uma orientacao ? Fico no aguardo, Obrigado, -- gter list https://eng.registro.br/mailman/listinfo/gter From diogo.montagner at gmail.com Sun Aug 10 16:18:21 2008 From: diogo.montagner at gmail.com (Diogo Montagner) Date: Sun, 10 Aug 2008 16:18:21 -0300 Subject: [GTER] Balanceamento com OSPF In-Reply-To: <6bb5f5b10808091950l6c886754uace4725def7aa4ff@mail.gmail.com> References: <86b352050808091228y485105ack6e2f426c3066fab@mail.gmail.com> <6bb5f5b10808091950l6c886754uace4725def7aa4ff@mail.gmail.com> Message-ID: <84eb7a820808101218u3225c738te9b56b39d8b77231@mail.gmail.com> tamb?m ? bom verificar o estado da database do OSPF ap?s os links retornarem e verificar se os an?ncios das redes atr?s do roteador remoto est?o sendo feito pelos dois links com o mesmo custo e mesma ?rea. Remover o ip route-cache n?o ? uma boa op??o pois isto vai desabilitar o CEF para a interface e com isto o roteador precisar? dispensar um custo extra de CPU para o forward de pacotes e se estiver rodando MPLS sobre estes links ele ir? parar de fazer o forward de labels por este link. []s ./diogo -montagner 2008/8/9 Rubens Kuhl Jr. > 2008/8/9 Diego Zuaneti Arruda : > > Ol? Antonio Carlos, j? tentei "no ip route-cache" e tamb?m "ip > load-sharing > > per-packet", mas ocorre mesmo problema. > > Experimente na configura??o de OSPF colocar "maximum-paths 2" > > > O IOS que estou usando ? o c3550-i5k91l2q3-mz.122-25.SE. > > H? vers?es atualizadas da fam?lia 12.2(xx)SE, vale um teste. > > > Os switches est?o interligados via r?dio. > > H? alguns r?dios com efeitos curiosos sobre etherchannel (que ? bem > diferente de OSPF, mas tamb?m ? um cen?rio de balanceamento), ? bom > comparar num lab se com switchs diretamente interligados o problema se > reproduz > > > Rubens > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From curupas at gmail.com Sun Aug 10 16:46:45 2008 From: curupas at gmail.com (Ricardo Tavares) Date: Sun, 10 Aug 2008 16:46:45 -0300 Subject: [GTER] Balanceamento com OSPF In-Reply-To: References: Message-ID: <670333fe0808101246s74cf9c04m87e86e85ae130e86@mail.gmail.com> Ol? Diego, Por que voc? nao faz agregacao de portas? Desse modo voce pode optar por fazer load-balance por mac e ganhar todas as vantagens: redundancia, ordenamento de pacotes e reducao do consumo de cpu por conta de que se cair um dos links o teu OSPF nem vai saber, e o que os olhos nao veem a CPU tambem n?o :o) Abra?os, Ricardo Tavares. 2008/8/9 Diego Zuaneti Arruda > Ol? Pessoal, > > Tenho 2 switch Cisco (Layer3) interligados via OSPF da seguinte maneira: > > [ ]------ OSPF COST 50 ------- [ ] > [ SWITCH 1 ] [ SWITCH 2 ] > [ ]------ OSPF COST 50 ------- [ ] > > Tenho 2 interface de cada switch interconectados via OSPF para fazer > balanceamento e alta disponibilidade. > Quando ativo o OSPF o tr?fego ? balanceado normalmente. > Quando um dos link cai, o tr?fego ? direcionado para o outro link, at? a? > normal. > O problema acontece quando esse link volta, o tr?fego n?o ? enviado mais > por ele, n?o fazendo mais o balanceamento. > Para que o balanceamento volte a ocorrer, preciso dar o comando "clear ip > route *". Quando rodo esse comando, todo o tr?fego volta a ser balanceado. > > Algu?m sabe o que pode estar ocorrendo? > Abaixo est? a configura??o que estou utilizando: > > interface FastEthernet0/23 > ip address 200.200.100.1 255.255.255.252 > ip ospf cost 50 > ! > interface FastEthernet0/24 > ip address 200.200.200.1 255.255.255.252 > ip ospf cost 50 > ! > > > > Obrigado, > Diego. > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- __________________________________________ Vai Encarar? http://www.vaiencarar.com.br From rs at nware.com.br Mon Aug 11 00:25:23 2008 From: rs at nware.com.br (Rafael Carlece Serrato) Date: Mon, 11 Aug 2008 00:25:23 -0300 Subject: [GTER] Fibra Optica para 10 GIGA In-Reply-To: <489DEF6A.7020501@cyberweb.com.br> References: <489CAAE7.60508@uol.com.br> <489CE845.8090006@nware.com.br> <489DEF6A.7020501@cyberweb.com.br> Message-ID: <489FB123.7020004@nware.com.br> e tem id?ia de pre?o??? um fornecedor passou U$3800 CADA conector... :P um tanto quanto salgado... :S Juliano Primavesi - Cyberweb Networks escreveu: > A pr?pria dell tem... o pre?o nao fica mto fora do pre?o de mercado > praticado por outros fabricantes. > > Juliano > > Rafael Carlece Serrato escreveu: >> Aproveitando o assunto... >> >> algu?m teria um fornecedor de conectores GBIC para fibra MM 10G? >> >> ? para uplink entre 2 switchs 6248 da Dell >> >> estou precisando de 8 conectores desse e n?o acho em Curitiba... >> >> s? importados e uma fortuna cada... >> >> >> Att. >> >> Rafael Carlece Serrato >> NWare Consultoria >> rafael.serrato at nware.com.br >> 41 8402-5865 >> 41 4062-9946 >> >> GIULIANO (UOL) escreveu: >>> Pessoal, >>> >>> Boa tarde, >>> >>> Estamos com um projeto de interligacao de 2 unidades de uma empresa, >>> utilizando fibra MM de 50um e 850nm (max. 100m) >>> >>> Estamos orcando adaptadores XFP para os equipamentos. >>> >>> A minha duvida com relacao aos adaptadores XFP (SR) e: >>> >>> - Qual o tipo de PATCH CORD optico que esse adaptador utiliza ? >>> >>> - E SC ? ou LC ? >>> >>> - Essa fibra suportara o sinal desse transceiver ? >>> >>> Alguem poderia me passar uma orientacao ? >>> >>> Fico no aguardo, >>> >>> Obrigado, >>> >>> >>> -- >>> gter list https://eng.registro.br/mailman/listinfo/gter >> > -- Att. Rafael Carlece Serrato NWare Consultoria rafael.serrato at nware.com.br 41 8402-5865 41 4062-9946 From diego at fasternet.com.br Mon Aug 11 08:40:00 2008 From: diego at fasternet.com.br (Diego Zuaneti Arruda) Date: Mon, 11 Aug 2008 08:40:00 -0300 Subject: [GTER] Balanceamento com OSPF References: <86b352050808091228y485105ack6e2f426c3066fab@mail.gmail.com><6bb5f5b10808091950l6c886754uace4725def7aa4ff@mail.gmail.com> <84eb7a820808101218u3225c738te9b56b39d8b77231@mail.gmail.com> Message-ID: <2FE3A069A0F9442F92A5D2DF596DEAE2@DIEGONB> Pessoal, obrigado a todos pelas respostas. Vou fazer todos os testes, e assim que conseguir resolver posto aqui na lista. Diego. ----- Original Message ----- From: "Diogo Montagner" To: "Grupo de Trabalho de Engenharia e Operacao de Redes" Sent: Sunday, August 10, 2008 4:18 PM Subject: Re: [GTER] Balanceamento com OSPF tamb?m ? bom verificar o estado da database do OSPF ap?s os links retornarem e verificar se os an?ncios das redes atr?s do roteador remoto est?o sendo feito pelos dois links com o mesmo custo e mesma ?rea. Remover o ip route-cache n?o ? uma boa op??o pois isto vai desabilitar o CEF para a interface e com isto o roteador precisar? dispensar um custo extra de CPU para o forward de pacotes e se estiver rodando MPLS sobre estes links ele ir? parar de fazer o forward de labels por este link. []s ./diogo -montagner 2008/8/9 Rubens Kuhl Jr. > 2008/8/9 Diego Zuaneti Arruda : > > Ol? Antonio Carlos, j? tentei "no ip route-cache" e tamb?m "ip > load-sharing > > per-packet", mas ocorre mesmo problema. > > Experimente na configura??o de OSPF colocar "maximum-paths 2" > > > O IOS que estou usando ? o c3550-i5k91l2q3-mz.122-25.SE. > > H? vers?es atualizadas da fam?lia 12.2(xx)SE, vale um teste. > > > Os switches est?o interligados via r?dio. > > H? alguns r?dios com efeitos curiosos sobre etherchannel (que ? bem > diferente de OSPF, mas tamb?m ? um cen?rio de balanceamento), ? bom > comparar num lab se com switchs diretamente interligados o problema se > reproduz > > > Rubens > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- gter list https://eng.registro.br/mailman/listinfo/gter From diego at fasternet.com.br Mon Aug 11 10:09:41 2008 From: diego at fasternet.com.br (Diego Zuaneti Arruda) Date: Mon, 11 Aug 2008 10:09:41 -0300 Subject: [GTER] Balanceamento com OSPF References: <670333fe0808101246s74cf9c04m87e86e85ae130e86@mail.gmail.com> Message-ID: <9B700C59555A416299E2D7D4CC80DCBB@DIEGONB> Ol? Ricardo, j? pensei nisso, mas um dos links n?o vai direto pro outro switch que fecha o OSPF, pois passa por uma VLAN de outro switch (intermedi?rio) para depois chegar no destino aonde est? o OSPF. ----- Original Message ----- From: "Ricardo Tavares" To: "Grupo de Trabalho de Engenharia e Operacao de Redes" Sent: Sunday, August 10, 2008 4:46 PM Subject: Re: [GTER] Balanceamento com OSPF Ol? Diego, Por que voc? nao faz agregacao de portas? Desse modo voce pode optar por fazer load-balance por mac e ganhar todas as vantagens: redundancia, ordenamento de pacotes e reducao do consumo de cpu por conta de que se cair um dos links o teu OSPF nem vai saber, e o que os olhos nao veem a CPU tambem n?o :o) Abra?os, Ricardo Tavares. 2008/8/9 Diego Zuaneti Arruda > Ol? Pessoal, > > Tenho 2 switch Cisco (Layer3) interligados via OSPF da seguinte maneira: > > [ ]------ OSPF COST 50 ------- [ ] > [ SWITCH 1 ] [ SWITCH 2 ] > [ ]------ OSPF COST 50 ------- [ ] > > Tenho 2 interface de cada switch interconectados via OSPF para fazer > balanceamento e alta disponibilidade. > Quando ativo o OSPF o tr?fego ? balanceado normalmente. > Quando um dos link cai, o tr?fego ? direcionado para o outro link, at? a? > normal. > O problema acontece quando esse link volta, o tr?fego n?o ? enviado mais > por ele, n?o fazendo mais o balanceamento. > Para que o balanceamento volte a ocorrer, preciso dar o comando "clear ip > route *". Quando rodo esse comando, todo o tr?fego volta a ser balanceado. > > Algu?m sabe o que pode estar ocorrendo? > Abaixo est? a configura??o que estou utilizando: > > interface FastEthernet0/23 > ip address 200.200.100.1 255.255.255.252 > ip ospf cost 50 > ! > interface FastEthernet0/24 > ip address 200.200.200.1 255.255.255.252 > ip ospf cost 50 > ! > > > > Obrigado, > Diego. > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- __________________________________________ Vai Encarar? http://www.vaiencarar.com.br -- gter list https://eng.registro.br/mailman/listinfo/gter From curupas at gmail.com Mon Aug 11 10:52:57 2008 From: curupas at gmail.com (Ricardo Tavares) Date: Mon, 11 Aug 2008 10:52:57 -0300 Subject: [GTER] Balanceamento com OSPF In-Reply-To: <9B700C59555A416299E2D7D4CC80DCBB@DIEGONB> References: <670333fe0808101246s74cf9c04m87e86e85ae130e86@mail.gmail.com> <9B700C59555A416299E2D7D4CC80DCBB@DIEGONB> Message-ID: <670333fe0808110652oab48cbref4f47fbf4a077b3@mail.gmail.com> Interessante tua resposta, ela nao estava no desenho. Quando o link o volta, antes de voce executar o clear no OSPF voc? confirma via ICMP que o layer 3 esta realmente operacional? Usando "debug ip ospf events" e "show ip ospf neighbor", voce ve a adjacencia se formar sobre o novo link? O problema acontece somente quando quem cai eh o link passando pelo switch intermediario ou acontece indepente de quem cai? Abra?os, Ricardo. 2008/8/11 Diego Zuaneti Arruda > Ol? Ricardo, j? pensei nisso, mas um dos links n?o vai direto pro outro > switch que fecha o OSPF, pois passa por uma VLAN de outro switch > (intermedi?rio) para depois chegar no destino aonde est? o OSPF. > > ----- Original Message ----- From: "Ricardo Tavares" > To: "Grupo de Trabalho de Engenharia e Operacao de Redes" < > gter at eng.registro.br> > Sent: Sunday, August 10, 2008 4:46 PM > Subject: Re: [GTER] Balanceamento com OSPF > > > Ol? Diego, > > Por que voc? nao faz agregacao de portas? Desse modo voce pode optar por > fazer load-balance por mac e ganhar todas as vantagens: redundancia, > ordenamento de pacotes e reducao do consumo de cpu por conta de que se cair > um dos links o teu OSPF nem vai saber, e o que os olhos nao veem a CPU > tambem n?o :o) > > > Abra?os, > Ricardo Tavares. > > > 2008/8/9 Diego Zuaneti Arruda > > Ol? Pessoal, >> >> Tenho 2 switch Cisco (Layer3) interligados via OSPF da seguinte maneira: >> >> [ ]------ OSPF COST 50 ------- [ ] >> [ SWITCH 1 ] [ SWITCH 2 ] >> [ ]------ OSPF COST 50 ------- [ ] >> >> Tenho 2 interface de cada switch interconectados via OSPF para fazer >> balanceamento e alta disponibilidade. >> Quando ativo o OSPF o tr?fego ? balanceado normalmente. >> Quando um dos link cai, o tr?fego ? direcionado para o outro link, at? a? >> normal. >> O problema acontece quando esse link volta, o tr?fego n?o ? enviado mais >> por ele, n?o fazendo mais o balanceamento. >> Para que o balanceamento volte a ocorrer, preciso dar o comando "clear ip >> route *". Quando rodo esse comando, todo o tr?fego volta a ser balanceado. >> >> Algu?m sabe o que pode estar ocorrendo? >> Abaixo est? a configura??o que estou utilizando: >> >> interface FastEthernet0/23 >> ip address 200.200.100.1 255.255.255.252 >> ip ospf cost 50 >> ! >> interface FastEthernet0/24 >> ip address 200.200.200.1 255.255.255.252 >> ip ospf cost 50 >> ! >> >> >> >> Obrigado, >> Diego. >> >> -- >> gter list https://eng.registro.br/mailman/listinfo/gter >> >> > > > -- > __________________________________________ > Vai Encarar? http://www.vaiencarar.com.br > -- > gter list https://eng.registro.br/mailman/listinfo/gter > > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > -- __________________________________________ Vai Encarar? http://www.vaiencarar.com.br From rubensk at gmail.com Mon Aug 11 12:03:24 2008 From: rubensk at gmail.com (Rubens Kuhl Jr.) Date: Mon, 11 Aug 2008 12:03:24 -0300 Subject: [GTER] Balanceamento com OSPF In-Reply-To: <9B700C59555A416299E2D7D4CC80DCBB@DIEGONB> References: <670333fe0808101246s74cf9c04m87e86e85ae130e86@mail.gmail.com> <9B700C59555A416299E2D7D4CC80DCBB@DIEGONB> Message-ID: <6bb5f5b10808110803t2085941fp614b217d1359976d@mail.gmail.com> Esse cen?rio sugere rodar BFD para facilitar o diagn?stico, caso esse recurso esteja dispon?vel nos dois roteadores OSPF. Rubens 2008/8/11 Diego Zuaneti Arruda : > Ol? Ricardo, j? pensei nisso, mas um dos links n?o vai direto pro outro > switch que fecha o OSPF, pois passa por uma VLAN de outro switch > (intermedi?rio) para depois chegar no destino aonde est? o OSPF. > > ----- Original Message ----- From: "Ricardo Tavares" > To: "Grupo de Trabalho de Engenharia e Operacao de Redes" > > Sent: Sunday, August 10, 2008 4:46 PM > Subject: Re: [GTER] Balanceamento com OSPF > > > Ol? Diego, > > Por que voc? nao faz agregacao de portas? Desse modo voce pode optar por > fazer load-balance por mac e ganhar todas as vantagens: redundancia, > ordenamento de pacotes e reducao do consumo de cpu por conta de que se cair > um dos links o teu OSPF nem vai saber, e o que os olhos nao veem a CPU > tambem n?o :o) > > > Abra?os, > Ricardo Tavares. > > > 2008/8/9 Diego Zuaneti Arruda > >> Ol? Pessoal, >> >> Tenho 2 switch Cisco (Layer3) interligados via OSPF da seguinte maneira: >> >> [ ]------ OSPF COST 50 ------- [ ] >> [ SWITCH 1 ] [ SWITCH 2 ] >> [ ]------ OSPF COST 50 ------- [ ] >> >> Tenho 2 interface de cada switch interconectados via OSPF para fazer >> balanceamento e alta disponibilidade. >> Quando ativo o OSPF o tr?fego ? balanceado normalmente. >> Quando um dos link cai, o tr?fego ? direcionado para o outro link, at? a? >> normal. >> O problema acontece quando esse link volta, o tr?fego n?o ? enviado mais >> por ele, n?o fazendo mais o balanceamento. >> Para que o balanceamento volte a ocorrer, preciso dar o comando "clear ip >> route *". Quando rodo esse comando, todo o tr?fego volta a ser balanceado. >> >> Algu?m sabe o que pode estar ocorrendo? >> Abaixo est? a configura??o que estou utilizando: >> >> interface FastEthernet0/23 >> ip address 200.200.100.1 255.255.255.252 >> ip ospf cost 50 >> ! >> interface FastEthernet0/24 >> ip address 200.200.200.1 255.255.255.252 >> ip ospf cost 50 >> ! >> >> >> >> Obrigado, >> Diego. >> >> -- >> gter list https://eng.registro.br/mailman/listinfo/gter >> > > > > -- > __________________________________________ > Vai Encarar? http://www.vaiencarar.com.br > -- > gter list https://eng.registro.br/mailman/listinfo/gter > > > > -- > gter list https://eng.registro.br/mailman/listinfo/gter > From diego at fasternet.com.br Mon Aug 11 11:33:49 2008 From: diego at fasternet.com.br (Diego Zuaneti Arruda) Date: Mon, 11 Aug 2008 11:33:49 -0300 Subject: [GTER] Balanceamento com OSPF References: <670333fe0808101246s74cf9c04m87e86e85ae130e86@mail.gmail.com><9B700C59555A416299E2D7D4CC80DCBB@DIEGONB> <670333fe0808110652oab48cbref4f47fbf4a077b3@mail.gmail.com> Message-ID: <46FA9E05F6514A758691C0607601B458@DIEGONB> Ol? Ricardo, Quando o link volta, o OSPF volta tudo ao normal, somente o tr?fego qua n?o volta mais no link que caiu (independente do link). Para voltar a balancear o tr?fego, eu somente rodo o comando "clear ip route *", onde n?o fa?o nada no OSPF. O OSPF se forma normalmente sem nenhum problema quando o link volta. Vou fazer uma atualiza??o de IOS nele essa semana pra ver se resolve. Obrigado, Diego. ----- Original Message ----- From: "Ricardo Tavares" To: "Grupo de Trabalho de Engenharia e Operacao de Redes" Sent: Monday, August 11, 2008 10:52 AM Subject: Re: [GTER] Balanceamento com OSPF Interessante tua resposta, ela nao estava no desenho. Quando o link o volta, antes de voce executar o clear no OSPF voc? confirma via ICMP que o layer 3 esta realmente operacional? Usando "debug ip ospf events" e "show ip ospf neighbor", voce ve a adjacencia se formar sobre o novo link? O problema acontece somente quando quem cai eh o link passando pelo switch intermediario ou acontece indepente de quem cai? Abra?os, Ricardo. 2008/8/11 Diego Zuaneti Arruda > Ol? Ricardo, j? pensei nisso, mas um dos links n?o vai direto pro outro > switch que fecha o OSPF, pois passa por uma VLAN de outro switch > (intermedi?rio) para depois chegar no destino aonde est? o OSPF. > > ----- Original Message ----- From: "Ricardo Tavares" > To: "Grupo de Trabalho de Engenharia e Operacao de Redes" < > gter at eng.registro.br> > Sent: Sunday, August 10, 2008 4:46 PM > Subject: Re: [GTER] Balanceamento com OSPF > > > Ol? Diego, > > Por que voc? nao faz agregacao de portas? Desse modo voce pode optar por > fazer load-balance por mac e ganhar todas as vantagens: redundancia, > ordenamento de pacotes e reducao do consumo de cpu por conta de que se > cair > um dos links o teu OSPF nem vai saber, e o que os olhos nao veem a CPU > tambem n?o :o) > > > Abra?os, > Ricardo Tavares. > > > 2008/8/9 Diego Zuaneti Arruda