[GTER] PPPoE para redes de acesso via rádio
Adriano Struck - TPA
adrianos at tpa.com.br
Sun Aug 18 19:30:20 -03 2013
Isso mesmo, MX5.
att.
Adriano Struck
Gerente de Redes - TPA Internet
E-mail: adrianos at tpa.com.br
(47) 3036-5300
http://www.tpa.com.br
Em 16 de agosto de 2013 22:43, Leonardo Silva <leonardosilva at gmail.com>escreveu:
> Adriano,
>
> O que vc esta usando para autenticar essas 12 mil sessoes ? Juniper MX5 ?
>
> []'s
>
>
> Em 15 de agosto de 2013 16:39, Adriano Struck - TPA
> <adrianos at tpa.com.br>escreveu:
>
> > Mais alguns fatos sobre a descentralização:
> >
> > - quebrar redes gera desperdício de recursos IP, pedir mais IP's está
> cada
> > vez mais difícil devido a escassez;
> > - aumenta a complexidade, visto que aumenta o número de roteadores a
> serem
> > gerenciados;
> > - qualquer ataque DDoS direcionado a um cliente vai parar o caminho até
> > esse cliente, devido a pouca capacidade do path.
> >
> > Como você falou em "segurança", atente-se a última opção. Se não teve
> > nenhum DDoS na vida é porque tens sorte, hehehe.
> >
> > att.
> >
> > Adriano Struck
> > Gerente de Redes - TPA Internet
> > E-mail: adrianos at tpa.com.br
> > (47) 3036-5300
> > http://www.tpa.com.br
> >
> >
> >
> > Em 14 de agosto de 2013 16:22, Otavio Augusto <otavioti at gmail.com>
> > escreveu:
> >
> > > @adriano
> > > Quanto aos IPs vc pode ter uma rede roteada com classes quebradas, se
> > > estiver esgotando os ips vc pode pedir mais pro Nic.BR, O fato de usar
> > > ips em roteamento justifica o pedido junto ao Nic.BR
> > > Quanto ao uso de caixas pode ser mas eu usaria a caixa em redes onde o
> > > usuário é cabeado e no NÓ principal (provavelmente o datacenter).
> > > Outra coisa que deve ser levado em consideração é a topologia da rede.
> > > No meu caso específico a saida do link é lado oposto do meu
> > > datacenter. Colocar o concentrador no ponto de saída do link é ruim
> > > pois é um lugar ermo coloco o mínimo de equipamento lá e trazer o
> > > tráfego de todo mundo para o datacenter fica muito caro.
> > > Quanto a gerenciar os servidores o radius que reponde todas as
> > > configurações para cada concentrador, então as configs dos
> > > concentradores, no meu caso MK, é mínima e não armazenam nada do
> > > usuário.
> > > Mas como existem várias maneiras de se fazer a mesma coisa , e isto é
> > > bom, cada um faz da maneira que achar melhor e mais seguro
> > > para a qualidade do serviço de acordo com suas condições e
> > > necessidades é legal ver o seu ponto de vista pois abre mais opções
> > > para todos na hora de projetar uma rede nova :)
> > >
> > > @Raimundo
> > > O PPPOE em si não traz segurança para usa rede com relação a acesso
> > > indevidos e garantia de privacidade do cliente.
> > > Em redes sem fio todos sabemos de WiFi é bem fácil de penetrar podendo
> > > um cliente seu ter seu trafego capturado por terceiros ou faciltando a
> > > entrada de usuários piratas.
> > > Usar chaves de criptografia WPA2 faz aumenta em muito a segurança da
> > > rede. E checar as chaves dos usuário por radius é uma ótima opção pois
> > > vc não teria uma única chave que poderia cair nas mão de alguém mal
> > > intencionado.
> > > Algumas pessoas acham que por PPPOE resolve os problemas de segurança,
> > > mas estão enganados pois mesmo criptografado ele traz segurança baixa.
> > > PPPOE é ótimo para gerenciamento de usuários mas fraco em segurança.
> > > Independente de sua estratégia ser centralizada ou não com PPPOE ou
> > > não, pense em implantar uma solução de segurança robusta ao meio
> > > físico, no nosso caso o ar.
> > >
> > > Sobre WPA com radius vc pode começar por aqui :
> > > http://www.smallnetbuilder.com/content/view/30210/98/
> > >
> > > Em 14 de agosto de 2013 15:25, Raimundo Santos <raimundo at w1.com.br>
> > > escreveu:
> > > > @clecio:
> > > >
> > > > Rapaz, muito obrigado pelas dicas! Aqui usamos Ubiquity e Mikrotik,
> > nada
> > > > além disso (talvez uma ou outra exceção). Creio que não terei
> problemas
> > > > então quando for tentar. Trabalhamos com quase tudo a 5.8GHz.
> > > >
> > > > @otavio:
> > > >
> > > > Legal teu case, Otavio, e como já temos RouterBOARDs rodando na
> maioria
> > > dos
> > > > APs, a ideia de descentralizar fica simples. Porém pretendo
> implementar
> > > - e
> > > > já estou no caminho! - redundância de máquinas que servirão o PPPoE,
> e
> > > > pensei que, sendo a rede giga interna ao CPD, e essas máquinas
> > > conversando
> > > > com os APs via VLANs, o problema de descentralizar não seja tão
> > relevante
> > > > assim.
> > > >
> > > > Não entendi muito bem seu último parágrafo. Eis o que entendi: devo
> > usar
> > > > uma chave WPA2 para cada cliente, independente da autenticação feita
> > por
> > > > PPPoE?
> > > >
> > > >
> > > > []s!
> > > >
> > > >
> > > > 2013/8/13 Otavio Augusto <otavioti at gmail.com>
> > > >
> > > >> Tenho provedores parceiros com PPPOE a uns 10 anos. E funciona muito
> > > bem.
> > > >> O maior benefício é o gerenciamento via radius.
> > > >> Dica use uma solução distribuída ao invés da centralizada.
> > > >> Tenho no mínimo um concentrador PPPOE em cada torre, uso mikrotik
> pela
> > > >> facilidade, o concentrador que tem mais clientes conectados tem 40
> > > >> sessões.
> > > >> Já usei rp-pppoe com linux lá no inicio mas o problema é que tinha
> que
> > > >> ficar centralizado e ficava inviável por uma máquina em cada torre (
> > > >> Até tentei mas a manutenção ficava alta).
> > > >> As desvantagens do PPPOE é que o link com o cliente tem que ficar
> > > >> muito bom senão fica desconectando mas até incentiva vc a ter
> sempre o
> > > >> melhor serviço e achar problemas em um POP.
> > > >> O Problema do FreeBSD + MPD é o mesmo do linux vc vai ter que
> > > >> centralizar as conexões e pode deixar a rede mais complexa e criar
> um
> > > >> ponto único de falha.
> > > >> Vá de uma solução distribuída que a sua experiencia com o PPPOE será
> > > >> melhor.
> > > >> Com relação a segurança o não deixe para o PPPOE e sim para o enlace
> > > >> físico usando cryptografias WPA2 uma para cada usuário autenticada
> > > >> pelo radius.
> > > >>
> > > >>
> > > >>
> > > >>
> > > >> Em 12 de agosto de 2013 11:22, Raimundo Santos <raimundo at w1.com.br>
> > > >> escreveu:
> > > >> > Bom dia lista!
> > > >> >
> > > >> > Meu debut acontece aqui perguntando: qual a implicação, quais os
> > prós
> > > e
> > > >> > contras (
> > > http://en.wikipedia.org/wiki/The_Pros_and_Cons_of_Hitch_Hiking-
> > > >> > citação graças a TDAH) de uso de um esquema PPPoE para autenticar
> > > >> clientes
> > > >> > numa rede de rádios?
> > > >> >
> > > >> > Alguém já fez isso com sucesso? Conheço dois exemplos de
> provedores
> > > que
> > > >> > desistiram, porém nenhum deles soube me informar o motivo para
> isso.
> > > >> Creio
> > > >> > que foi falta de massa crítica para gerenciamento.
> > > >> >
> > > >> > Pretendo implementar MPD5 + FreeRADIUS, devido ao baixo custo e
> > minha
> > > >> > familiaridade com FreeBSD.
> > > >> >
> > > >> > Alguma outra sugestão?
> > > >> >
> > > >> > Muito obrigado!
> > > >> >
> > > >> > Raimundo Santos
> > > >> > --
> > > >> > gter list https://eng.registro.br/mailman/listinfo/gter
> > > >>
> > > >>
> > > >>
> > > >> --
> > > >> Otavio Augusto
> > > >> ---------------------
> > > >> Consultor de TI
> > > >> Citius Tecnologia
> > > >> 31 37761866
> > > >> 31 88651242
> > > >> http://www.citiustecnologia.com.br
> > > >> --
> > > >> gter list https://eng.registro.br/mailman/listinfo/gter
> > > >>
> > > > --
> > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> > >
> > >
> > > --
> > > Otavio Augusto
> > > ---------------------
> > > Consultor de TI
> > > Citius Tecnologia
> > > 31 37761866
> > > 31 88651242
> > > http://www.citiustecnologia.com.br
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Leonardo Silva
> fone: 16 8143-1146
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list