[GTER] Equipamento de borda

Henrique de Moraes Holschuh henrique.holschuh at ima.sp.gov.br
Mon Sep 26 11:13:41 -03 2011 

On 24-09-2011 00:04, Adriano Struck wrote:
> Aqui foi o mesmo caso. Até 500 Mbps rodamos com PC, depois disso,
> trocamos por Juniper. Nosso linux não era tão afinado quanto o do
> Bogus, não tínhamos um hardware tão específico, por isso tínhamos
> problemas. Já com o MX-80, até agora não tivemos mais problemas na
> borda, é um equipamento excelente.

A única coisa que me desgosta no Juniper é a falta de suporte a GTSM/RFC
5082 para o BGP.

Cisco implementa uma versão fudeba conhecida por BTSH/GTSH (BGP/General
TTL Security *Hack* :p), que deu origem ao RFC 3682 e *em tese* deixa
todos os fluxos auxiliares (ICMP, ICMPv6) desprotegidos.  Mas pelo menos
implementa algo que dá conta do principal.

FreeBSD implementa só o RFC 3682, mas me disseram que vão implementar
o RFC 5082 completo para a versão 9.0, não sei se só TCP ou se também
para os outros protocolos.  Linux implementa RFC 5082 completo em
kernels recentes, mas só para TCP.

Pelo menos para BGP, o Quagga já suporta ativar GTSM quando há suporte
do S.O. faz um tempo.  O BIRD adicionou essa mesma funcionalidade na
última versão (eu perguntei se alguém já estava trabalhando nisso, e em
24 horas alguém respondeu com um patch... nem deu para eu molhar o bico
e tentar escrever um eu mesmo!).

É sempre vantagem usar GTSM/BTSH, ele é um filtro automático, fácil de
usar, extremamente simples e rápido, e qualquer implementação que preste
testa o TTL o mais cedo possível, então o tráfego que ele descarta
consome muito pouco recurso da caixa e não percorre muito do stack
IP/IPv6 (por exemplo, não causa a verificação de MD5).  O único cuidado
é que tem que ativar nos dois lados do fluxo (ou seja, nos dois BGP
speakers).

E pelo menos a parte da filtragem do fluxo principal (ou seja, não do
ICMP/ICMPv6) dá para empurrar para o ASIC e filtrar por hardware.  Pena
que esse tipo de filtragem por hardware ainda não dá para fazer numa
Intel 82599 até onde sei.

-- 
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.

More information about the gter mailing list