[GTER] MNDP e PTTMetro São Paulo

[Herbert Faleiros]

Olá a todos,

alguns dos participantes do PTTMetro São Paulo que usam Mikrotik como
roteador estão com o MNDP [1] habilitado na interface diretamente
conectada ao switch do PIX que dá acesso ao IXP (PTTMetro São Paulo).
Esse protocolo está gerando um tráfego broadcast (que não deveria
existir) da ordem de 300 e 500 mil requisições ao mês.

Exemplo:

Aug 16 17:35:56.494 GMT-3: %SEC-6-IPACCESSLOGP: list ptt denied udp
a.b.c.d(5678) (GigabitEthernet0/2.1 000c.42xxxx) ->
255.255.255.255(5678), 5 packets
Aug 16 17:35:56.494 GMT-3: %SEC-6-IPACCESSLOGP: list ptt denied udp
e.f.g.h(5678) (GigabitEthernet0/2.1 000c.42xxxx) ->
255.255.255.255(5678), 5 packets
Aug 16 17:35:56.494 GMT-3: %SEC-6-IPACCESSLOGP: list ptt denied udp
x.y.z.k(5678) (GigabitEthernet0/2.1 000c.42xxxx) ->
255.255.255.255(5678), 5 packets
Aug 16 17:40:56.494 GMT-3: %SEC-6-IPACCESSLOGP: list ptt denied udp
a.b.c.d(5678) (GigabitEthernet0/2.1 000c.42xxxx) ->
255.255.255.255(5678), 4 packets
Aug 16 17:40:56.494 GMT-3: %SEC-6-IPACCESSLOGP: list ptt denied udp
e.f.g.h(5678) (GigabitEthernet0/2.1 000c.42xxxx) ->
255.255.255.255(5678), 5 packets
Aug 16 17:40:56.494 GMT-3: %SEC-6-IPACCESSLOGP: list ptt denied udp
x.y.z.k(5678) (GigabitEthernet0/2.1 000c.42xxxx) ->
255.255.255.255(5678), 5 packets

Eu sei que tráfego broadcast deve estar limitado exclusivamente à
resolução ARP dentro do IXP, conseqüentemente esses participantes não
deveriam de maneira alguma estar com o MNDP habilitado (que aliás vem
habilitado por default nesse equipamento em todas as suas interfaces),
ou seja, lição de casa desse pessoal deixando de ser feita, mas tem
algo que (além disso) também me incomodou (além do MNDP): não é papel
dos gestores do próprio IXP (PTTMetro) ficar de olho nessas coisas? Ou
seja, tem a regra sobre isso (perfeito!), mas se ela não é seguida
quem está de olho? Eu tentei informá-los, mas curiosamente não tive
nenhum retorno sobre isso.

Para desativar o MNDP nos equipamentos de quem usa Mikrotik e está num
dos IXP's do PTTMetro sugiro o seguinte:

/ip neighbor discovery set INTERFACE_CONECTADA_AO_PTT \
discover=no comment="seja legal com seus vizinhos"

O "comment" não é de minha autoria.

Outro problema que notei (e esse não é recente e também já foi
informado mais de uma vez ao pessoal responsável pelo IXP) é que,
aparentemente, alguns participantes do IXP (PTTMetro São Paulo) estão
com proxy-arp habilitado nas interfaces, "conseqüentemente" enxergamos
endereços que não deveriam aparecer na tabela MAC do IXP.

Sugiro a esse pessoal que está com proxy-arp habilitado nas interfaces
que desabilitem isso (e mantenham um único endereço na interface
diretamente conectada ao IXP, endereço este fornecido pelo próprio
IXP, "parece" que essa também não é seguida).

Curiosamente isso é freqüente no PTT justamente em equipamentos
Mikrotik ou PC's (dá p/ ver isso pelo OID da interface).

Outro problema que notei no PTT é que alguém está "vazando" um
endereço IP de um AS americano (que não tem prefixos anunciados para
os refletores do IXP) dentro do PTT (também um Mikrotik com o MNDP
habilitado). Já informei o responsável, bem como os gestores do PTT.
Creio que o responsável tenha imaginado que o IP em questão é de um
bloco reservado, mas mesmo que fosse o endereço não deveria estar
"vazando" (broadcasts) dentro do IXP.

Como não recebi nenhuma resposta do pessoal responsável pelo PTT torno
minhas observações públicas para que o pessoal que usa Mikrotik seja
mais cuidadoso com as configurações (desabilite o MNDP, não use
proxy-arp e não "vaze" endereços "esdrúxulos" alheios dentro do
IXP/PTT).

[1] http://www.mikrotik.com/documentation/manual_2.5/IP/MNDP.html

-- 
Herbert