[GTER] Re: Speedy business - novela de roteamento

Rubens Kuhl Jr. rubens at email.com
Tue May 21 10:36:01 -03 2002


| shared ethernet é o começo de toda a discussão e é o beco aparentemente
| sem saída em que a telefônica nos meteu. cada grupo de sessenta e poucos
| assinantes do serviço speedy-business são agrupados em um shared ethernet
| com endereços /26. para evitar a promiscuidade do shared etehrenet e seus
| problemas de segurança, eles decidiram para o bem de todos e felicidade
| geral da nação, que o shared não seria tão shared assim e os vizinhos
| simplesmente não se veriam mutuamente.

Danton,

A Telefônica não usa shared ethernet (ou alega não usar, já tive indicações
de vazamento L2 que até hoje eles silenciam a respeito); o problema do /26 é
de arquitetura de endereçamento, pois acesso roteado normal iria tomar dois
/30 (um para ligação concentrador-roteador, outro para a ligação
roteador-computador), fazendo-a gastar 8 IPs por assinante. Eles teriam
gerado gargalhadas incontroláveis no Registro se justificassem um pedido de
IPs com essa topologia...

| é evidente que esta solução é insatisfatória (eu ia dizer estúpida). o
| problema que coloquei não tem nada a ver com autenticação, autorização ou
| qualquer outro controle de uso de recursos. tem a ver com como usar uma
| rede promíscua como ethernet de modo seguro, isto é que um vizinho não
| bedelhe onde não é chamado mas ainda assim exista conectividade entre os
| vizinhos.

Isso é possível mesmo em shared-ethernet-xDSL. Basta filtrar qualquer pacote
não IP exceto ARP, configurar estaticamente as associações IP-MAC(não rodar
ARP no concentrador) e MAC-VC e habilitar e encaminhamento local (por
default o concentrador não repassa pacotes em L2). Diversas redes xDSL nos
EUA utilizaram isso por vários anos, com os mesmos equipamentos da
Telefônica.

| | na linha de segurança em acesso compartilhado, não sei quanto um modem
de
| adsl é configurável, mas se ele suportasse uma ACL à la Cisco, todos os
| pacotes potencialmente hostis poderiam ser mortos na origem e não seria

Como o modem não é trusted, isso serviria apenas como defesa dos usuários
(se alguém desligar, que aguente as conseqüências) e não da rede(pontos de
controle devem ser confiáveis).


Rubens






More information about the gter mailing list