[GTER] Como segmentar e agregar um link de grande capacidade?
Rubens Kuhl Jr.
rubensk at gmail.com
Fri May 5 02:11:17 -03 2006
> > além dessas específicas, há recursos genéricos como
> > Vlan ACLs dos switches Catalyst 6K que podem ser usados para espelhar
> > pacotes seletivamente em função de parâmetros L3 e L4, o que daria
> > essa divisão por aplicação.
>
> Desculpe a minha ignorância no assunto, mas eu não entendi bem esse
> "espelhamento". No caso teríamos o tráfego de 1Gbps e este teria pacotes
> "copiados" para outras portas através de parâmetros L3 e L4? Se sim,
> dessa forma, teríamos como garantir o fluxo dos pacotes? Pois penso, que
> correria o risco de um pacote ir para um servidor IDS e outro pacote
> desta mesma conexão, ir para um outro IDS, o que acabaria "minando" (um
> falso positivo ou negativo) a funcionalidade do IDS, não?
Não pois todas as opções IP origem/protocolo IP/porta origem/IP
destino/porta destino iriam sempre para o mesmo lugar.
> Além disso, este equipamento iria aguentar o overhead gerado por este
> espelhamento?
Esse que eu citei, sim. Ele aliás faz forward de pacotes sempre no
mesmo ritmo de 15 ou 30 Mpps, não importa a configuração; basta a
configuração ser aceita, e para isso há limites hoje bastante
toleráveis de número de termos em ACLs (da casa de milhares).
> > E até mesmo recursos básicos de roteamento já serviriam para isso:
> > roteie o tráfego para o servidor x por um IDS, roteie para o servidor
> > y por outro...
>
> Simples assim? :) Redes A, B, C e D, vão para o servidor IDS 1, redes E,
> F, G, H, vão para o servidor IDS 2, e assim por diante? :) Realmente é
> *bem* simples, mas ainda não corre o risco de o tráfego de uma rede (por
> exemplo a rede A) acabar gerando um tráfego maior do que 100Mbps?
Faça todas as interfaces de 1 Gbps. Se acontecer de ultrapassar
momentaneamente a capacidade de processamento do IDS, pelo menos o
tráfego vai passar mesmo que sem análise integral de todos os pacotes.
> Acredito que deveria ter algum "sistema de balanceamento".
Aí você entra realmente na seara de IDS Load Balancing. Mas na prática
o custo e complexidade disso não compensa não comprar o IDS de maior
capacidade, ou fazer análise seletiva de tráfego. Por exemplo, não
adianta mandar tráfego HTTPS para o IDS... (apesar de que isso pode
ser útil para uso indevido da porta 443 como covert-channel).
Rubens
More information about the gter
mailing list