[GTER] Equipamento de borda
Diogo Montagner
diogo.montagner at gmail.com
Sat Oct 8 04:02:04 -03 2011
Henrique,
Se nao me engano eh possivel implementar isto usando firewall filters.
Abs
On 9/26/11, Henrique de Moraes Holschuh <henrique.holschuh at ima.sp.gov.br> wrote:
> On 24-09-2011 00:04, Adriano Struck wrote:
>> Aqui foi o mesmo caso. Até 500 Mbps rodamos com PC, depois disso,
>> trocamos por Juniper. Nosso linux não era tão afinado quanto o do
>> Bogus, não tínhamos um hardware tão específico, por isso tínhamos
>> problemas. Já com o MX-80, até agora não tivemos mais problemas na
>> borda, é um equipamento excelente.
>
> A única coisa que me desgosta no Juniper é a falta de suporte a GTSM/RFC
> 5082 para o BGP.
>
> Cisco implementa uma versão fudeba conhecida por BTSH/GTSH (BGP/General
> TTL Security *Hack* :p), que deu origem ao RFC 3682 e *em tese* deixa
> todos os fluxos auxiliares (ICMP, ICMPv6) desprotegidos. Mas pelo menos
> implementa algo que dá conta do principal.
>
> FreeBSD implementa só o RFC 3682, mas me disseram que vão implementar
> o RFC 5082 completo para a versão 9.0, não sei se só TCP ou se também
> para os outros protocolos. Linux implementa RFC 5082 completo em
> kernels recentes, mas só para TCP.
>
> Pelo menos para BGP, o Quagga já suporta ativar GTSM quando há suporte
> do S.O. faz um tempo. O BIRD adicionou essa mesma funcionalidade na
> última versão (eu perguntei se alguém já estava trabalhando nisso, e em
> 24 horas alguém respondeu com um patch... nem deu para eu molhar o bico
> e tentar escrever um eu mesmo!).
>
> É sempre vantagem usar GTSM/BTSH, ele é um filtro automático, fácil de
> usar, extremamente simples e rápido, e qualquer implementação que preste
> testa o TTL o mais cedo possível, então o tráfego que ele descarta
> consome muito pouco recurso da caixa e não percorre muito do stack
> IP/IPv6 (por exemplo, não causa a verificação de MD5). O único cuidado
> é que tem que ativar nos dois lados do fluxo (ou seja, nos dois BGP
> speakers).
>
> E pelo menos a parte da filtragem do fluxo principal (ou seja, não do
> ICMP/ICMPv6) dá para empurrar para o ASIC e filtrar por hardware. Pena
> que esse tipo de filtragem por hardware ainda não dá para fazer numa
> Intel 82599 até onde sei.
>
> --
> Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> IM@ - Informática de Municípios Associados
> Engenharia de Telecomunicações
> TEL +55-19-3755-6555/CEL +55-19-9293-9464
>
> Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> e do custo que você pode evitar.
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Sent from my mobile device
./diogo -montagner
More information about the gter
mailing list